Hier soll ein Sammelthread entstehen, indem über aktuelle Fehlalarme über AV's berichtet wird.
Ich fang dann mal an:
F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.
Hi
SmartSniff von Nirsoft wird von eSafe als FP erkannt: http://www.virustotal.com/de/analisis/d3719511952efbab158cad3d69f69076
Bis vor kurzem auch noch von a-squared, dass wurde aber schnell gefixed...
Wer hat Kontakt zu eSafe?
Scrapie
Die Files, die von eSafe als "Suspicious File" gemeldet werden, werden soweit ich weiss nicht gefixt, solange es keine "bedeutsamen" Files sind.
Okay, ich schick's mal hin...
a-squared FP bei enzip.exe aus einem alten F-Prot-Archiv: http://www.virustotal.com/de/analisis/ec441550fe84d95df8dddd2237fa7fce
Ich geh'jetzt erst mal zur Arbeit ,
Scrapie
Avast und somit auch GDATA erkennt die Installationsdatei von Panda IS 2008 oder 2009 als virus. Zahlreiche Beschwerden und eine PM an Gdatamitarbeiter blieben erfolglos. Auch eine e-mail an Avast brachte keine Besserung. AVG hat ebenfalls die Datei bemängelt, hat jedoch 4h nach meiner FP einsendung reagiert und den FP eingeräumt und ihn aus den Signaturen genommen. vorbildlich.
Gdata und auch Avast erkennt in Programm PcTools Registry Cleaner 7 ebenfalls einen Virus. Auch hier bisher alle Beschwerden und Einsendung an die Gdata Ambulanz nach Scan als FP erfolglos. Schwach kann ich nur sagen!
Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...
Kannst du das File über das Programm zu denen senden?
Üblicherweise werden solche Einreichungen bevorzugt bearbeitet.
Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661
Dies erkennen sie auch noch fälschlicherweise.
Hast du die Heuristik aktiviert?
ThreatFire/PCTools
VBoxWHQLFake.exe als Worm.AutoIt.s erkannt.
C:\Programme\Sun\xVM VirtualBox Guest Additions\VBoxWHQLFake.exe
http://www.virustotal.com/analisis/fdab050332f8f3e58fa6b06ccc43b420
Datei gehört zur Guest Additions von VirtualBox.
Vor 3 Tagen per Upload Formular gemeldet. Habe es jetzt zusätzlich noch im PCTools Forum geschrieben.
Edit:
Noch mal was gefunden.
UniExtract.exe als Worm.AutoIt.s.
http://www.virustotal.com/analisis/e...fa67ea87713018
http://legroom.net/software/uniextract
xpy.exe Result: 16/36
Und alles anscheinend ein Fehlalarme.
http://www.virustotal.com/analisis/768ac652eb52ceb987fc36108c05bf49
http://xpy.whyeye.org/2008/05/16/your-antivirus-says/
Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.
@kurz-pc:
http://de.wikipedia.org/wiki/AutoIt ist berüchtigt dafür, dass es von den AV's zu unrecht erkannt wird.
Für Kinder, die selber noch keine richtige Programmiersprache können, ist es oft der Einstieg in ihre große Virenschreiberkarriere.
Damit können sie schnell mit ein paar Klicks und einer handvoll Befehlen Dinge steuern + es kann Eingaben und Mausklicks ausführen. Das Resultat wird dann von Hause aus schon gepackt und augenblicklich springen (die Heuristiken) vieler AV's an, wenn es nur leicht nach AutoIt riecht.
Wenn ich daher im Result AutoIt lese => ab in die VM und selber checken...
Scrapie
Die Neugier hat mich gepackt und ich teste gerade mal die Home Edition von avast!.
Einziges FP bei der Prüfung der Festplatten war "F:\Programme\AceBIT\Password Depot 3\PasswordDepot.exe".
Da wurde angeblich ein "Win32:Dropper-PD(Trj)" erkannt.
Das ist nicht viel, wenn ich bedenke was die in a-squared Anti-Malware enthaltene Ikarus-Engine so alles gefunden haben will.
FP übers Programm gemeldet - nun ich bin gespannt was passiert.
G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene 60 FP.
Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...
hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.
Moin Stefan, Moin Sasser!
Die Avast-Engine von GData hat die FP´s produziert. Ich habe eh den Eindruck, dass eher Avast mehr FP´meldet als BitDefender.
