W32/Ramnit.A weg oder noch da???

hallo liebe com,
ich hab mir gestern über nacht einen metin2 privatserver heruntergeladen(für die die nicht wissen was das ist, das ist ein onlinerollenspiel^^). am morgen entpackte ich die datei auf meinen desktop, während des entpackvorgangs hat mir mein Avira ne meldung gegeben "W32/Ramnit.A... da und da gefunden. hab sofort danach im internet gelesen, was das denn für einer ist. viele behaupteten der sei unzerstörbar und spioniert passwörter aus und zerstört .exe und .html dateien und man solle sofort neu aufsetzen. mein avira sagt aber das schadenspotenzial sei niedrig, jetz weiß ich nicht auf wen ich mich verlassen kann. nach dem ersten suchlauf hab ich den virus in quarantäne verschoben und im abgesicherten modus nochmal suchen lassen um zu sehen ob er sich schon verbreitet hatte, da war dann aber nichts. jetz weiß ich nicht ist der noch da und klaut mir gerade sämtliche daten und macht alles kaputt oder ist der weg und ich kann wieder in ruhe spielen?
ich bedanke mich schonmal im vorraus

mfg

 

Wo hast du das runter geladen, normal ist das ein sauberes Game?

Gruß kingjon

 

hab ich schon hunderte davon runtergeladen und gezockt hatte solche probleme noch nie
hier die homepage: xxxx

 

Ja, ich bekomme auch eine Meldung - scheint verseucht zu sein!
Hast du schon etwas davon installiert oder gleich den Download abgebrochen?


Gruß kingjon

 

nachdem suchlauf wurde die downgeloadete zip datei in quarantäne gestellt. habe die entpackte datei nochmal extra mit avira überprüfen lassen und da war nix drin. spielen funktioniert einwandfrei. der download lief über nacht aber da ist nichts passiert, erst beim entpacken

 

Tja, gute Frage. So wie du das Vorgehen schilderst, hast du gute Chancen, dass der Trojaner noch nicht ausgeführt wurde, weil Avira früh genug kläffte. Wenn irgendwo Malware entdeckt wurde, bedeutet das ja noch nicht, dass sie ausgeführt wurde (obwohl manche sofort "Neu aufsetzen!" schreien, wenn sie nur Trojaner lesen und anschließend die Leute mit Halbwissen Bange machen).

Du hast mehrere Möglichkeiten:

Du kannst das System mit einer (besser mehreren) Live-CD "von außen" scannen. Wenn nix gefunden wird, kannst du hoffen und beten, dass da nichts ist. Du hast Grund zur Hoffnung, dass da nichts ist.

Du kannst jemanden, der wirklich Ahnung hat, Live und in Farbe an den PC lassen. Wenn da eine Infektion ist, wird er sie höchstwahrscheinlich finden.

Wenn du ganz sicher gehen willst und das ist per Ferndiagnose der einfachste und sicherste Rat: Plattmachen

 

hm ja danke erstmal auch wenn ich das mit dem plattmachen jetz nich so verstehe , aber ich werde ma mein onkel oder nen klassenkameraden fragen, die sind ganz gut bei der sache wenns um sowas geht.

mich verwirrt halt am meisten, dass im internet gemunkelt wird, der sei absolut tödlich und mein avira sagt niedriges schadenspotenzial. das ist etwas verwirrend

 

Bei mir wurde schon beim Start des Download gewarnt.
Hast du den Kram installiert?
Dann bleibt dir vermutlich nur "platt machen", also das System neu aufsetzen.
Ich würde mich aber vorher an Avira und an den Hersteller der Software wenden, es könnte evtl. auch ein Fehlalarm sein.

Gruß kingjon

 

ich wurde beim entpacken gewarnt.
das muss man nicht installieren nur entpacken und los gehts
neu aufsetzen wär aber kacke weil auf dem pc sind meine sämtlichen spiele+ speicherstände und ich weiß jetz nicht ob die damit infiziert sind..

 

Und warum hast du da nicht reagiert und aufgehört, aber nein - das Programm muss dann auch noch ausgeführt werde....

Hättest du besser nicht getan.

Die Daten könntest du vorher auf einem Stick sichern und testen bevor du sie zurück kopierst.

Hast du dein System inzwischen mal gescannt, also ein ausführlicher Scan?

Gruß kingjon

 

Dann war das entweder rechtzeitig oder ein Fehlalarm.

Und du hast auf die Warnung gepfiffen, weil... ?

Achje...Avira. Inkompetenz in Reinform. Derartige Risikoabschätzungen (auch von anderen Herstellern) kannst du knicken.

WO und WO gefunden? DAS wäre wichtig.

