Silkroad Online Forum

oje xD
hät ich mal schon früher das hier gelesen dann hätt ich euch gerne mal gezeigt das die normale sro_client datei voll in ordnung ist...

aber naja als kleiner tipp möchte ich euch mal eine info geben - wenn ihr unsicher bei daten seit ob diese Trojaner,Viren oder der gleichen enthalten ladet es einfach bei http://www.virustotal.com/en/indexf.html hoch...
Das ist ein AntiVirus programm was täglich immer erneuert wird.
dort könnt ihr die daten dann checken...
hab ich damals als die Notice kam auch gemacht und dort wurde nichts von nen trojaner oder eines Virus angezeigt ^^

>Hi wenn starte koimmt 5mal antivir ...
wenn das neue update da is kommt es nicht mehr oder was soll ich machen ???

hab jetzt kein antivir vor mir und wahrscheinlich stehts hier auch schon irgendwo genauer... so ganz grob:

Du machst einen Doppelclick auf den Avira Schirm
Dann gibt es da irgendwo so etwas wie Einstellungen, ich glaube mit einem Zahnrad als Symbol (?)
Da gehst du im Menubaum zum Guard.
Wenn du da aufs + drückst, müsstest du einen Punkt Ausnahmen finden (wow, hier darf ich "Punkt" schreiben :gott
Da findest du bei Dateien (oder so) eine Schaltfäche mit 3 ...
Dort musst du dich durchhangeln zu Programme\Silkroad und die Datei SRO_client.exe auswählen und in die Liste übernehmen.

Dann sollte das aufhören. Ich habs gestern gemacht und jetzt blind getippt, aber irgendwie so ähnlich war es.

Bitte tut euch das nicht an und schaltet euren Virus Guard ganz ab. Irgendso eine Lösung gibt es bei jedem handelsüblichen Virenscanner.

Bis zum Guard stimmts, aber da gibts keinen Punkt "Ausnahmen" bei + ..-.-'

Pati hat recht ^^

Zitat

Original von King Pati
Bis zum Guard stimmts, aber da gibts keinen Punkt "Ausnahmen" bei + ..-.-'

Du musst den Haken bei Expertenmodus setzen ^^

Ahh schön, habs gefunden

@xMSxCobra:

Ich hab immer recht.. Spaß

Verstehe die Diskussionen hier schonwieder gar nicht. Das ist ein Thread der davon handelt, dass in der EXE des Updates kein Trojaner war und die diskutieren hier über Zitate und Rechte der Verwendung von Erkenntnissen.

PS: Bin trotzdem der Meinung, dass es ein Trojaner war. Lass Avira sagen was sie wollen, von Antivir halt ich eh nicht mehr viel seit dem ich es damals deinstalliert habe und mit Kaspersky bei der ersten Inspektion 6Trojaner gefunden habe.

Zitat

Original von zMAiE
PS: Bin trotzdem der Meinung, dass es ein Trojaner war. Lass Avira sagen was sie wollen, von Antivir halt ich eh nicht mehr viel seit dem ich es damals deinstalliert habe und mit Kaspersky bei der ersten Inspektion 6Trojaner gefunden habe.

Ähm....Lol!?

Avira sagt also nur Stuss und hat keine Ahnung von Viren.
Sie bringen ein Update raus, welches eine falsche Erkennung hat und geben dies sogar zu. Wo ist also dein Probem. Was hätte den Avira davon in dem sie sagen das es kein Trojaner ist? Erklär es mir bitte!
Warum steht auch auf der SRO.net Page das es mit Kapersky geklärt sei?


Vllt ist auch einfach nur so das JM den ganzen AV Herstellern Geld anbietet damit sie alle sagen das dies kein Trojaner ist......
So wird es wohl sein....
Es macht wirklich am meisten Sinn....


und Btw.