Bis denne
Olli
Sophos - alle paar Tage ein beliebiger USB Stick.
Domino
False Positive:
http://www.gdata.de/ erkennt mit Engine B die neue Version von http://vil.nai.com/vil/stinger/
als einen http://vil.nai.com/vil/content/v_99380.htm an.
Virus: Win32:Simile (Engine B) (Auch bekannt als http://vil.nai.com/vil/content/v_99380.htm)
Datei: http://vil.nai.com/vil/stinger/
Verzeichnis: C:\Dokumente und Einstellungen\...\...
Prozess: Explorer.EXE
Wurde bereits an G DATA gemeldet.
Oh oh ... Bitdefender erkannte heute angeblich eine Windows-Datei:
http://www.heise.de/security/Bitdefender-und-GData-loeschen-Winlogon-Systemdatei--/news/meldung/132540
Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz
Gruß Prozessor
Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.
Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.
AdAware 2008 beanstandet mit Def. 0146.0011 a²HiJackFree.exe als Trojan.Spybanker, sicherlich falsch und schon eingesendet.
MfG
Ad-Aware AE beanstandet schon mal diverse DLL-Files als "Suspicous files", wohl etwas überempfindlich die Heuristik
Ein Fehlalarm von a² -> war wohl gravierend
http://forum.emsisoft.com/Default.aspx?g=posts&t=4499
SecureWeb-Gateway hält die explorer.exe für schädlich Win32.LooksLike.Virut.
http://www.virustotal.com/analisis/c443b025429cc3aed4d41ec590c0e1d3
hat jemand die Adresse von SecureWeb für fp?
Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:
http://www.virustotal.com/de/analisis/f81826fb33401af1f6d4fa38e1f79d578482c6c031bb7fc06cae88f6fa7dbc21-1244018537
Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.
Deep Paint gibt's hier: http://www.chip.de/downloads/Deep-Paint_16395518.html
Ich habe es mal zu Gdata gesendet. Mal sehe, was passiert.
Bis denne
Olli
Danke, olli.
Und es geht weiter mit GData:
in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.html
finde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]
Auf Virscan.org melden alle andere Scanner aber nix, so dass ich stark von einem Fehlalarm ausgehen.
Die Datei habe ich auch schon eingesendet.
Bis denne
olli
Da waren sie aber wesentlich flotter als seinerzeit Symantec! Dort geht die FP-Behebung (auch wenn FPs selten bis gar nicht vorkommen, der SpeedCommander-FP war in einem Einstellungssicherungsmodul bei Heuristik hoch) nur über ein dämliches Webseitchen, ohne Datei-Upload-Möglichkeit. Und das hat Wochen gedauert. OK, FPs sind im Gegensatz zum G-Data-Zeugs eher nicht vorhanden, dennoch...
Bei mir hat Symantec vor kurzem ein FP der innerhalb 24 Stunden bestätigt und entfernt wurde.
Allerding hab ich es per Formular eingeschickt und nicht per Mail.
https://submit.symantec.com/false_positive/index.html
Im Moment ärger ich mich über Bitdefender versuch seit dem 16.04.09 ein FP entfernen zu lassen die melden sich aber einfach nicht und entfernt wird auch nichts.
VT vom 16.04.09 Result: 14/40 (35.00%)
http://www.virustotal.com/analisis/0df4e31548193bf4291900a9ff7eeb4ca2f6e45bf83256971fde0475972ddeae-1239893077
VT von 06.06.09 Result: 7/39 (17.95%) (Panda hat am 04.06.2009 den FP bestätigt)
http://www.virustotal.com/analisis/0df4e31548193bf4291900a9ff7eeb4ca2f6e45bf83256971fde0475972ddeae-1244321569
Wahrscheinlich weil es einfacher ist, wenn ihnen jemand die Arbeit abnimmt?
http://www.withopf.com/tools/hdiskdefrag/ wird von AntiVir seit dem letzten Update - fälschlicherweise - als Adspy.Gen erkannt.
So wie es aussieht, wissen die schon davon:
Die Datei 'HDiskDefrag.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.
Die Datei 'HDiskDefrag.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist.
Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.
voipdiscount
wird auch als backdoor erkannt, wird montag gefixt
OK der fehlalarm wurde behoben in voipdiscount
Hier sieht man wie schnell das reagiert werden kann.
*ggg*
und es scheint in anderen produkten der firma wohl noch fps zu geben, eine frechheit ist das, die leute ein ganzes we auf ein update warten zu lassen. zumal es bei avira im moment wohl verhäuft zu fps kommt wie es aussieht.
