AntiVir meldet Trojaner auf der Recovery Partition

[oXmoX]

Hallo zusammen,

als ich heute mein Thinkpad mit scancl (der Komandozeilen-Variante von Avira AntiVir) gescannt habe, erhielt ich die Meldung:

ALERT: [TR/Agent.qrzd] Q:\FactoryRecovery\cdrivebackup.wim --> 1\swwork\APP9\ZREC65R2\DateX.exe <<< Is the Trojan horse TR/Agent.qrzd [archive scan abort]
Q:\FactoryRecovery\cdrivebackup.wim [move failed] [Q:\FactoryRecovery\RECOVERY.INI]

Für den Scan habe ich die folgenden Parameter verwendet:
scancl.exe --allhard --allfiles --allboot --scaninarchive --heurlevel=3 --log="scan.log" --defaultaction=clean,move

Eine Google-Suche nach dem Virus war leider ohne Ergebnis.
AntiVir, MalwareBytes Anti Malware sowie spybot s&d rödeln bei mir zweimal pro Woche per Skript durch. So viel Aufwand und jetzt hats mich doch erwischt !

Was kann ich nun tun, um wieder eine saubere Recovery Partition zu bekommen?

Viele Grüße
-- oXmoX

 

[Mornsgrans]

Nix machen - ist garantiert ein false-positive.
nach dem nächsten Avira-Update ist alles wieder normal.

 

[BerndN100]

Hallo Feunde,
möchte das obige Thema nochmals nachfragen!
-Habe meinen Win7(64) Lappi SL510, mit Avira Rescue CD gescannt und selbigen Fehler wie oben erhalten.
Leider blieb der Scan dann immer an dieser Stelle hängen.
Da Avira aber seit oben schon diverse Updates erhalten hat, beunruhigt mich dieses Ergebnis doch etwas.
Was sollte ich tun- bitte um Hilfe

Bernd

 

[Mornsgrans]

In welchen Dateien hat Avira angeblich etwas gefunden? Sicherst Du Deine Daten mit Rescue and Recovery??

 

[Mornsgrans]

In welchen Dateien hat Avira angeblich etwas gefunden? Sicherst Du Deine Daten mit Rescue and Recovery?

Führe mal einen Scan mit Trendmico Housecall durch.
housecall.trendmicro.com/de/

Avira ist teilweise sehr nervig mit false positives.

 

[BerndN100]

Hallo Mornsgrans,
- in der wie oben bei oxMox beschrieben
- ja, ich sichere mit R&R

Avira / Linux Version 1.9.152.0

Copyright (c) 2010 by Avira GmbH
All rights reserved.

engine set: 8.2.12.2
VDF
Version:7.11.61.82

Scan start time: Sat Feb 16 20:38:48 2013

configuration file: /etc/avira/scancl.conf

ALERT: [TR/Agent.qrzd] /media/Devices/sda3/FactoryRecovery/cdrivebackup.wim --> 1 <<< Is the Trojan horse TR/Agent.qrzd

 

[cuco]

Datei bei Avira einreichen. Meist ist dann in wenigen Tagen ein Update da, was die Datei nicht mehr als false-positive erkennt.

 

[BerndN100]

Danke und wie/ wo macht man das "Einreichen"?

-Noch ne`andere Frage:
War mein scan "von Aussen" mit Antivir RescueCD nicht eigentlich eh blöd, weil ich ja online mit Free Antivir unterwegs bin?
Sollte man wegen der "blinden Flecken" nicht sicherheitshalber mit einer anderen Firmen CD scannen?

Danke Bernd

 

[Mornsgrans]

Kannst Du sicherstellen, dass R&R nicht auf die Recoverypartition (Windows 7)sichert? Könnte genauso im Backup stecken.

 

[BerndN100]

kann mit Deiner Frage nichts anfangen- wie finde ich das heraus?

 

[BerndN100]

Habe ebend Housecall/ Schnellsuche und Benutzerdef./ LaufwerkQ drüberlaufen lassen.
-keine Funde-

 

[cuco]

Danke und wie/ wo macht man das "Einreichen"?

https://analysis.avira.com/

 

[BerndN100]

Danke cuco,
aber wie sollte ich dann nun mit diesem:
-TR/Agent.qrzd-
weiter verfahren?

 

[cuco]

In der Virenmeldung steht doch, welche Datei das ist, die betroffen ist. Laut Startposting ist das:

ALERT: [TR/Agent.qrzd] Q:\FactoryRecovery\cdrivebackup.wim --> 1\swwork\APP9\ZREC65R2\DateX.exe <<< Is the Trojan horse TR/Agent.qrzd [archive scan abort]
Q:\FactoryRecovery\cdrivebackup.wim [move failed] [Q:\FactoryRecovery\RECOVERY.INI]

Also nimmst du genau die Datei (cdrivebackup.wim) und reichst sie ein. Noch besser wäre, nur die enthaltende DateX.exe zu verschicken. Dafür musst du die cdrivebackup.wim aber erstmal entpacken und ich weiß nicht, was für ein Archivformat die benutzt haben. Falls der Virenscanner das blockiert, schaltest du ihn so lange ab. So lange du die DateX.exe nicht ausführst, brauchst du nichts zu befürchten. Und selbst wenn - da es sich ja mit großer Wahrscheinlichkeit um einen Fehlalarm handelt, ist auch ein Ausführen der Datei kein Problem, falls du sie aus Versehen startest oder so ^^. Nach dem Einreichen das reaktivieren des Virenscanners nicht verschicken.

 

[BerndN100]

OK, danke für Eure Hilfe.