Ich habs an den Service von Avira geschickt. Man glaubt es kaum, aber da wird die Datei echt von Menschen untersucht die Ahnung von dem machen was sie tun und keinem "minderbemittelten" Programmen wie Antivir, Kapersky usw.
Das es von Menschen untersucht wurde erkennt man auch daran das das Ganze 12 Stunden gedauert hatte bis ich ein Ergebniss bekam.

Mfg Caly

Zitat

Original von CalYbaN

Zitat

Original von zMAiE
PS: Bin trotzdem der Meinung, dass es ein Trojaner war. Lass Avira sagen was sie wollen, von Antivir halt ich eh nicht mehr viel seit dem ich es damals deinstalliert habe und mit Kaspersky bei der ersten Inspektion 6Trojaner gefunden habe.

Ähm....Lol!?

Avira sagt also nur Stuss und hat keine Ahnung von Viren.
Sie bringen ein Update raus, welches eine falsche Erkennung hat und geben dies sogar zu. Wo ist also dein Probem. Was hätte den Avira davon in dem sie sagen das es kein Trojaner ist? Erklär es mir bitte!
Warum steht auch auf der SRO.net Page das es mit Kapersky geklärt sei?


Vllt ist auch einfach nur so das JM den ganzen AV Herstellern Geld anbietet damit sie alle sagen das dies kein Trojaner ist......
So wird es wohl sein....
Es macht wirklich am meisten Sinn....


und Btw.

Ich habs an den Service von Avira geschickt. Man glaubt es kaum, aber da wird die Datei echt von Menschen untersucht die Ahnung von dem machen was sie tun und keinem "minderbemittelten" Programmen wie Antivir, Kapersky usw.
Das es von Menschen untersucht wurde erkennt man auch daran das das Ganze 12 Stunden gedauert hatte bis ich ein Ergebniss bekam.

Mfg Caly

Ist es auch möglich, dass du ganz normal mit Menschen redest die nicht deiner Meinung sind? Nicht so überdeutlich abfällig so mit dem Unterton, dass niemand eine Ahnung hat? Ich bin der Meinung es war einer, komm mit Gegenbeweisen oder nicht interessiert mich nicht. Meinungen von anderen solltest vllt einfach akzeptieren, besonders wenn diese Leute nicht einmal mit dir reden. Desweiteren finde ich es persöhnlich komisch, dass sich Leute von einer Antivirenfirma an eine Datei setzen und sie diese überprüfen einfach so. Bin der Überzeugung sie haben auch anderes zu tun. Wenn du mir darauf wieder etwas antworten willst, tu es bitte nicht ganz so abfällig, sondern einfach die Fakten und gut ist. In deinem Text hat nur noch die Frage gefehlt wie dumm ich eigentlich sei.

Ob Trojaner oder nicht macht für mich eh keinen Unterschied, nur so am Rande.

Vllt sind die Firmen auch daran interessiert eine fehlerlose Software zu haben?
Immerhin verdienen sie mit den Programm ihr Geld und je besser ein Programm ist, umso mehr werden dafür zahlen.
Wie erkennt man das eine Software fehlerhaft ist?
Durch den User!
Der User ist der wichtigste Bestandteil an einen AV Programm, denn bei all den Bits und Bytes können selbst die Hersteller nicht auf alles gefasst sein. Sie können nicht alles vorraussehen und deswegen lassen sie den allgemeinen User die Dateien, wo sich der User denkt das da was nicht richtig ist, bei ihnen Hochladen, damit sie diese Datei untersuchen und somit persönlich gegebenenfalls Fehler in ihrer Software feststellen können.

Zitat

Original von CalYbaN
Vllt sind die Firmen auch daran interessiert eine fehlerlose Software zu haben?
Immerhin verdienen sie mit den Programm ihr Geld und je besser ein Programm ist, umso mehr werden dafür zahlen.
Wie erkennt man das eine Software fehlerhaft ist?
Durch den User!
Der User ist der wichtigste Bestandteil an einen AV Programm, denn bei all den Bits und Bytes können selbst die Hersteller nicht auf alles gefasst sein. Sie können nicht alles vorraussehen und deswegen lassen sie den allgemeinen User die Dateien, wo sich der User denkt das da was nicht richtig ist, bei ihnen Hochladen, damit sie diese Datei untersuchen und somit persönlich gegebenenfalls Fehler in ihrer Software feststellen können.

