Lightys PC-Hilfe Forum

Seid geraumer Weile beobachte ich die seltsame Neigung von Avira Antivir (Freewareversion), dass das Programm beim Anschließen von Wechseldatenträgern (USB-HDD, USB-Stick etc. pp.) meldet (Beispiel):

"In der Datei 'X:\autorun.inf' wurde ein Virus oder unerwünschtes Programm 'WORM/Kido.IX' [worm] gefunden." *)

Seltsam deshalb, weil es 1. auf den Wechseldatenträgern gar keine autorun.inf gibt (auch nicht versteckt), 2. die Meldung auch nach der Option "Löschen" immer wieder erscheint und 3. imho eine *.inf als reine Textdatei keinen Schädling transportieren kann.

Wurde dieses Verhalten auch von anderer Seite bemerkt?

*) wahlweise auch 'WORM/Kido.IH.54'

Hallo AranankA,

ich habe mal ein wenig im Avira Forum geblättert:

Avira

50 Seiten über WORM/Kido.IX. Er scheint sich doch vorzugsweise über inf. Dateien in Wechseldatenträgern zu verbreiten.

Danke für die Antwort.
Beim Link bekomme ich: "Sie haben einen ungültigen oder nicht mehr gültigen Verweis aufgerufen. " des Supportforums.

Ansonsten wundert mich, wie sich ein Wurm über eine nicht vorhandene Textdatei auf einem leeren, bzw. ausschließlich mit MP3-Dateien gefüllten USB-Stick/HDD verbreiten kann/soll. Das ist für mich nicht nachvollziehbar. Nervig ist es allemal...

Hallo AranankA !

AranankA hat geschrieben:Orginalbeitrag Lesen

Danke für die Antwort.
Beim Link bekomme ich: "Sie haben einen ungültigen oder nicht mehr gültigen Verweis aufgerufen. " des Supportforums.

Das kommt daher, weil das "ach so feine" WBB die Suchen mit id's versieht !
( diese sind aber nur begrenzt gültig, also nicht generell verwend-/verlinkbar )

Ich linke daher mal direkt auf einen entsprechenden Thread !
http://forum.avira.com/wbb/index.php?pa ... post840002

Gut. Der Betroffenen schildert sein Problem in der gleichen Weise, wie ich es tue. Der Artikel geht aber im Weiteren davon aus, dass es eine autorun.inf gibt. Was nicht der Fall ist. Weder im Artikel, noch bei mir.
Ich bin der Meinung, dass AVIRA hier einen Bug verteidigt.
Welche Gefahr sollte außerdem von einer Datei (wenn es sie den gäbe) mit Inhalt der Form "[autorun]
icon=installation.jpg" ausgehen, wenn es nicht mal installation.jpg gibt?

... ka !?
Wie verhält sich der Stick denn, wenn er normal eingesteckt wird !?
Gibt es evtl. einen Boot-Bereich, wo die autorun liegen könnte !?

Ich habe 3 Sticks und 2 USB-HDD. Stöpsle ich die an, kommt sofort die besagte Warnung. Einer der Sticks ist abs. leer, auf den Anderen liegen nur TXT und MP3. Auf den HDD ausschließlich MP3. Es gibt keine Bootbereiche, keine versteckten oder systemgebundene Dateien. Einzig der (sichtbare - Option in den Ordneroptionen festgelegt) Ordner RECYCLE ist auf allen vorhanden: leer.
Es ist nun nicht so, dass es dramatisch wäre: Ich lasse AVIRA machen, was AVIRA machen möchte. Es nervt die Beharrlichkeit und die Reproduzierbarkeit der Warnung. Denn, egal welche der angebotenen Optionen von AVIRA man wählt: Beim nächsten Anstöpseln macht es wieder DingDong...
Kaspersky & Norton AntiVir melden im Übrigen gar nichts.

Klick mal auf den Conficker-Test der Uni Bonn.

Handelt es sich bei deinen Sticks um sog. U3-Sticks?

Danke für die Links und den Hinweis:

University of Bonn: Conficker Online Infection Indicator:
clean Status: There are no signs for an infection.

Es handelt sich um "stino" Sticks 8GB für 9.99€ von LIDL. Von U3 Funktionalität konnte ich nichts finden.

Jetzt bekomme ich die "Warnung" auch, wenn ich auf dem PC eine x-beliebige *.txt Datei erstelle: Rechtsklick im Ordner -> Neu -> Textdokument -> Namen vergeben -> DingDong: "In der Datei 'C:\Neues Texdokument.txt' wurde ein Virus oder unerwünschtes Programm 'TR/Spy242176' [trojan] gefunden."
Desgleichen bei den *tmp Dateien des Synchronisationssoftware (AllwaysSync): "In der Datei 'G:\SWAP\XP_BASIC\TEMP\_SYNCAPP\temp\4EFFC50B.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.242176' [trojan] gefunden."

Ich habe mal deinstalliert und mit der neusten Version neu installiert. Das bringt aber gar nix. Die Phantommeldungen häufen sich...

Das klingt für mich nicht mehr nach Phantommeldungen.
Ich fürchte, du hast dir da was ekliges eingefangen.

Wenn ich die HDD am NB anschließe und mit Kaspersky scannen lasse, wird sie als sauber deklariert. Und: Wo soll in einer gerade erstellten leeren Textdatei was ekliges herkommen? Die ist auch leer, wenn ich sie mir mit einem Hexeditor ansehe...

Hallo AranankA !

... sehr suspekt !?

Antivir hat diese TR/Spy 242176 übrigens schon länger in der Liste !
http://www.avira.com/de/threats/section ... 4.124.html
http://www.avira.com/de/threats/section ... 4.196.html

Mein Problem an der Sache ist nicht die Definiton an sich. Mein Problem ist die Art und Weise, sowie die Richtung, aus der hier eine angebliche Bedrohung erfolgt sein soll.
Angenommen, ich hätte mir eine TXT aus dem INet gesaugt und erhielte diese Meldung, dann könnte ich das ja noch nach vollziehen. Aber nicht, wenn ich selber eine leere(!)TXT Datei erstelle und nicht mal mit dem INet verbunden bin. Dasselbe gilt für LOG Dateien, TMP Dateien und INIs.

... es sei denn, es wird eine generelle Verbindung zu z.B. *.txt, *.log ... etc. hergestellt !?