Hi,

Avira AntiVir Premium schockte mich soeben mit einem angeblichen Trojanerfund. Hier der Auszug aus dem Log:

F:\ARBEITSRECHNER\Backup Set 2010-08-05 104517\Backup Files 2010-08-05 104517\Backup files 23.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen2
--> C/Users/Richard/Downloads/surun.zip
[1] Archivtyp: ZIP
--> InstallSuRun.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488784d3.qua' verschoben!
F:\ARBEITSRECHNER\Backup Set 2010-08-19 150000\Backup Files 2010-08-19 150000\Backup files 23.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen2
--> C/Users/Richard/Downloads/surun.zip
[1] Archivtyp: ZIP
--> InstallSuRun.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5010ad5c.qua' verschoben!
F:\ARBEITSRECHNER\Backup Set 2010-09-03 150001\Backup Files 2010-09-03 150001\Backup files 23.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen2
--> C/Users/Richard/Downloads/surun.zip
[1] Archivtyp: ZIP
--> InstallSuRun.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '024ff6cc.qua' verschoben!
F:\ARBEITSRECHNER\Backup Set 2010-09-17 150001\Backup Files 2010-09-17 150001\Backup files 23.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen2
--> C/Users/Richard/Downloads/surun.zip
[1] Archivtyp: ZIP
--> InstallSuRun.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6478bbb4.qua' verschoben!

Stutzig macht mich, dass dieser "Trojaner" in 4 Backupsätzen gefunden werden, die alle zeitlich relativ weit auseinander liegen - dabei mache ich täglich Backup. Die Originaldatei konnte ich nicht scannen, weil sie gelöscht wurde. Ich benutze unter Win7 SuRun nicht, sondern nur auf meinem XP-Rechner.

Freundliche Grüße

Richard Fonfra
Das ist eine falsche Positivmeldung!
Ich kompiliere jede SuRun-Version und packe danach sofort das Archiv.
InstallSuRun.exe enthält alle anderen SuRun-Dateien als Ressourcen.
Ich denke, dass der Virenscanner das anmeckert.
InstallSuRun hat sich seit Ewigkeiten nicht verändert.
Deshalb meldet der Scanner auch alte SuRun-Versionen als Viren.

Weil der Quelltext mit im ZIP ist, kannst das einfach prüfen. Besorge Dir ein VC, führe BuildSuRun.cmd aus und scanne direkt danach InstallSuRun.exe...
Du hast offenbar recht. Zig Virenscanner finden in SuRun nichts, nur Avira.

Ich habe mir einen VC besorgt, finde aber den Quelltext nicht. Die SuRun-Version ist 1.2.0.8. Wird der Quelltext nur ausgepackt, wenn man SuRun installiert? Wenn ja, müsste ich ihn ja unter C:\Programme\SuRun auf meinem XP-Rechner finden.

MfG

Richard
Du hattest diese Frage gestern auch in de.comp.os.ms-windows.misc und ungefähr ein Dutzend im Tenor gleichlautende Antworten (Avira läßt FP grüßen) bekommen. Das zur Vervollständigung. (Womit nicht gesagt ist, daß du das Selbst-Kompilat nicht erstellen sollst oder eine Rückfrage hier unangebracht sei; es wird jedoch nichts praktisches dabei heraus kommen. Berichte bitte dein Ergebnis, denn es ist anzunehmen, daß auch andere Avira-FP-Geplagte die Meldung erhalten werden.)
Hi,

ich bin kein Programmierer. Wie kompiliere ich jetzt dieser zig Dateien, die ich auf meinen Desktop kopiert habe? Eine Datei names BuildSuRun.cmd habe ich auf der ganzen Festplatte nicht gefunden.

Grüße

Richard
@Cosmo

Soll ich deinen Beitrag als Tadel verstehen? Ich möchte kein Risiko eingehen. Auch war man in der von dir erwähnten NG nicht einhellig der Meinung, dass es sich bei mir um einen Fehlalarm handelt.

Mittlerweile hat mir Avira geschrieben, die Analyse der beigefügten Datei habe ergeben, dass es sich um einen Fehlalarm handle und man werde demnächst entsprechend nachbessern. Eine Datei hatte ich gar keine angefügt, das Schreiben war wohl ein Textbaustein.

Trotzdem interessiert es mich spaßeshalber, SuRun selber mal zu kompilieren. Kompiliert habe ich das letzte Mal vor ca. 20 Jahren mit Turbo Pascal, deswegen reizt mich das jetzt der Nostalgie wegen.
rifo wrote:Soll ich deinen Beitrag als Tadel verstehen?
Verstehe ich nicht, denn ich hatte geschrieben:
Cosmo wrote:Womit nicht gesagt ist, daß ... eine Rückfrage hier unangebracht sei. Berichte bitte dein Ergebnis.[1]
Wie man das so wie interpretieren kann, erschließt sich mir nicht. Wie du meinen Beitrag verstehen willst, werde ich dir nicht vorgeben, mit meiner Aussage hat das gegebenenfalls nichts zu tun.