Avira AntiVir Premium meldet, wenn ich mich bei studivz einloggen will:
Enthält verdächtigen Code: HEUR/HTML.Malware
Hierfür ist die Heuristik von AntiVir verantwortlich. Vermutlich ein Fehlalarm.
Hast du das eingesandt?
2 Dateien von Flash Cookie Manager - vermutlich ein Fehlalarm.
http://www.virustotal.com/de/analisis/5792d428fc969d5c70bff56937103b926ea6b174ad4b3950dedd78676037c24a-1247960493
http://www.virustotal.com/de/analisis/05dff01aaea7c1ffaec09ac0a84f1b14a47ace69213a02f96226c27a0d29271a-1247961206
Avira findet auf der D-Link Seite HEUR/HTML.Malware.
http://www.virustotal.com/analisis/7854bb4302f9d160b71cc6e5d901facda3ecfa07ac8a3cc9b54649f0bbb4be2b-1249243375
http://support.dlink.de/solution/Scripts/CSBRCommon.js
Mal sehen wie lange die brauchen um das zu Fixen.
a-squared
Prozess C:\WINDOWS\Explorer.EXE
gefunden: Worm.Downloader.SZ!IK
Das ist aber ein empfindlicher Fehlalarm!
Norman Antivirus legt Windows XP lahm
Quelle: PCWelt
http://www.pcwelt.de/start/sicherheit/antivirus/news/2105206/fehlalarm-in-norman-antivirus-legt-windows-xp-lahm/index.html
Die kernel32.dll sollte eigentlich nicht gemeldet werden.
Immer wenn ich von solchen schwerwiegenden FPs lese dann frage ich mich warum die Entwickler keine Whitlist für die wirklich wichtigen Windows Dateien hinterlegen die eine höhere Priorität hat als jede Signatur?!
Ich kann das auch nicht nachvollziehen ....
Naja, wenn man bei einer Whitelist fehler macht sodass ein bestimmer Virus immer durchkommt ist auch nicht so angenehm, aber besser als wenn das ganze System kaputt geht. xD
Naja, genau dafür, dass sie das richtig machen zahlt der Kunde ja schließlich. Und so eine Whitlist kann nicht so schwierig sein.
VIPRE steckt winlogon.exe in Quarantäne
http://www.pcwelt.de/start/sicherheit/antivirus/news/2105372/vipre-steckt-winlogonexe-in-quarantaene/index.html
Es trifft immer nur Win XP.
Und es trifft in letzter Zeit auch immer nur AVs, die man sowieso nicht empfehlen kann.
Ich liebe die Avira-Heuristik
http://process-explorer.softonic.de/
[attachment=5688:avira.png]
Wenn ich den Link aufrufe, meldet sich Avira. Warum und an welcher Stelle (javascript) ist ja erst mal Schnuppe. Dass Avira nicht wild eine Homepage bemeckert ist selbstredend. So viel traue ich denen schon zu.
[attachment=5691:avira.png]
Bei softsonic wird von Avira jedes Script bemeckert. Nur eben nicht von anderer AV-Software.
Hast schon Recht, ich wollte nur damit zum Ausdruck bringen, dass von einem geblockten javascript die Welt nicht untergeht,
FP 2. Klasse sozusagen.
J4U
Gerade kam die Antwort von Avira, es ist ein Falsch-Positiv
Kaspersky mit einem Fehlalarm: http://www.heise.de/newsticker/meldung/Kaspersky-Fehlalarm-bei-Google-Ads-912740.html
Kaspersky meldet beim Aufruf der Prosieben-Website HEUR:Trojan.Script.Generic
Bitdefender-Update legt Windows-Rechner lahm (64-Bit)
http://www.heise.de/security/meldung/Bitdefender-Update-legt-Windows-Rechner-lahm-959945.html
http://www.bitdefender.com/site/KnowledgeBase/consumer/#640
Windows = Trojan.FakeAlert
Eine Stellungnahme von BD zum Fehlalarm:
http://www.bitdefender.de/NW1433-de--bitdefender:-trojan.fakealert.5.html
Hier ist nochmal eine Stellungnahme von BitDefender zu dem Thema:
http://www.bitdefender.de/NW1441-de--bitdefender-update-support.html
Bis denne
Olli
Gabs wohl keine Qualitätskontrolle vor dem Bereitstellen der Signatur.