So gefällt mir das schon eher. Klingt auch alles schlüssig, ok hast mich überzeugt

Zitat

Original von CalYbaN
Ich habs an den Service von Avira geschickt. Man glaubt es kaum, aber da wird die Datei echt von Menschen untersucht die Ahnung von dem machen was sie tun und keinem "minderbemittelten" Programmen wie Antivir, Kapersky usw.
Das es von Menschen untersucht wurde erkennt man auch daran das das Ganze 12 Stunden gedauert hatte bis ich ein Ergebniss bekam.

Mit meinem beruflichen Hintergrund im Netzwerk-Administratorwesen kann sich sagen: genau diese Zeitspanne von "nur" 12 Stunden macht mich gewaltig stutzig. Um es im Labor ausgiebig auszutesten, was die sro_client.exe nun wirklich treibt, ob es nun ein "echter" Trojaner ist oder nicht, das kann man in 12 Stunden nicht wirklich herausfinden. Die "false positive" Meldung von Avira ist meines erachtens mit sehr großer Vorsicht zu genießen. Besonders da die Virenmeldung bei Avira noch immer anspringt, also noch keinerlei "false positive" Bereinigung stattgefunden hat (letztes Update um 1:50 Uhr aktualisiert). Auch gebe ich zu bedenken, daß bei "false positive" Meldungen selbstverständlich auch Fehler und Irrtümer auftreten können.

Calyban, es war echt prima von Dir, daß Du Avira bemüht hast, und sie Dir auch recht schnell eine Antwort gegeben hat. Es ist jedoch auch möglich, daß Avira aus Mangel an Personal die "false positive" Meldung herausgegeben hat, um sich nicht zeitintensiv mit dem Thema zu befassen. Und leider muss ich auch sagen, daß Avira bei Tests von Antiviren-Programmen aus Qualitätsmangel eher auf den eher letzten Plätzen abgeschnitten hat (siehe auch: www.heise.de). Einer der gröbsten Schnitzer von Avira war, als das Antivirenprogramm den Internet Explorer als Trojaner gemeldet hat (Quelle: http://www.heise.de/newsticker/meldung/82094).

Des weiteren ist Kaspersky Labs keine minderbemittelte Firma, die ein minderbemitteltes Programm auf dem Markt hat, sondern eine der qualifiziertesten Antiviren-Programmhersteller weltweit, die auch ein eigenes Labor hat, in dem auch echte Menschen prüfen *ggg*. Und wenn eine Datei bei Kaspersky als Virenmeldung anspringt, dann ziehen sogar professionelle Admins die Stirn in Falten.

Nun warte ich noch auf das offizielle Prüf-Ergebnis vom Kaspersky-Labor. So wie ich es bislang verfolgt habe, hat Kaspersky zum jetzigen Zeitpunkt noch immer keine offizielle Entwarnung gegeben. Auch wenn SRO behauptet, sie hätte ihre Modifikationen von Kaspersky bestätigt, so möchte ich zu bedenken geben, daß SRO bislang auch nur angeblich 15-20 Bots pro Serverrundgang gefunden hat. Das ist zwar ein anderes Kapitel, zeigt jedoch sehr schön den Wahrheitsgehalt der bisherigen Aussagen von SRO.


Ergänzend noch der Link zum Kaspersky-Forum, in dem der SRO-Trojaner ebenfalls ein Thema ist, und bei dem hoffentlich demnächst auch eine Entwarnung erfolgen wird:

http://forum.kaspersky.com/index.php?showtopic=38911

Zitat

Original von AureliaUm es im Labor ausgiebig auszutesten, was die sro_client.exe nun wirklich treibt, ob es nun ein "echter" Trojaner ist oder nicht, das kann man in 12 Stunden nicht wirklich herausfinden.