 

Nochmal^^: Beim entpacken der downgeloadeten .zip datei kam eine virus meldung die zum pfad der .zip datei führte(D:/Daten/Downloads/"diedatei", name is nich mehr bekannt da ja bereits entfernt) hab das entpacken nicht abgebrochen, vermutlich blöd von mir, stimmt eig. dann hab ich im internet nachgesehen um was es sich da genau handelt und bin erschrocken was das teil so alles fabrizieren kann. danach hab ich den suchlauf mit Avira gestartet. ging ne weile, danach wurde die .zip datei mit virus drin von avira in quarantäne verschoben. um mich zu vergewissern, dass der virus nicht auf andere dateien schon übergegriffen hat(stand im internet das der das macht) hab ich den suchlauf nochmal im abgesicherten modus laufen lassen, da hat er jedoch nichts gefunden. daraufhin hab ich die ENTPACKTE datei nochmal extra mit avira überprüft(geht ja mit rechtsklick drauf), da war ebenfalls kein fund. gespielt hab ich auf dem server bereits, wobei das sollte keine auswirkungen haben. auf die warnung gepfiffen hab ich nicht ^^ hab ja gleich etwas unternommen.

ich entschuldige mich dafür das es hier paar verständnisprobleme gab hoffe ma jetz kann man mehr daraus schließen

 

Avira hat eine Ereignisanzeige.

 

Dein Avira speichert einen Fundbericht/Meldungsreport und den kannst du einsehen. Da steht dann auch der komplette Pfad mit Dateiname.

 

hier mal alle ereignis logs von avira die mit dem zu tun hatten (Frozen-World ist der privatserver)
1. 1.12.2012, 9:33
In der Datei 'C:\Dokumente und Einstellungen\User\Desktop\Frozen-World\artpclnt.dll'
wurde ein Virus oder unerwünschtes Programm 'W32/Ramnit.A' [virus] gefunden.
Ausgeführte Aktion: Übergeben an Scanner
2. 1.12.2012, 9:34
Die Datei 'C:\Dokumente und Einstellungen\User\Desktop\Frozen-World\artpclnt.dll'
enthielt einen Virus oder unerwünschtes Programm 'W32/Ramnit.A' [virus].
Durchgeführte Aktion(en):
Die Datei wurde repariert.
Die Datei wurde von der Generische reparatur wegen des Types <W32> ausgenommen.
3. 1.12.2012 18:53
Die Datei 'D:\Daten\Downloads\fw2.rar'
enthielt einen Virus oder unerwünschtes Programm 'W32/Ramnit.A' [virus].
Durchgeführte Aktion(en):
Die Datei wurde von der Generische reparatur wegen des Types <W32> ausgenommen.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5258e756.qua' verschoben!

ist jetz komisch das die virus meldung meinte "D:/Daten/Downloads" und der Report sagt "C:/Dokumente..."
danke für alles bis jetzt

 

Nö, is nich komisch. Offenbar landen bei dir Downloads zuerstmal in besagtem Ordner. Bereits zu dem Zeitpunkt, als diese Datei auf die Platte geschrieben wurde, stellte wohl der Wächter den vermeintlichen oder echten Schädling fest. Später dann beim Auspacken wurde er wieder gefunden.

Was wirklich komisch ist und ein schlechtes Bild auf Avira wirft, ist, dass dieser erste Fund im Bericht nicht auftaucht und ein Entpacken überhaupt noch möglich war.

Da würde mich mal interessieren, wie die repariert wurde. Wenn ich das richtig verstehe, ist diese DLL bei dir jetzt für besagtes Spiel weiterhin existent und im Einsatz, wird aber nicht mehr angemeckert. Korrekt? Dann mal bei www.virustotal.com testen lassen und aktuelles Ergebnis verlinken.

 

alles klar vielen dank ich werde die datei mal da durch jagen, aber kann ich nicht sofort machen, da der infizierte pc bei meinem vater steht und ich unter der woche bei meiner mutter bin ^^ ich werd sobald wie möglich die ergebnisse dazu editen

mfg

 

so, tut mir leid, dass ich nen doppelpost mache, aber das dazuediten geht wohl nich so recht oder ich bin zu blöde dazu ^^

hier das ergebnis von virustotal
File already analysed
This file was already analysed by VirusTotal on 2012-11-30 21:08:38.

Detection ratio: 0/46

You can take a look at the last analysis or analyse it again now.

 

Na, das sieht doch gut aus! Wenn du nun noch ganz, ganz sicher gehen willst, könntest du die Datei noch mal analysieren lassen. Falls dann wieder das Ergebnis rauskommt, würde ich die Sache vergessen.

 

Den Fund von Avira kann man in der Tat als Fehlalarm (false positive) abhaken, aber wenn man das System gründlicher untersucht, könnten andere Schädlinge zum Vorschein kommen. Wenn man das Gefühl hat, dass etwas nicht stimmt, sollte man nicht zur Tagesordnung übergehen.