[1] Ich hatte übrigens auch dazu geschrieben gehabt, warum du das tun solltest. Wie richtig das war, zeigt sich prompt auch bereits heute: http://forum.kay-bruns.de/thread/373;?unb776sess=705571dc55f02693e8ca8be6ceaf981f
rifo wrote: Wie kompiliere ich jetzt dieser zig Dateien, die ich auf meinen Desktop kopiert habe?
Eine Datei names BuildSuRun.cmd habe ich auf der ganzen Festplatte nicht gefunden.
...noch ein Whoops...die ist nicht im ZIP. :blush:
Hab's gerade gesehen... (wusste schon gar nicht mehr, was man braucht, um SuRun zu kompilieren...)
Danach habe ich mal VS2005 in einer VM installiert und gesehen, was man wirklich braucht.

* Compiler: SuRun zu kompilieren geht auf jeden Fall mit VC6 (Visual Studio 6) und VC8 (Visual Studio 2005). (Es soll auch mit den neueren Versionen gehen, aber das habe ich nicht probiert)
* Windows SDK: Für Visual Studio 6 brauchst Du auf jeden Fall noch das "Plattform SDK Feb. 2003".(z.B. hier http://groups.google.com/group/microsoft.public.platformsdk.sdk_install/msg/087b0178f5d8159e) Das wird zum Kompilieren der x64-Version benötigt. Für Visual Studio 2005 brauchst Du auch ein Windows SDK. Die Version sollte allerdings egal sein. (Hab's nur mit dem o.g. SDK probiert, es werden nur die beiden Dateien wtsapi32.h und wtsapi32.lib benötigt).
* UPX.exe: InstallSuRun ist mit UPX gepackt. Das brauchst Du also auch (im %PATH%!).

Wenn Du VS2005 benutzt, kannst Du "SuRun.sln" öffnen, und dann erst "x64 Unicode Release|x64", dann "SuRun32 Unicode Release|Win32" und zuletzt "Unicode Release|Win32" kompilieren, oder ein cmd im SuRun-Ordner öffnen, und folgende batch ausführen:
[indent]
call "%VS80COMNTOOLS%vsvars32.bat"
"%DevEnvDir%\devenv" /rebuild "x64 Unicode Release|x64" "SuRun.sln"
"%DevEnvDir%\devenv" /rebuild "SuRun32 Unicode Release|Win32" "SuRun.sln"
"%DevEnvDir%\devenv" /rebuild "Unicode Release|Win32" "SuRun.sln"
[/indent]

Bei VC6 ist es kompizierter, da die x64 Version mit dem Compiler des SDK gebaut werden muss:
(Ich habe das SDK in E:\MSTOOLS und VC6 in E:\VStudio installiert)
[indent]
if "%MSSDK%"=="" SET MSSDK=E:\MSTOOLS
SET VC6Dir=%MSDevDir%\..\..
if "%VC6Dir%"=="\..\.." SET VC6Dir=E:\VStudio

SETLOCAL
call %VC6Dir%\VC98\Bin\VCVARS32.BAT
call %MSSDK%\SetEnv.Cmd /X64 /RETAIL
echo building SuRunX64
%VC6Dir%\Common\MSDev98\Bin\MSDEV.EXE /useenv SuRun.dsw /MAKE "SuRun - Win32 x64 Unicode Release" /REBUILD /OUT %TMP%\SuRun64.log
ENDLOCAL
type %TMP%\SuRun64.log
del %TMP%\SuRun64.log 1>NUL 2>NUL

SETLOCAL
set MSVCDir=%VC6Dir%\VC98
set DevEnvDir=%VC6Dir%\Common\IDE
call %VC6Dir%\VC98\Bin\VCVARS32.BAT
call %MSSDK%\SetEnv.Cmd /2000 /RETAIL
set MSVCVer=6.0
echo building SuRun32
%VC6Dir%\Common\MSDev98\Bin\MSDEV.EXE /useenv SuRun.dsw /MAKE "SuRun - Win32 Unicode Release" "SuRun - Win32 SuRun32 Unicode Release" "InstallSuRun - Win32 Release" /REBUILD /OUT %TMP%\SuRun32.log
ENDLOCAL
type %TMP%\SuRun32.log
del %TMP%\SuRun32.log 1>NUL 2>NUL
goto Done
[/indent]

Ich hoffe es klappt. ;-)
@Cosmo:

