einszweidrei
May 07, 2007, updated at May 12, 2007 (UTC)
view7782
view11
0
Goto Top

TRAutoit.L.1

GermansolvedQuestionViruses, TrojansSecurity

trojaner/virus??

hallo

ich hab mir vor einigen wochen einen FritzBox reconnecter runtergeladen, ihn auf viren überprüft und dann des öfteren auhc angewendet (kein viren/trojaner befund!!!)

nach einem update von antivir hab ich das programm wieder starten wollen, jedoch zeigte er mir plötzlich einen virus/trojaner befund an

und zwar diesen: TR/Autoit.L.1

hab bei google gesucht und da stand was mit übernahme usw.

ist das jetzt ein trojaner/virus wenn ja was für einer, oder is das nur ein fake??

(antivir hat es vorher nich gefunden!!!)


MfG
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 58417

Url: https://administrator.de/contentid/58417

Printed on: April 18, 2024 at 11:04 o'clock

11 Comments
Latest comment
Goto Top
Member: gnarff
gnarff May 08, 2007 at 00:26:38 (UTC)
Goto Top
Hallo 1-3!
Ich glaube kaum, dass Du diesen Trojaner von dem Downloadserver der Firma AVM, Hersteller der FritzBox, bezogen hast. Darueberhinaus habe ich in der Downloadsektion von AVM auch keinen "Reconnector" gefunden. Wie auch immer...

Der Trojaner TR/Autoit.L.1 ist eine Variante des TR/Autoit.X auch bekannt unter den Namen
• Mcafee: W32/YahLover.worm
• Kaspersky: Trojan.Win32.Autoit.x
• Sophos: Troj/Tiotua-A

Die Beschreibung von AVIRA ist veraltet:
http://www.avira.com/en/threats/section/fulldetails/id_vir/3310/tr_auto ...

Das gute Stueck verbreitet sich ueber Instant Messenger, Chats, P2P-Verbindungen und per Email.

-Schalte die Systemwiederherstellung aus
-Gehe zu http://www.bitdefender.de/ und nimm den Onlinescanner in Anspruch
-Starte den Rechner neu

saludos
gnarff
Member: Soidberg
Soidberg May 08, 2007 at 07:20:56 (UTC)
Goto Top
Es kann auch eine Fehlmeldung sein. Autoit wird von manchen Scannern generell nicht geliebt.

Am besten ist du lädst die Datei mal hier:

http://www.virustotal.com/en/indexf.html

hoch und scanne das Ding mal.

Es kann sein das es tatsächlich der bereits bekannte Schädling ist oder aber auch nur tatsächlich ein reconnerterskript das einfach einen gewissen Anteil an gleiche Strings/Befehlen nutzt und somit falsch eingestuft wird. Die obiger Seite scannt deinen File mit verschiedenen Engines.

AntiVir ist (meine Meinung nach) sowieso etwas unzuverlässig.

Gruß Soidberg
Member: einszweidrei
einszweidrei May 08, 2007 at 16:47:01 (UTC)
Goto Top
das hab ich bei virustotal bekommen

Complete scanning result of "reconnect.bat", received in VirusTotal at 05.08.2007, 16:14:33 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.9.0 05.08.2007 no virus found
AntiVir 7.4.0.15 05.08.2007 TR/Autoit.L.1
Authentium 4.93.8 05.07.2007 no virus found
Avast 4.7.997.0 05.07.2007 no virus found
AVG 7.5.0.467 05.07.2007 no virus found
BitDefender 7.2 05.08.2007 Trojan.Autoit.L
CAT-QuickHeal 9.00 05.08.2007 AdWare.Maxifiles.j (Not a Virus)
ClamAV devel-20070416 05.08.2007 no virus found
DrWeb 4.33 05.08.2007 no virus found
eSafe 7.0.15.0 05.07.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3618 05.08.2007 no virus found
Ewido 4.0 05.08.2007 no virus found
FileAdvisor 1 05.08.2007 No threat detected
Fortinet 2.85.0.0 05.08.2007 suspicious
F-Prot 4.3.2.48 05.07.2007 no virus found
F-Secure 6.70.13030.0 05.08.2007 no virus found
Ikarus T3.1.1.7 05.08.2007 Trojan-Downloader.Win32.AutoIt.a
Kaspersky 4.0.2.24 05.08.2007 no virus found
McAfee 5025 05.07.2007 no virus found
Microsoft 1.2503 05.07.2007 no virus found
NOD32v2 2249 05.08.2007 no virus found
Norman 5.80.02 05.08.2007 no virus found
Panda 9.0.0.4 05.07.2007 Suspicious file
Prevx1 V2 05.08.2007 no virus found
Sophos 4.17.0 05.07.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.08.2007 no virus found
TheHacker 6.1.6.109 05.08.2007 no virus found
VBA32 3.12.0 05.08.2007 no virus found
VirusBuster 4.3.7:9 05.08.2007 no virus found
Webwasher-Gateway 6.0.1 05.08.2007 Trojan.Autoit.L.1


es wird nichmal von kapersky oder norten erkannt, ist es dann also schlimm??
Member: gnarff
gnarff May 08, 2007 at 20:04:34 (UTC)
Goto Top
Gut, ich habe verstanden, pack mir Deinen reconnect.bat 5-Zeiler in ein *.RAR oder *.ZIP-Koefferchen und schicke mir das per Email an ceo_ at_ampersand-it.com;
ich schaue mir das dann an und sage Dir ob da ein Schaedling inkorporiert ist oder nicht.
saludos
gnarff