Ist aber auch ein Grund, warum ich nach der Installation eines AV-Programmes immer als erstes das automatische Verschieben in die Quarantäne abschalte.
Nun hat es auch Kaspersky, und Jiangmin, und CAT-QuickHeal, erwischt
Stammt von dem c´t-Notfall-Windows Projekt.
http://www.virustotal.com/de/analisis/2999faf7e9e1f9f0601b46f7086cc76a16157352cc0669b0547c8de65f0ab404-1269626849
Oder doch nicht ?!
Catweazle
a-squared, AntiVir, Antiy-AVL, Fortinet, McAfee-GW-Edition, TheHacker
http://www.virustotal.com/de/analisis/0c3ffaefe5c1f6bbde13a85092fdc7cfcc577582218526470701d03ae58acddb-1269797679
a-squared Free - Version 4.5
Letztes Update: 28.03.2010 15:59:44
Scan Einstellungen:
Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: An
ADS Scan: An
Scan Beginn: 28.03.2010 16:23:44
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269525900281000 gefunden: Trace.TrackingCookie.doubleclick.net!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269543767156000 gefunden: Trace.TrackingCookie.count!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269599029578001 gefunden: Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614036578000 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614037718000 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614037718001 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269628005968000 gefunden: Trace.TrackingCookie.www.googleadservices.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629114734000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629619296000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629651390000 gefunden: Trace.TrackingCookie.tribalfusion.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269700647796000 gefunden: Trace.TrackingCookie.m.webtrends.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713178203000 gefunden: Trace.TrackingCookie.d1.openx.org!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713345578000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713346718000 gefunden: Trace.TrackingCookie.ads.us.e-planning.net!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713492531001 gefunden: Trace.TrackingCookie.ad.zanox.com!A2
D:\C`t-Motfall-Windows\Projects\Tools\$1\I386\system32\keyreader.exe gefunden: Trojan.Win32.Buzus.dfnm!A2
Gescannt
Dateien: 342790
Traces: 404762
Cookies: 477
Prozesse: 27
Gefunden
Dateien: 1
Traces: 0
Cookies: 17
Prozesse: 0
Registry Keys: 0
Scan Ende: 28.03.2010 17:43:43
Scan Zeit: 1:19:59
Catweazle
Sende die Datei keyreader.exe ein und schreibe dazu, dass du einen False Positive vermutest.
Kann ich leider nicht mer. Hab ich wahrscheinlich versehentlich gestern von KAV löschem lassen
Sorry.
Catweazle
Wieso gelöscht? Das Ding ist doch auf der Notfall-CD?
...sehr komisch, jetzt habe ich das ganze Archiv noch mal entpackt, wo das alte lag, und jetzt finde ich diese datei nicht mer.
Catweazle
Jetzt ist McAfee an der Reihe und macht Windows XP SP3 unbenutzbar
http://www.heise.de/security/meldung/Signatur-Update-von-McAfee-macht-Windows-PCs-unbenutzbar-983603.html
Und nu is es weg lmfao.gif
a-squared Free - Version 4.5
Letztes Update: 25.04.2010 16:35:31
Scan Einstellungen:
Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: An
ADS Scan: An
Scan Beginn: 25.04.2010 17:03:17
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272203281062001 gefunden: Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272206389886000 gefunden: Trace.TrackingCookie.doubleclick.net!A2
F:\USB Disk Storage Format Tool\sp27608.exe gefunden: Trojan.Win32.Dropper!A2
Gescannt
Dateien: 329193
Traces: 407730
Cookies: 1287
Prozesse: 28
Gefunden
Dateien: 1
Traces: 0
Cookies: 2
Prozesse: 0
Registry Keys: 0
Scan Ende: 25.04.2010 18:18:02
Scan Zeit: 1:14:45
F:\USB Disk Storage Format Tool\sp27608.exe Quarantäne Trojan.Win32.Dropper!A2
Quarantäne
Dateien: 1
Traces: 0
Cookies: 0
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272203281062001 Gelöscht Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272206389886000 Gelöscht Trace.TrackingCookie.doubleclick.net!A2
Gelöscht
Dateien: 0
Traces: 0
Cookies: 2
Und ein komisches VT Ergebnis, haben wir auch noch. Ja eingesand habe ich es gestern, oder vorgestern.