Hatte wohl einen schlechten Tag. Vergessen wir's.
Ich hatte noch keine Zeit, SuRun zu kompilieren. Da ich keine der von dir angegebenen Versionen habe, weiß ich auch nicht, ob's ohne Weiteres geht. Ich habe gestern MS Visual Studio 2010 Express und den SQL-Server 2008 heruntergeladen; ob ich letzteres brauche, weiß ich nicht.
Ich habe VC2005 gefunden (ich hoffe, von den vielen angebotenen Versionen und Varianten habe ich die richtige genommen) und die 2010er Version wieder runtergeschmissen. Die scheint sich ohnehin nicht mit Avira AntiVir vertragen zu haben. Vielleicht komme ich heute noch dazu, SuRun damit zu kompilieren. Sollte das unter Win7 nicht gehen, probiere ich es einfach von meinem XP-Rechner aus.
Beim Auspacken des SDK kriege ich die Fehlermeldung, dass die Datei CoreSDK-common.1.4.cab beschädigt sei. Ist das irrelevant?

Bei der Installation des VC2005 kriege ich allerdings die Meldung, diese Version sei inkompatibel mit Win7, vielleicht weil ich die 64-Bit-Version habe. Der angebotene Patch sowie der SP sind jedenfalls x86-Versionen. UPX habe ich runtergeladen, die Batchdatei erstellt.

Bevor ich aber evtl. mit einem inkompatiblen VC mein Win7 zerschieße: Müsste es gehen oder soll ich doch lieber auf meinem XP-Rechner (32 Bit) die Sache durchziehen?
Ich habe jetzt alles auf meinem XP-Rechner installiert, aber wenn ich die kompilieren.bat ausführe (die Batch für VS2005), wird devenv nicht gefunden. Mit der Windows-Suche finde ich es auch nicht. Was läuft da schief? Ich rufe die Batch übrigens in einem SuRun-cmd-Fenster auf.

Wenn es einen Trick gäbe, um upx in den Pfad reinzubekommen, ohne diese ellenlangen 3 Zeilen abtippen und in diese Batch reinzupacken, wäre ich auch ganz froh.
Ich habe gestern noch nicht geantwortet, weil ich selbst am Ausprobieren bin, wie das mit frei verfügbaren Compilern leicht geht.

DevEnv ist ab VS2005 Standard Edition (die ich noch habe) dabei, fehlt aber bei VS2010 Express (Das ich gestern runter lud)... Du kannst evtl. "SuRun.sln" direkt in Visual Studio laden und in der Reihenfolge, wie oben beschrieben, kompilieren.

Ich mache das mal "Wasserdicht" und schreibe dann, wie es geht.
OK, bin schon sehr gespannt.
* Gestern konnte ich VC++2010 Express mit Windows SDK 7 testen... geht gar nicht, ohne die Projektdatei zu verändern. Die Express-Version zickt! ...hab's aufgegeben.
* Heute habe ich VS2005 Express in Verbindung mit Windows Server 2003 R2 SDK getestet. Da fehlen wichtige Header-Dateien und Win7 x64 mault Kompatibilätsprobleme bei VS2005 an. Also geht das auch nicht.

Ist wohl eher nix, mit den "Express"-Versionen.

...vielleicht geht ja MingW? ;-)

Zum glück meckert Avira jetzt nicht mehr.

Aber ich werde weiter versuchen, eine einfache Build-Umgebungs-Anleitung zu basteln.

Als nächstes ist VS 2005 standard mit Windows Server 2003 R2 SDK dran, aber nicht mehr heute. :-O
6 Tage später
...hat etwas gedauert, aber Ich habe jetzt "Visual Studio 2005 Standard" mit dem "Microsoft Platform SDK for Windows Server 2003 R2" funktioniert das Kompilieren "fast" direkt.

In VS2005 muss man die "Include", "Lib" und "Lib\AMD64" Verzeichnisse und den Pfad zu UPX.exe eintragen, dann geht:
[indent]
SETLOCAL
if NOT "%VS80COMNTOOLS%"=="" call "%VS80COMNTOOLS%vsvars32.bat"
msbuild SuRun.sln /t:Rebuild /p:Configuration="x64 Unicode Release" /p:Platform=x64
msbuild SuRun.sln /t:Rebuild /p:Configuration="SuRun32 Unicode Release" /p:Platform=Win32
msbuild SuRun.sln /t:Rebuild /p:Configuration="Unicode Release" /p:Platform=Win32
ENDLOCAL
[/indent]

Praktikabel ist das aber nicht!
Ich muss ein "lang verfügbares" Produkt finden, mit dem sich SuRun kompilieren lässt!
Ist ja "eigentlich" leicht, nur Standard C++ und Header Files mit Ressourcen und fertig.

VS2010 will das Projekt-File von VS2005 schon nicht mehr öffnen. Beim Konvertieren meckert es auch und kann schließlich SuRun nicht kompilieren. Was sich MS dabei nur gedacht hat...
Eine Antwort schreiben…
Impressum, Datenschutz