Wieso denn nicht?

zwei Möglichkeiten:
1. Man muss das Programm starten, schauen, was es so treibt (z.B. ob es noch Dateien installiert), welchen Netzwerkverkehr das Programm macht (z.B. irgendwelche Ports öffnet)
Mit den entsprechenden Tools (wo ich davon ausgehe, dass die Antivirus-Hersteller sowas haben) sollte das in relativ kurzer Zeit machbar sein.

2. Die wissen ja, auf welchen Signaturteil der Scanner anspringt. Also wird die verdächtige Datei im Debugger/Disassembler geladen, und sich die betreffende Stelle angeschaut. Dann sieht man, ob es wirklich verdächtiger Code ist, oder einfach zufällige Byte-Gleichheit.


Übrigens glaube ich, dass viele Antivirusherstelle die Signaturen aus der gleichen Quelle beziehen. Habe mal an einem (weltweitem) Projekt mitgearbeitet, wo dann das Programm (zumindest die Windows-Version) auch plötzlich als Virus erkannt wurde. Wir haben uns auch mit den Herstellern in Verbindung gesetzt, die uns das false positive bestätigt haben. 14 Tage später kamen plötzlich Virenmeldungen von anderen AV-Programmen, und nochmal 14 Tage später die nächsten... Da konnte man ganz gut verfolgen, wer wann welche Signaturversion verwendet hat...

Wenn es sich um nen VisualBasic-Spy Trojaner handelt, und das ist hier der Fall, dann kann die Untersuchungszeit erheblich dauern. Ich hab mir mal erlaubt in der Liste nachzuschauen, was nen ähnlicher Trojaner mit Namen TR/Spy.VB.PQ angestellt hat, weil es über den bei SRO gefundenen TR/Spy.VB.QP.59 bzw. Trojan-Spy.Win32.VB.gp im Internet leider keinerlei Informationen gibt, was er genaueres anstellen würde:

Zitat

Folgende Datei wird gelöscht:
• %SYSDIR%\Taskmgr.exe

Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
• http:\\69.88.**********

– Aufgezeichnet wird:
• Fensterinformation
• Browserfenster
• Anmeldeinformation

–Ein Formularfenster wird angezeigt

- Laufzeitpacker: Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Falls Du magst, dann kannst Du allein mit diesen Angaben vorsichtig abschätzen, ob ein Schadensumfang ähnlicher Bauart innerhalb von 12 Stunden definitiv gefunden werden kann. Besonders wenn offiziell nur bekannt ist, daß der Schädling seit 2006 bekannt ist, es ein VB-Trojaner ist, evtl. eine Tarnkappe aufzieht, aber nicht genauer bekannt ist, was der Trojaner nu exakt treibt. Weder Avira (TR/Spy.VB.QP.59) noch Kaspersky (Trojan-Spy.Win32.VB.gp) schreiben etwas genaueres zum Schaden des Trojaners. Und die sro_client.exe ist sagenhafte 7,4 MB groß. Die Stringsuche und deren false negative Erkennung mutet hier eher an die Suche im Heuhaufen an. Allerdings ist das eher virologisches Fachgesimpel, und ehrlich gesagt gehts ins Offtopic rein.


Wesentlich wichtiger ist es in diesem Falle zu schauen, was Avira und auch Kaspersky die nächsten Tage aus der Trojanermeldung macht, und ob endlich auch die Entwarnung kommt. Erst dann können wir davon ausgehen, daß es nen relativ echter Fall von false positive war.


