Backdoor-Virus - was nun?

    • Infreed42
      Infreed42
      Bronze
      Dabei seit: 08.07.2007 Beiträge: 3.320
      C:\pagefile.sys
      [WARNUNG] Die Datei konnte nicht geöffnet werden!
      C:\Programme\PokerOffice\chatcontainer.dll
      [FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.eim





      whats my line?

      isngesamt hat antvir 4 solcher datein gefunden und gelöscht. komm' ich ums formatieren herum? gibt es sonst etwas, das ich direkt tun kann? pws von pokeraccs und netteler/mb ändern oder so... ?!


      thx 4 fast help
  • 6 Antworten
    • Simon699
      Simon699
      Bronze
      Dabei seit: 07.08.2007 Beiträge: 839
      update: hab gerade nen thread im pokeroffice-forum gefunden, denke,
      da wird man morgen spätestens eine vernünftige antowrt finden
      Link zum Thread
      ja hab ich auch.
      virus-total zeigt folgendes:
      Antivirus Version letzte aktualisierung Ergebnis
      AhnLab-V3 2008.2.6.10 2008.02.05 -
      AntiVir 7.6.0.62 2008.02.06 BDS/Agent.ein
      Authentium 4.93.8 2008.02.06 -
      Avast 4.7.1098.0 2008.02.06 -
      AVG 7.5.0.516 2008.02.06 -
      BitDefender 7.2 2008.02.06 -
      CAT-QuickHeal 9.00 2008.02.04 -
      ClamAV 0.92 2008.02.06 -
      DrWeb 4.44.0.09170 2008.02.06 -
      eSafe 7.0.15.0 2008.01.28 -
      eTrust-Vet 31.3.5512 2008.02.05 -
      Ewido 4.0 2008.02.06 -
      FileAdvisor 1 2008.02.07 -
      Fortinet 3.14.0.0 2008.02.06 W32/Agent.EIN!tr.bdr
      F-Prot 4.4.2.54 2008.02.06 -
      F-Secure 6.70.13260.0 2008.02.06 Backdoor.Win32.Agent.ein
      Ikarus T3.1.1.20 2008.02.06 -
      Kaspersky 7.0.0.125 2008.02.07 Backdoor.Win32.Agent.ein
      McAfee 5224 2008.02.06 -
      Microsoft 1.3204 2008.02.06 -
      NOD32v2 2854 2008.02.06 -
      Norman 5.80.02 2008.02.06 -
      Panda 9.0.0.4 2008.02.06 -
      Prevx1 V2 2008.02.07 -
      Rising 20.29.22.00 2008.01.30 -
      Sophos 4.26.0 2008.02.06 -
      Sunbelt 2.2.907.0 2008.02.05 -
      Symantec 10 2008.02.06 -
      TheHacker 6.2.9.211 2008.02.06 -
      VBA32 3.12.6.0 2008.02.06 -
      VirusBuster 4.3.26:9 2008.02.06 -
      Webwasher-Gateway 6.6.2 2008.02.06 Trojan.Backdoor.Agent.ein

      hab schon dem support von pokeroffice geschrieben
    • Infreed42
      Infreed42
      Bronze
      Dabei seit: 08.07.2007 Beiträge: 3.320
      help still needed... auch wenn ihr nichts wisst. postet es !
    • Simon699
      Simon699
      Bronze
      Dabei seit: 07.08.2007 Beiträge: 839
      support hat geschrieben, dass die beiden files definitv harmlos sind. außerdem soll es morgen einen offiziellen report in dem oben genannten thread geben. also den virenschutz einfach die beiden dateien ignorieren lassen, dann funktioniert pokeroffice (wenn du mit dem risiko leben kannst)
    • PokerKinski
      PokerKinski
      Bronze
      Dabei seit: 25.09.2006 Beiträge: 4.351
      Ist bei mir auch seit dem vorletzten Antivir update so. Dummerweis hatte ich gleich auf Zugriff verweigern geklickt, was eine Neuinstallation von PO erforderte. Hab die Dateien jetzt auch vom Gard ignorieren lassen ...
      Mal schauen, wer da schneller updatet PO oder Antivir ?
    • Tobiatch
      Tobiatch
      Bronze
      Dabei seit: 12.02.2006 Beiträge: 1.182
      generell würde ich euch raten, weniger erkannte dateien zu löschen und mehr in quarantäne zu verschieben, dort bleiben sie der nachwelt erhalten UND können bei bedarf erneut überprüft / widerhergestellt werden.
    • xxfreundxx
      xxfreundxx
      Bronze
      Dabei seit: 03.01.2008 Beiträge: 30
      Hier mal die Antworten aus dem PO Forum... leider nicht ganz so aufschlußreich wie ich es gerne hätte:

      First of all sorry for beeing a bit late in answering.

      The file(s) in question does of course not have any trojan/virus or other malicious code in it at least not when we release the file from us. I guess there is a small chance that people who are infected with a virus could get files in PO infected too.

      However since everyone seem to have got a warnig on the same file at the same time I think it is just a false positive.

      I will look into this right away (prio 1) and get back here as soon as I can. I will also contact some antivirus companies about this issue so that you should not even get a warning message (this will of course take some time)

      First of all I will verify 100% that there are no problems with pnthandler.dll and get back here ASAP.



      PS
      On January 23 it find a "trojaner" named InjLib.dll in the PO\bin-folder is one such case where we have 100% verified that it is a false positive and the fille is OK
      DS

      PSS
      Can you please let us know if there are any other file than pnthandler.dll that give you this?
      (updatexxx.exe contains the pnthandler file since it is a install file and does notcount
      DSS

      I have now scanned the complete PokerOffice program folder (c:\program files\pokeroffice\) with both Trend Micro Antivirus and F-secure Anti-Virus 2008 (using definition version 2008-02-08_02). Neither antivirus can find anything wrong with any file.

      This raises a few questions; are you using the same (2008-02-08_02) definition file? If you are, have your version of pnthandler been infected by a virus?

      My suggestion is that you try to install the latest patch: http://www.pokeroffice.com/update.exe

      Directly after the install make a virus scan and see if you get the same result as before. Also try to start PO and see if it works.

      Even if you do not get a warning after updating and PO works the virus that infected your computer can still be present in the registry and in your system folder. So a complete virus scan clean up might be needed.

      Again it would be very good if some people could send in the files to F-secure etc, both the file you get a varning for and if you do not get a warning for the file after you reinstalled maybe send that file too.

      You can also send the infected file to us so we can compare it to our own original one.

      I will keep monitoring this thread today and in the weekend to see what evolves.