Druckversion des Themas

Geschrieben von: Kenshiro 22.02.2006, 15:59

Hallo Leute,

ich habe da eine Frage. Habe F-Secure IS 2006 - sprich als Virenscanner u. a. die KAV-engine. Diese sagt mir immer das die Datei "cmdow.exe" (gehört zu BartPE)mit dem Virus:

"not-a-virus:RiskTool.Win32.HideWindows"

Hab´s mal bei Jotti scannen lassen
-> ERGEBNIS = Einzig. der reagiert hat, war Kaspersky - Alle anderen engines NIX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:RiskTool.Win32.HideWindows gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden


Was ist mit KAV los ??? Überempfindlich ?? Schon das 2. Mal, daß er "mault"

AV-Progz wechseln ?? Sprich F-Secure -> "Biti 9.0 Prof Plus ???

Für Anregungen, Kritiken usw, wäre ich dankbar !!!!!!

Geschrieben von: Domino 22.02.2006, 16:04

Ist einfach:
1 nicht die erweiterten Signaturen verwenden
2 in die Ausschlußliste einfügen
3 anderes AV-Programm verwenden






Domino

Geschrieben von: Kenshiro 22.02.2006, 16:05

Danke Domino

Geschrieben von: Julian 22.02.2006, 16:05

gut gesprochen

Geschrieben von: Kenshiro 22.02.2006, 16:15

Danke Domino - Ausschlußliste hat funktioniert

Geschrieben von: clambo 22.02.2006, 17:01

Kann ich sehr gut nachvollziehen. Ich hatte bei MS Word mit Kaspersky Probleme, ständig meckerte er.

Das ist der Preis für eine hohe Heuristikerkennung

P.S: Bei Antivir war es aber weitaus schlimmer mit False Positives

Geschrieben von: blueX 22.02.2006, 19:06

Ich denke du meinst aber damit nicht Kaspersky.
Ein paar Bot-Generic-Detections sind gut, aber dann ... eine gute Heuristik habe ich bei Kaspersky noch nicht gesehen ...

Geschrieben von: Julian 22.02.2006, 19:25

ich hatte bei 100.000en von files noch keinen einzigen fehlalarm von kaspersky.
nur eben die warnmeldungen vom pdm in kav6.

Geschrieben von: wizard 22.02.2006, 19:57

Da steht doch eindeutig: not-a-virus. Warum sollten andere AV Programme diese Datei dann überhaupt als Virus erkennen?...

wizard

Geschrieben von: ingo34 22.02.2006, 20:31

komisch... wo in BartPE soll denn diese Datei sein.. ich find nix...

oder ist das aus dem pluginordner?? irgend ein tool, was du selber bei der erstellung reinkopiert hast??

das teil was beanstandet wird sollten eigenltich mehr erkennen.. oder es is mal wieder ne bestimmte variante die nur KAV erkennt:

not-a-virus:RiskTool.Win32.HideWindows (Kaspersky Lab)

auch bekannt als: IRC/Flood.cl.hidewin (McAfee),
Trojan.Flood.22016 (Doctor Web),
Tool:Win32/HideWindows (RAV),
TROJ_FLOOD.A (Trend Micro),
TR/Drop.Small.WH (H+BEDV),
HideWindow (Grisoft),
Virtool.Hidewindows.C (SOFTWIN),
Trojan.IRC.Flood.AQ (ClamAV),
Application/HideWin (Panda)

warum bei jotti keiner der scanner etwas muckiert, is schleierhaft...

aber wie gesagt... n virus isses nicht...!!

riskware:Andere Tools, welche gemacht sind um ...., Fenster zu verstecken oder System-Parameter automatisch auslesen.

Geschrieben von: clambo 23.02.2006, 14:19

Jotti setzt Linux Varianten ein.

Hmm....dennoch sollten eigentlich die Signaturen gleich sein.

Wo ist denn deine Liste her @ingo34?

Zumindest ClamAV und ClamWin sind sowohl unter W32 als auch Linux absolut identisch von den Signaturen her.

Bei anderen kann sein, dass da etwas abweicht.

Geschrieben von: ingo34 24.02.2006, 09:23

daher:

http://www.viruslist.com/de/viruses/encyclopedia?virusid=89523

Geschrieben von: OSX 24.02.2006, 11:43

Das ist auch nicht sonderlich schwer wenn man keinen Code emuliert sondern nur sturr nach Signaturen sucht

Geschrieben von: clambo 24.02.2006, 11:58

@OSX:

Habe ja auch nicht das Gegenteil behauptet :P