Übrigens: Der von mir zitierte false negative Fehler von Avira mit dem Internet Explorer wurde seinerzeit eine halbe Stunde später mit neuen Signaturdatenbanken behoben. Theoretisch könnte der false negative SRO Trojaner ebenfalls innerhalb von 30 Minuten behoben werden. Leider ist bis gerade eben die "Falschmeldung" bei SRO immer noch in der Avira-Signaturdatenbank drin (Update: soeben). Macht mich etwas stutzig... ^^

Ja, und in diesem Fred steht sogar schon drin, wie man es abstellt, ohne den Virus Guard ganz auszustellen :mauer:

Zuletzt drehte sich diese Diskussion ja eher um die Frage, ob das eine gute Idee ist. Oder anders, ob man SRO und z.b. auch Avira glauben kann, dass es KEIN Trojaner ist.

Wenn ich mich recht entsinne, war das nicht mal ein Heuristik Fehlalarm, sondern der Scanner hat eine Signatur gefunden. Das heißt, ein Bitmuster in der exe war identisch mit einem aus einem Trojaner.

Wobei mich irritiert, das über den Trojaner, also den vermeintlich echten, nicht der SRO_Client, gar keine Info existiert. Gibt es den überhaupt???

Meine Theorie: Irgendein Virenprogramm hat über einen Heuristik Test den SRO_client als Virus bezeichnet. Das kann einfach mal passieren. Dem hat man diesen tollen TR/Spy.VB.QP.59 Namen gegeben. Dann haben sie dazu eine Signatur rausgegeben. Die tauschen die schon untereinander aus, soweit ich weiß.
Daraufhin erkennen nun die anderen den SRO_client über die Signaturprüfung und bezeichnen ihn als TR/Spy.VB.QP.59 , den es aber vielleicht nie gegeben hat?

Zitat

Original von Tekuco
WTH?

warum haben wir einen im forum der master_race heißt o.O
und warum tut er so als ob er gegen rechts ist

>>>>>>> Duldung Nationalsozialischten Gedankengutes <<<<<<<

^^ mehr sag ich nich und ich bin NICHT RECHTS!!!!!!!!!!!!!!!!!!!!!!! meine fresse wie oft noch ?? und btw. das is geklärt

Gute Nachrichten. Es gab inzwischen eine Bestätigung von Kaspersky selbst, daß es sich bei der sro_client.exe um ein Fall von False Positive handelt. Bitte schaut auch hier nach:

http://forum.kaspersky.com/index.php?showtopic=38911



Desweiteren möchte ich auf diesen Artikel hinweisen, falls es zukünftig bei Kaspersky einen ähnlichen Fall von Virenmeldung geben sollte:

http://www.viruslist.com/en/weblog?weblogid=172399883

You're probably wondering why we are mentioning the release of Quake IV, a first person shooter game. Well, unfortunately Kaspersky Anti-Virus was detecting the original Quake4.exe as Net-Worm.Win32.Mytob.bi for a few hours.

Within a very short time, reports started to appear on gaming forums about this issue. Unfortunately no-one sent Quake4.exe to our VirusLab. If they had, they would have received a reply demonstrating the issue had been fixed.

So in similar cases please send the file which is flagged as being malicious to our Virus Lab - newvirus@kaspersky.com You'll then find out for sure if it's a false positive or a correct detection. And by the way, don't forget to password protect the file.

It might well be that warez versions of Quake IV *do* contain some sort of Trojan. This was the case with a very popular crack for Half-Life 2 when the game was first released.


In Kurzform auf Deutsch:

Auch bei der Quake4.exe erkannte Kaspersky den Net_Worm.Win32.Mytob.bi und es hat sich bei diesem Fall ebenso herausgestellt, daß es nur ein Fall von false positive war. Innerhalb kurzer Zeit haben sich jedoch weltweit viele Spieleforen mit diesem Fall beschäftigt. Doch dummerweise hat keiner die fehlerhafte Quake4.exe an Kaspersky gesandt. Doch wenn sie es getan hätten, dann hätten sie eine Antwort erhalten, daß das Problem schon behoben wurde.