PS: Warum holst Du dir kein Kabelmodem, dann bist Du rund um die Uhr mit dem Internet verbunden , ohne Probleme.
Oder gibt es soetwas in Deutschland noch nicht?
Member: Soidberg
Soidberg May 08, 2007 at 23:17:14 (UTC)
Goto Top
PS: Warum holst Du dir kein Kabelmodem, dann
bist Du rund um die Uhr mit dem Internet
verbunden , ohne Probleme.
Oder gibt es soetwas in Deutschland noch
nicht?

Diese .bat unterbricht die Internetverbindung und baut Sie wieder auf. Mehr nicht.

Gruß Soidberg
Member: gnarff
gnarff May 09, 2007 at 00:13:20 (UTC)
Goto Top
Das weiss ich, Soidberg!
Wenn Du allerdings ueber eine Internetverbindung via Kabelprovider verfuegst brauchst du keine reconnector.bat oder andere Spirenzchen, Du hast Internet rund um die Uhr.
Meine Frage war ob es das in Deutschland gibt, oder nicht...
saludos
gnarff
Member: Soidberg
Soidberg May 10, 2007 at 15:06:24 (UTC)
Goto Top
Das weiss ich, Soidberg!
Wenn Du allerdings ueber eine
Internetverbindung via Kabelprovider
verfuegst brauchst du keine reconnector.bat
oder andere Spirenzchen, Du hast Internet
rund um die Uhr.
Meine Frage war ob es das in Deutschland
gibt, oder nicht...
saludos
gnarff

Ja gibt es. Allerdings war von einem Kabelprovider nicht die Rede, du schriebst *Kabelmodem*!

Zum anderen dienen diese .bat´s nicht unbedingt dem reconnecten nach einer Zwangstrennung, sondern meistens um eine Trennung selber durchzuführen und damit eine neue Ip zu erhalten.

Das mit der neuen Ip ist bei Kabelanbietern schwierig da diese mit statischen Ip arbeiten.

Soidberg
Member: gnarff
gnarff May 10, 2007 at 20:44:53 (UTC)
Goto Top
@Soidberg

Das mit der neuen Ip ist bei Kabelanbietern
schwierig da diese mit statischen Ip
arbeiten.

Sieh mal an, das wusste ich nicht. Hier, in Costa Rica, gibt es via Kabelprovider zunaechst einmal eine dynamische IP. Die Statische muss extra bei staatlichen Fernmeldebehoerde beantragen und fuer teures Geld mieten.

Das ich von einem Kabelmodem gesprochen habe, macht doch Sinn -oder wie moechtest Du sonst Internet via Kabel beziehen??

@123
Kannst du mir die reconnect.bat bitte noch einmal schicken?
Unser Mailscanner hat die gnadenlos weggbuerstet. Ich habe Dir per E-Mail die Addresse einer alternativen Mailbox uebermittelt...
UND dieses mal BITTE im ZIP oder RAR-Format, sprich komprimiert!

saludos
gnarff
Member: Soidberg
Soidberg May 11, 2007 at 15:15:40 (UTC)
Goto Top
@gnarff
Um das offtopic mal zu beenden, in erster Linie ist (für mich) ein Kabelmodem kein Wlan Modem ;) Nachdem du dann den Kabelprovider eingebracht hattest habe ich erkannt was du meinst.

So, und nun Back2Topic...

Soidberg
Member: gnarff
gnarff May 11, 2007 at 19:39:30 (UTC)
Goto Top
Gut, soidberg, zurueck zum Thema1

@1-3
Ich habe die reconnect.bat u.A. durch den debugger gejagt und bin zu dem Ergebnis gekommen, das keine Schadensroutine im Code enthalten ist. Der Alarm deiner AV-Loesung kommt zustande, weil reconnect.bat auf die UserShell zugreift.
Im folgenden Screenshot kannst Du im Ueberblick sehen, was waehrend der Ausfuehrung ablaeuft:
http://img71.imageshack.us/img71/6416/debuggerr3c1lm6.png

Stelle deine AV-Loesung so ein, das die Ausfuehrung von reconnect.bat erlaubt wird.

saludos
gnarff
Member: einszweidrei
einszweidrei May 12, 2007 at 20:02:37 (UTC)
Goto Top
danke für die antworten,
puh jetzt bin ich erleichtert....
GermansolvedQuestionViruses, TrojansSecurity
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment