JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

[Crucky]

Hi, also wertmal vorweg, ich habe gesehen das vom 19.08 das Thema als gelöst eingestellt wurde (kann man nicht mehr drauf antworten), jedoch bekomme ich die gleiche Meldung (heute 23.08.) und Vorsicht ist besser als Nachsicht, darum nochmal mit einer genaue Beschreibung.

Was ich gemacht habe:
Direkt auf den Download Link in der JTL-Wawi: vom 17.08.2010 "Neue Version herunterladen: Download"

Dannach kommt gleich, bevor ich ausführen oder Speichern klicken konnte, die Avira Antivirus Meldung vom Guard (Standart Einstellugnen also nicht überaus agressiv eingestellt der Scanner):

In der Datei 'C:\Users\AIF- Shop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1DRW6X4S\setup-jtl-wawi_099690_100817[1].exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/Agent.1076.A' [program] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Was ich hieran interessant finde ist, dass ich den IE überhaut nicht benutze. Das Verzeichnis gibts bei mir auch garnicht.
Desweiteren verstehe ich das angehängte [1].exe nicht, da sich keine Datei in dem Verzeichnis befindet (also keinen Sinn macht vom Betriebsystem her ne [1] dranzuhängen) bzw das Verzeichnis noch garnicht gibt und der Orginallink von JTL auf http://www.jtl-software.de/downloads/setup-jtl-wawi_099690_100817.exe verweist.
Wo kein [1].exe hinten dran ist.

Reproduzierbar ist der Fehler jedoch nicht.
Und wenn ich die Datei normal herunterlade und scannen lasse ist auch kein Virus zu finden. Also wenn da was ist, klinkt sich da was zwischen den Link in der Wawi und
http://www.jtl-software.de/downloads/setup-jtl-wawi_099690_100817.exe

Oder AntiVir hat halt ne Meise (wobei dann die [1].exe nicht erklärt wird), aber wie gesagt Vorsicht ist da besser als wenn wir uns alle nen "Schnupfen einfangen . Und ich denke eine erneute Kontrolle ist hier durchaus sinnvoll.

Gruß Crucky

 

[Crucky]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Interessiert ja scheinbar niemanden, aber der Vollständigkeitshalber:

JTL-Wawi 099698 Update - gleiches Spiel wie bei der 099690 (mit dem Anhang [1] bzw [2] jedoch ist diesmal ist die Virusmeldung reproduzierbar immernoch Anti-Virus Avira Standard Einstellungen

http://www9.picfront.org/picture/s9zuWD3LM/thb/VirusJTL.png

Die Versionen bis 099696 & 099697 haben keine Meldung verursacht (auf 2 verschiedenen Rechnern getestet).

 

[Jolo]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Hab hier in meinem DL Ordner noch einige JTL-Versionen und mein BitDefender motz auch bei nochmaliger Kontrolle bei keiner rum?!

Was das bei dir ist kann ich dir leider nicht sagen...

 

[Crucky]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

naja ich bin zumindestens nicht ganz der einzige bei dem das auftaucht siehe Artikel:
http://forum.jtl-software.de/geloes...antivir-meldet-schaedlichen-programmcode.html

der ist jedoch schon als "gelöst" markiert darum konnte ich nicht drauf antworten.
Und bei der 099690 hatte ich wie beim anderen Artikel die Meldung nur einmal, jetzt ist sie beliebig oft reproduzierbar.
Und ich sag ja nicht das da nen Virus drauf ist, nur das die Meldungen kommen, wenn ich die Datei Scanne dann meldet er mir auch nichts mehr, nur beim anklicken des Download Links.
Trotzdem verunsichert einen das, wenn man ständig ne Virus Warung bekommt, dann 2 Versionen Ruhe und dann wieder..

 

[nomis]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Scan doch mal dein komplettes System. Ich denke nicht das es an der Setup Datei der Wawi hängt. Eventuell hast du dir ja wo anders etwas "eingefangen".

 

[ag-websolutions.de]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Interessiert ja scheinbar niemanden, aber der Vollständigkeitshalber:

JTL-Wawi 099698 Update - gleiches Spiel wie bei der 099690 (mit dem Anhang [1] bzw [2] jedoch ist diesmal ist die Virusmeldung reproduzierbar immernoch Anti-Virus Avira Standard Einstellungen

http://www9.picfront.org/picture/s9zuWD3LM/thb/VirusJTL.png

Die Versionen bis 099696 & 099697 haben keine Meldung verursacht (auf 2 verschiedenen Rechnern getestet).

Das was du uns da als Bild präsentierst ist doch keine Virenwarnung von Avira....sondern eine ganz normale Sicherheitswarnung von Win bei herunter geladenen Dateien ... ##mehr als verwirrt##

 

[nomis]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Nein, das ist schon eine Warnung von Antivir. Die richtige Meldung ist rechts unten.

