Andreas Muenzberg's Board

[Admin]

Wie bereits angekündigt könnt ihr ab sofort ein kleines Tool herunterladen, das einen EICAR-Testvirus in eurem TB - Profilverzeichnis erstellt. Konkret wird eine Datei erstellt die eicar.com heißt und von jedem Virenscanner als Eicar-Test-Virus erkannt wird.
Eicar steht für "Europäisches Institut für Computer Anti-Viren Forschung" und wurde 1991 als eingetragener Verein in Deutschland gegründet. Der Virus ist standardisiert und besteht nur aus einem speziellen String ohne Schadroutine. (siehe auch http://www.eicar.org )

Mein Test läuft folgendermaßen ab:

- ladet euch das Programm von http://www.agsm.de/thunderbird/downloads/AV_test.exe herunter
- nach ausführen des Tests wird zunächst versucht das Default-Profil zu finden - dabei werden die ersten 3 eingetragenen Profile der profiles.ini untersucht. Wird in den ersten 3 Profilen das Default-Profil gefunden, so wird in diesem die Datei eicar.com erstellt. Der Virenscanner sollte während der ganzen Aktion ruhig bleiben. Kopiert diese Datei zum Testen auf euren Desktop...



diese Aktion sollte von eurem Virenscanner dann wieder entdeckt werden.

Zuckt der Virenscanner schon vor dem Kopieren, sind die Ausschlüsse noch nicht richtig eingestellt. Bei einigen Virenscannern muss evtl. nach dem Verzeichnisnamen auch mit Wildcards gearbeitet werden. Z.B.
C:\dokumente und Einstellungen\testuser\anwendungsdaten\thunderbird\*.*


schöne Grüße

Toolman

[Arran]

Hallo Toolman

Ich habe es probiert, aber in meinem (einzigen) Profil hat es keine neue Datei namens «eicar.com» erstellt.

Wenn ich auf die exe doppelclicke, will er eine Bestätigung, dass er ein (1) Profil entdeckt habe. Bei der Bejahung passiert nichts mehr, die Kommandozeile schliesst einfach.

[Admin]

und danach ist keine eicar.com in deinem Profilverzeichnis? Hmm... kannst du mir mal den Inhalt deiner profiles.ini schicken? Auch die Windowsversion wäre nicht schlecht. Ich muss gestehen dass ich das bei mir mit 2 Profilen getestet habe... evtl. ist der Part für ein Profil nicht ganz in Ordnung.

Teste das aber gleich noch mal durch.

Danke für deine Rückmeldung

Toolman

[Admin]

OK, jetzt ist eine neue Version oben mit der das auch bei einem Profil geht... irgendwo war wohl noch ein gleichnamiges File-Handle offen.





Ich schau mal ob die Dokus die von mir eingestellt wurden soweit passen... für Avira (s.o passt es jedenfalls - oben war noch kein Ausschluß für den Guard festgelegt - nach Einstellung des TB-Profilverzeichnisses zuckte der Virenscanner nicht mehr)

schöne Grüße

Toolman

[Arran]

«Alles ist vergänglich
nur der Kuhschwanz, der bleibt länglich...»

Soeben in MDR-Figaro-Radio über Satellit gehört....

Aslo hier meine Profiles.ini:

[General]
StartWithLastProfile=1

[Profile0]
Name=default
IsRelative=1
Path=Profiles/ikl9f8hs.default

Windows XP mit allem SP2 etc. (legale Version erst vor 2 Monaten auf CD gekauft... da ich offenbar beim Kauf des PC's eine irgendwie illegale Version erhalten habe.)

Gerade nochmals 2 x gemacht, und immer noch keine Datei bekommen. Ich habe die ganze C: durchsuchen lassen. Ich glaube, die anderen Drives kann ich mir sparen...

[Admin]

lad dir bitte noch mal das Tool runter... damit sollte es eigentlich klappen.

ich habe eine ganz ähnliche Konfiguration auf meiner VMWare und da hat es nach der kleinen Änderung geklappt. (Versteckte Elemente läßt du dir doch anzeigen, oder?)

schöne Grüße

Toolman

[Arran]

(Versteckte Elemente läßt du dir doch anzeigen, oder?)

Klaro. Bin ja ein Einzelplatz-Kämpfer...

[Arran]

Habe downgeloadet
Habe exekutiert
Habe gleiches erlebt wie zuvor
Deine Kästchen ist nicht gekommen.

Arran.

[Admin]

Hallo Arran,

Wenn der Virenscanner richtig eingestellt ist, kommt ja auch nichts... Ist denn auch die eicar.com nicht erstellt worden?

Diese müsste eigentlich bei dir in

%appdata%\thunderbird\Profiles\ikl9f8hs.default liegen. Kannst du mal DateianalyseTB ausführen und in der Textdatei nach der eicar.com suchen?

schöne Grüße

Toolman

[Admin]

ich bereite noch eine Ergänzung vor die eine Meldung ausgibt, wo das File genau abgelegt wurde. Evtl. geht ja daraus hervor warum es nciht geklappt hat.

Ich melde mich an dieser Stelle wenn die neue Version online ist.


schöne Grüße

Toolman

[Arran]

Diese müsste eigentlich bei dir in

%appdata%\thunderbird\Profiles\ikl9f8hs.default liegen. Kannst du mal DateianalyseTB ausführen und in der Textdatei nach der eicar.com suchen?

Sogar auf Deinem komplizierten Weg habe ich leider keine «eicar.com» gefunden.

Ich benutze zum Suchen lieber meinen «xplorer2» (http://zabkat.com/index.htm). Geht mir schneller von Hand als mit der Kommandozeile...

[Admin]

Hallo Arran,

so, ich habe jetzt eine kleine Änderung in die aktualisierte Version (1.0.0.3) eingearbeitet...



wenn du das Tool ausführst, kannst du mir mal das Meldungsfenster schicken?

schöne Grüße und danke für deine Tests.


Toolman

[Arran]

Hallo Toolman

Ich habe auch die neueste Version 3x durchgeführt, und dann die gesamte C: wieder abgesucht, es kommt keine eicar.com zum Vorschein.

Es passiert immer noch genau dasselbe, wie in der Version 1: das Kommandofenster, dann das kleine Kästchen mit dem immer gleichen Text wie im ersten Posting oben beschrieben. Die Sanduhr ist ca. 20" tätig und geht danach wieder in Ruhestellung.

Dasselbe passiert mit abgeschaltetem "Norman NIC" (habe ich jetzt wieder angeschaltet...

[Admin]

offenbar ein Scriptblogging von deinem Virenscanner. Die zweite Meldungsbox sollte aber trotzdem kommen - guck mal nach der Versionsnummer (rechte Maustaste auf die Datei):



1.0.0.3 - andernfalls stimmt was mit deinen cache-Einstellungen nicht (oder es wird irgendwo ein Proxy verwendet der die Änderung noch nicht mitbekommen hat).

schöne Grüße

Toolman

[Arran]

Genau wie Dein Screenshot. Ich habe die beiden anderen Downloads ja immer gleich gelöscht, bevor ich den neuen Downloade.