In vergleichbaren Fällen bittet Kaspersky das als bösartig verdächtigte File an das Virenlabor auf newvirus@kaspersky.com zu senden. Damit kann sicher herausgefunden werden, ob es ein false positive ist oder eine korrekte Erkennung. Doch bitte nicht vergessen die Datei beim Einsenden Passwort zu schützen. (um eine versehentliche Infizierung vorzubeugen, falls die Datei einen echten Schädling enthalten sollte; dieser Passwortschutz kann z.B. mit WinZip bewerkstelligt werden)



Und damit wünsche ich allen ein schönes Wochenende. In der Hoffnung, daß bei Silkroad Online zukünftig keine weitere Schadensmeldung auftritt. Und in der Hoffnung, daß eine Diskussion um braun oder bunt zukünftig im Off-Topic Bereich ausgetragen wird, bzw. von den Moderatoren dorthin verschoben wird. Danke.

:prost: :prost:

Zitat

Original von Aurelia
Gute Nachrichten. Es gab inzwischen eine Bestätigung von Kaspersky selbst, daß es sich bei der sro_client.exe um ein Fall von False Positive handelt. Bitte schaut auch hier nach:

http://forum.kaspersky.com/index.php?showtopic=38911



Desweiteren möchte ich auf diesen Artikel hinweisen, falls es zukünftig bei Kaspersky einen ähnlichen Fall von Virenmeldung geben sollte:

http://www.viruslist.com/en/weblog?weblogid=172399883

You're probably wondering why we are mentioning the release of Quake IV, a first person shooter game. Well, unfortunately Kaspersky Anti-Virus was detecting the original Quake4.exe as Net-Worm.Win32.Mytob.bi for a few hours.

Within a very short time, reports started to appear on gaming forums about this issue. Unfortunately no-one sent Quake4.exe to our VirusLab. If they had, they would have received a reply demonstrating the issue had been fixed.

So in similar cases please send the file which is flagged as being malicious to our Virus Lab - newvirus@kaspersky.com You'll then find out for sure if it's a false positive or a correct detection. And by the way, don't forget to password protect the file.

It might well be that warez versions of Quake IV *do* contain some sort of Trojan. This was the case with a very popular crack for Half-Life 2 when the game was first released.


In Kurzform auf Deutsch:

Auch bei der Quake4.exe erkannte Kaspersky den Net_Worm.Win32.Mytob.bi und es hat sich bei diesem Fall ebenso herausgestellt, daß es nur ein Fall von false positive war. Innerhalb kurzer Zeit haben sich jedoch weltweit viele Spieleforen mit diesem Fall beschäftigt. Doch dummerweise hat keiner die fehlerhafte Quake4.exe an Kaspersky gesandt. Doch wenn sie es getan hätten, dann hätten sie eine Antwort erhalten, daß das Problem schon behoben wurde.

In vergleichbaren Fällen bittet Kaspersky das als bösartig verdächtigte File an das Virenlabor auf newvirus@kaspersky.com zu senden. Damit kann sicher herausgefunden werden, ob es ein false positive ist oder eine korrekte Erkennung. Doch bitte nicht vergessen die Datei beim Einsenden Passwort zu schützen. (um eine versehentliche Infizierung vorzubeugen, falls die Datei einen echten Schädling enthalten sollte; dieser Passwortschutz kann z.B. mit WinZip bewerkstelligt werden)



Und damit wünsche ich allen ein schönes Wochenende. In der Hoffnung, daß bei Silkroad Online zukünftig keine weitere Schadensmeldung auftritt. Und in der Hoffnung, daß eine Diskussion um braun oder bunt zukünftig im Off-Topic Bereich ausgetragen wird, bzw. von den Moderatoren dorthin verschoben wird. Danke.

:prost: :prost:

War ja eigentlich schon klar, dass es kein Trojaner ist.. Aber je mehr Posts, die ausdrücken, dass es ein Fehlalarm ist, desto sicherer ist man sich