 

[Dustin]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Das was du uns da als Bild präsentierst ist doch keine Virenwarnung von Avira....sondern eine ganz normale Sicherheitswarnung von Win bei herunter geladenen Dateien ... ##mehr als verwirrt##

Dann schau dir das Bild nochmal an ..... als Tipp die Avira Box rechts unten

 

[pikantum]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Was ähnliches hatte ich auch schon mal:

http://forum.jtl-software.de/geloes...n-von-jtl-wawi/23034-virus-der-setup-exe.html

War aber nichts schlimmes, ausser dem JTL-Virus, der sich in der E-Seller-Community schnell verbreitet.

 

[ag-websolutions.de]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

ja ja ja war was blind....ganz rechts unten...ts ts ts

Überprüfe mal im Expertenmodus von Avira bei Allgemeines->Gefahrenkategorien was du da angehakt hast...eventuelle "Alle aktivieren"??

 

[Crucky]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

@Nomis

Scan doch mal dein komplettes System.

Ich würde mich nicht wundern, wenn das Problem nicht auf zwei völlig unabhängigen Rechnern (Heimrechner & Bürorechner) identisch währe, da ist weder ne Netzverbindung noch sonstwas dazwischen und genau die gleichen Meldungen.

Und Punkt B der Kollege vom Artikel (Link von oben) hatte genau das gleiche Syntom wie ich - also bin ich kein völliger Einzelfall... und dann häufen sich so die Zufälle das man wieder skeptisch wird.

Wie gesagt, wenn ich die Datei scanne, ist die Virenfrei. Die Meldung kommt nur wenn ich den Download Link betätige, beim 099690 nicht reproduzierbar, im Moment (immernoch) reproduzierbar bei Version 099698 update.

Das kann an Avira liegen, wenn das so ist, sollte ein JTL user der auch Avira Anti-Virus benutzt die gleiche Meldung bekommen (wie bei der 099690 Version das ja auch schonmal gepostet worden war).
Nun stellt sich aber immernoch die Frage wieso bei den zwei Version? Vorher noch nie, und dazwischen auch nicht.
Frage B: wieso ist bei der Temp-Datei (beid er er ja meckert) nen [1] bzw [2] Erweiterung - bei der Datei die tatsächlich dann im Download Ordner landet aber nicht? (Die ist beim Erstdownload schon dran)

Kann alles nen großes Windoof Phänomen sein und nen übereifriges Avira, jedoch das ungute Gefühl bleibt halt und darum hab ich das hier gepostet, lieber zu vorsichtig sein, als Monatelang nen Virus zu verschlafen obwohl der gemeldet wurde. ...bzw ich hatte das quasi schon vergessen nur heute ist es halt schonwieder aufgetreten und dann auch noch reproduzierbar.

Zum Thema System scannen, hab ich bei beiden Rechnern gemacht... und wie gesagt die sind komplett unabhängig voneinander - ohne Ergebnis.

Was mich hier halt nur etwas wundert, wo sind die anderen Avira & JTL user? Die sagen "ist bei mir nicht der Fall" oder "jup, kommt bei mir auch".
Dann könnte man das Problem mal etwas näher einkreisen.

 

[Janusch]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Hallo,

bitte die Datei am besten hier prüfen: VirusTotal - Free Online Virus, Malware and URL Scanner
Die welche von uns im Downloadbereich steht ist Virenfrei.

Auch der aktuellste AVira mit Def. von Heute ist dort enthalten.

 

[ag-websolutions.de]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

und ich vermute immer noch es liegt an einer (zu scharfen) Antivir-Einstellung -->APPL

 

[ag-websolutions.de]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Was ich hieran interessant finde ist, dass ich den IE überhaut nicht benutze.

Vllt. nutzt aber die WaWi die Browser-Engine vom IE

 

[Crucky]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Hab die Datei aus dem Temp Ordner wie vorgeschlagen mal bei VirusTotal gescannt.
C:\Users\ Shop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KGWTH0Y2\

Funde/Ergebnis 2x:
Antiy-AVL 2.0.3.7 2010.09.25 Trojan/Win32.Banload.gen
VBA32 3.12.14.1 2010.09.24 Trojan-Downloader.Win32.Banload.axcd

Die normale Datei die im Download Ordner landet hab ich auch getestet und die ist Fehler/Virus frei laut VirusTotal.

Womit ich mit meiner Befürchtung das sich da was zwischenklemmt durchaus recht haben kann.
Klar, 2 Funde sind nicht unendlich viel, da VirusTotal ne ganze Liste scannt, aber wieso findet er bei der Datei aus dem Temp 2 Trojaner und in der normalen nichts? Und wieso hab ich dieses Fänoment bei unabhängigen Rechner (falls einer tatsächlich infiziert seien sollte?)

@Anja zu scharfe Viruseinstellungen gibt es nicht, entweder ist ein Virus/Trojaner da oder halt keiner, wenn man bedenkt, das man ohne Heuristik eh nur das scannen kann was des öfteren auffällig geworden ist (das ein Virushersteller sich ma bequemt ne Rutine zu schreiben) und JTL ist nun statistisch gesehen kein häufig benutzes Programm ist.