Nun ja man kann die, bzw. das Programm sich erneut runter laden, aber das müßte nicht sein thumbdown.gif stirnklatsch.gif
http://www.virustotal.com/de/analisis/5d16...d45f-1272216451
Catweazle
Forum mit Trojaner ?!
http://www.forum64.de/wbb3/board105-forum-intern/board39-kritik-und-anregungen-zum-forum/36703-forum64-mit-trojaner/?highlight=
Catweazle
@ scu
Das müßte der richtige Link sein, http://www.forum64.de/wbb3/board105-forum-intern/board39-kritik-und-anregungen-zum-forum/36703-forum64-mit-trojaner/?highlight=
Ich glaube nicht, versuchs mal.
Catweazle
Hi scu, doch geht schon. Bin mal soeben im Forum
Wird wol nicht gehen, ich bin ja dort angemeldet, wen ich dieses Forum mit dem IE8 ansteueren tuhe, komme ich dort auch nicht hin.
Catweazle
@ Rios
Kannst du dort lesen, auch wen du dort nicht angemeldet bist, ist das so, über meinen geposteten Fred/Link ?
Catweazle
Avast meldet die Windows Defragmentation als Malware. Vorsicht.
Was mich mal interessieren würde, hatte NOD32 eigentlich schon irgendwann mal einen gravierenden Fehlalarm, also das eine Systemdatei als Schädling erkannt wurde ?
Ich kann mich nämlich nicht daran erinnern von ESET schon jemals so etwas gehört zu haben.
http://www.thepatri0t.net/2009/03/09/nod32-false-alarm-win32-kryptik-jx/
Könnte das eventuell jemand mit AVAST5 testen ? Ist bestimmt ein FP
WirelessNetView v1.26
http://www.nirsoft.net/utils/wireless_network_view.html
http://www.virustotal.com/de/analisis/17a944c0faf45c3c44dcd23d476b0101cd3585ed0286b546f308edc0daa30bfd-1275251263
CAT-QuickHeal hat das FP bestätigt
Bei Avast reagiert (noch) keiner
Antwort ist gekommen:
It is not false positive detection. It is detected as Win32:PSWtool-AB [PUP] -- PUP means "Potentially unwanted program"
Clamwin mit einem unglücklichen Update: http://www.heise.de/security/meldung/Freier-Virenscanner-Clamwin-verschiebt-Windows-Rechner-in-Quarantaene-1139392.html
Heutzutage sind einige AV's schon gefährlicher als Malware ...
Ich bekomme mit G Data auf pcgames.de eine Virenmeldung.
Virenprüfung von Web-Inhalten
Adresse: www.pcgames.de
Virus: Generic.Exploit.CVE_20.8BEB0E75 (Engine-A)
Status: Der Zugriff wurde verweigert.
Wird wohl hier auch schon diskutiert:
http://extreme.pcgameshardware.de/pcgh-webseite/143805-pcgames-website-virus.html
Aktuell noch nicht behoben.
Merkwürdig das es bei VT nicht angezeigt wird.
17:21 - Nicht behoben
Ist wohl mittlerweile mit einem Update behoben worden.
Emsisoft Emergency Kit - Version 1.0
Letztes Update: 13.03.2011 17:37:39
Scan Einstellungen:
Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, I:\, J:\
Archiv Scan: An
Heuristik: An
ADS Scan: An
Scan Beginn: 13.03.2011 17:38:06
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@com[1].txt gefunden: Trace.TrackingCookie.com!A2
C:\Programme\NoVirusThanks\Anti-Rootkit (Free Edition)\NVTArk.exe gefunden: Virus.Win32.Heur!IK
I:\X\SARDU_2.0.1\ISO\isolinux\boot\austrumi.tgz/.\var\www\htdocs\cyti\c99\c99.php gefunden: Backdoor.PHP.Rst.ak!IK
I:\X\SARDU_2.0.1\ISO\isolinux\boot\austrumi.tgz/.\etc\ssh\moduli gefunden: Backdoor.PHP.Rst.ak!IK
Gescannt
Dateien: 161539
Traces: 420344
Cookies: 456
Prozesse: 22
Gefunden
Dateien: 3
Traces: 0
Cookies: 1
Prozesse: 0
Registry Keys: 0
Scan Ende: 13.03.2011 19:21:21
Scan Zeit: 1:43:15
...und das hier:Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Database version: 6035
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.03.2011 18:15:12
mbam-log-2011-03-12 (18-15-12).txt
Scan type: Full scan (C:\|I:\|)
Objects scanned: 203227
Time elapsed: 42 minute(s), 27 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)Ob das gifixt wird weiß ich nicht, darum bescheid wissen sie....