@Janusch das bei euch auf dem Server die Datei Virus frei ist deckt sich mit dem Scan der Datei die im Download Ordner landet. Die ist auch bei mir Virus frei.

Trotzdem stellt sich weiterhin die Frage wieso eine "andere" mit [1].exe Erweiterung und tatsächlich 2 Funden im IE Temp Verzeichnis landen kann. Wie gesagt ich benutze keinen IE nur Firefox.
Wie können überhaut 2 verschiedene Dateien heruntergeladen werden mit nur einem Link?

Der Download Link zeigt auf: http://www.jtl-software.de/downloads/setup-jtl-wawi_099698_100923.exe

heruntergeladen wird? Die im Temp Verzeichnis hat übrigends nur 93kb Dateigröße, weiss allerdings nicht ob das normal ist, da die Virus-Meldung ja sofort kommt bevor großartig etwas heruntergladen wird und Avira den Dateizugriff sperrt.

http://www13.picfront.org/picture/qrd5S8ZKT/thb/virus2.PNG

 

[Elmar]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Was ich gemacht habe:
Direkt auf den Download Link in der JTL-Wawi: vom 17.08.2010 "Neue Version herunterladen: Download"

Dannach kommt gleich, bevor ich ausführen oder Speichern klicken konnte, die Avira Antivirus Meldung vom Guard (Standart Einstellugnen also nicht überaus agressiv eingestellt der Scanner):

Gruß Crucky

Ja, dasselbe Problem hatte ich heute (25.09.2010) auch.

 

[ag-websolutions.de]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

@Anja zu scharfe Viruseinstellungen gibt es nicht, entweder ist ein Virus/Trojaner da oder halt keiner,

Schnickschnack ... mal ganz abgesehen davon, dass dein AVIRA keinen Trojaner meldet, sondern eine APPL.

Und die beiden VT-Ergebnisse sagen ja nun gar nichts aus. Die beiden Scanner schlagen bei allem an...aber wie du selber sehen kannst....selbst da muckt sich Avira nicht

 

[Crucky]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

@Anja

AVIRA keinen Trojaner meldet

Darum habe ich auch Virus/Trojaner geschrieben, aber meinetwegen Virus - oder - Trojaner - oder - APPL - oder -sonstiges und co -

Aber darum gehts auch überhaut nicht, Ich melde hier etwas was mir nun zum zweiten mal aufgefallen ist und wo ich denke, dass es von öffentlichen Interesse sein könnte. Die JTL Versionen dazwischen haben ja nichts gemeldet. Die erwartete Reaktion die etwas helfen könnte sind z.B. JTL & Avira User die eventuell die gleiche Meldung bekommen wie z.B. bei Elmar heute. Das zeigt mir das ich in kein Einzelfall bin und eventuell kommen von andern Usern noch ein paa Ideen wie man nun herausfinden kann ob oder was das nun ist.

Selbst wenn es kein Virus / Tojaner / APPL oder sonstetwas ist, es wird vom Virus Scanner nun einmal gemeldet. Das war bei den Versionen davor und dazwischen nicht der Fall und das man dann hellhörig wird ist wohl auch hier normal oder?

Um hier mal konstruktiv weiter zu kommen und nicht nur zu mutmaßen:

Also wer Lust hat weiterzuhelfen (Vorraussetzung ist das man das JTL Update 099698 (aktuelle) gemacht hat)
Im Verzeichnis "Dein Username" mit dem aktiven Benuzternamen ersetzen oder sich halt manuell durchklicken bis ins Verzeichnis:

C:\Users\Dein Username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1DRW6X4S\

ist dort eine Datei names:
setup-jtl-wawi_099698_100923.exe
oder
setup-jtl-wawi_099698_100923[1].exe

oder direkt nach "setup-jtl-wawi_099698_100923" in der globalen Suche eingeben (sollte aber versteckte Dateinen anzeigen eingeschaltet sein, sonst findet er nichts).

Dann schauen:
1. gibt es die Datei in dem Temp Verzeichnis? ja/nein
2. gibt es die Datei auf dem System? ja/nein
3. hat die Datei die Erweiterung [1].exe oder der gleichen?
4. welche Größe hat die Datei? 17.773kb, 93kb oder ganz was anderes?

und wenn eins der auffälligen Elemente da sein sollte ist, kann man die Datei selber bei Virus Total nochmal hochladen und scannen lassen, Ergebnisse posten wenn die von den hier Abweichen sollten - oder bestätigen wenns die gleichen sind.

 

[Janusch]

AW: JTL-Wawi 099690 : AntiVir meldet schädlichen Programmcode

Hallo,

falls der Download von der Wawi-Startseite gestartet wird -> das ist ein Teil des IE.
Die versch. Dateien [1] [2] usw. könnten drauf hindeuten das das Programm mehrfach heruntergeladen wurde. Dann wird autom. durchnummeriert. Dennoch müssen beide Dateien identisch sein und dürfen nicht verändert sein.

Falls möglich auf einen aktuellen IE updaten und dort die Addons prüfen. Evtl. hat sich dort etwas eingeschmugelt.