Um dieses programm, geht es : http://www.zeiss.de/c12567be0045acf1/Contents-Frame/4bfa588c935976c4c1256e0000492173
Ok, entschuldigung, wurde doch gefixt dieser FP, war meine schuld.
Catweazle
Das mit Malwarebytes' Anti-Malware, besteht immer noch, kann leider keinen aktuellen Log nachreichen, weil er nicht richtig abgespeichert worden ist bei mir, sorry. Der Fehlarlarm besteht immer noch...
Catweazle
Ohne Worte
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Database version: 6045
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
13.03.2011 22:57:47
mbam-log-2011-03-13 (22-57-42).txt
Scan type: Full scan (C:\|I:\|)
Objects scanned: 215644
Time elapsed: 56 minute(s), 54 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\CARL ZEISS VISION\SYSTEM\ZIPL\3RDPARTY\RTF\P2WAGENT.EXE (Trojan.Dropper.PGen) -> Value: P2WAGENT.EXE -> No action taken. [b4e9987fa957916f2048d9a6a262827e]
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\programme\gemeinsame dateien\carl zeiss vision\System\ZiPL\3rdparty\RTF\p2wagent.exe (Trojan.Dropper.PGen) -> No action taken. [b4e9987fa957916f2048d9a6a262827e]
Catweazle
Der MBAM fp war eine Feharlarm, und wurde gefixt
Catweazle
Auch nett, Avast erkannte durch ein fehlerhaftes Signaturenupdate jede App als schädlich: http://www.heise.de/security/meldung/Falscher-Alarm-Avast-fuer-Android-haelt-alle-Apps-fuer-Viren-2078962.html?wt_mc=rss.security.beitrag.atom
Ich frage mich oftmals, wie die ganzen AV-Tester so testen. Ob es sich wirklich immer um Malware handelt. Zumindest, wenn ich mir das hier so anschaue: https://www.virustotal.com/de/file/37fc4c20c990fac2de7eb5be0a4da44902adc7149fbc14482be4fd67c4de6b5c/analysis/1390781506/
ATI/AMD-Grafikkarten-Besitzer sollten das Tool eigentlich schon kennen http://www.ulpsconfigurationutility.com/
Wenn das mal wirklich ein False Positive ist ...
Ist es.
Statement eines Virenlabors:
Es zeigt die Nichtbereitschaft Signaturen anzupassen. Die Strings kann man sehen.
Wenn offiziell dokumentierte Batch-Befehle als Malwarestrings deklariert werden, mhm wer meint.
Das ist echt abenteuerlich:
Schreib nochmal hin dass es doch Malware ist, bitte hinzufügen.
Alle AV's, die die Datei fehlerhaft erkennen, ist die Datei zugegangen mit dem Hinweis, dass es ein False Positive ist.
Hausaufgaben werden offensichtlich nicht gemacht: https://www.virustotal.com/de/file/37fc4c20c990fac2de7eb5be0a4da44902adc7149fbc14482be4fd67c4de6b5c/analysis/1391024179/
Du siehst das zu negativ. Du musst die anschaun, welche etwas getan haben.
Einige AVs sind auch nicht bereit die Erkennung zu entfernen:
Servus,
Sophos hatte vergangenes Wochenende Probleme mit einen Fehlalarm. Es kam zu Bluescreens, die aber zeitnah bereinigt wurden.
https://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=de&ie=UTF8&prev=_t&rurl=translate.google.de&sl=en&tl=de&u=https://community.sophos.com/kb/en-us/125000&usg=ALkJrhgk37xzJlGzTyvLOqz-DvcLfE-3OA
Interessant, Danke.
Ich kann mir aber nicht vorstellen, dass nur einige wenige Systeme betroffen waren. Ich kenne genug Firmenrechner, auf denen W7 x86 läuft. Das haben vor allem die besseren XP-Rechner bekommen.
Aber noch eine Bitte:
kannst Du beim nächsten Mal bitte auch den Link auf das Original einstellen? Google Translate nach Deutsch ist immernoch grottig.
@Schulte
einfach auf "original" klicken
...dann muss ich aber auf einer Seite Java Script aktivieren, die ich sonst nie besuche. Also keine Option.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)