Aktuelle False Positives / Fehlalarme der AV's, Sammelthread Einstellungen

[Gast_blueX_*]

Hier soll ein Sammelthread entstehen, indem über aktuelle Fehlalarme über AV's berichtet wird.

Ich fang dann mal an:

F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.

[Gast_Scrapie_*]

Hi

SmartSniff von Nirsoft wird von eSafe als FP erkannt: *Klick*
Bis vor kurzem auch noch von a-squared, dass wurde aber schnell gefixed...

Wer hat Kontakt zu eSafe?


Scrapie

[Gast_blueX_*]

Die Files, die von eSafe als "Suspicious File" gemeldet werden, werden soweit ich weiss nicht gefixt, solange es keine "bedeutsamen" Files sind.

[Gast_Scrapie_*]

Okay, ich schick's mal hin...

a-squared FP bei enzip.exe aus einem alten F-Prot-Archiv: *Klick*


Ich geh'jetzt erst mal zur Arbeit ,
Scrapie

[chris30duew]

Avast und somit auch GDATA erkennt die Installationsdatei von Panda IS 2008 oder 2009 als virus. Zahlreiche Beschwerden und eine PM an Gdatamitarbeiter blieben erfolglos. Auch eine e-mail an Avast brachte keine Besserung. AVG hat ebenfalls die Datei bemängelt, hat jedoch 4h nach meiner FP einsendung reagiert und den FP eingeräumt und ihn aus den Signaturen genommen. vorbildlich.
Gdata und auch Avast erkennt in Programm PcTools Registry Cleaner 7 ebenfalls einen Virus. Auch hier bisher alle Beschwerden und Einsendung an die Gdata Ambulanz nach Scan als FP erfolglos. Schwach kann ich nur sagen!

[Gast_blueX_*]

Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...

[Gast_Nightwatch_*]

Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...

Überfordere sie doch nicht so. Erst das neue Release, dann gleich drei (zum Teil böse) Sicherheitslücken + einem schwachen Test bei AV-C. Wen interessieren da noch FP´s ?

[Gast_blueX_*]

Kannst du das File über das Programm zu denen senden?
Üblicherweise werden solche Einreichungen bevorzugt bearbeitet.




Der Beitrag wurde von blueX bearbeitet: 31.10.2008, 21:48

[Gast_Nightwatch_*]

Kannst du das File über das Programm zu denen senden?

Über das Programm nicht. Aber ich habe so meine 1-2 E-Mail-Adressen, bei denen es ganz flott geht . Zumindest, dass sie da draufschauen.

[Gast_blueX_*]

Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661


Dies erkennen sie auch noch fälschlicherweise.

[Gast_Nightwatch_*]

Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661

Ich habs geahnt. Wird wieder ein stressiger Abend .

Nein, im Ernst. Werde die beiden Dateien einschicken und dann hoffen. Spätestens Morgen, denn ich muss gleich noch einige berufliche Dinge erledigen.

[Gast_Xeon_*]

F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.

Kann ich nicht bestätigen, bei mir kommt weder beim herunterladen noch beim Installieren eine derartige Meldung von F-Secure.

[Gast_Xeon_*]

Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661

Kann ich ebenfalls nicht bestätigen,keine Meldung von F-Secure beim starten des Programmes.

[Gast_blueX_*]

Hast du die Heuristik aktiviert?

[Gast_Xeon_*]

Hast du die Heuristik aktiviert?

Du meinst den DeepGuard,der läuft.

[Gast_kurz-pc_*]

ThreatFire/PCTools

VBoxWHQLFake.exe als Worm.AutoIt.s erkannt.
C:\Programme\Sun\xVM VirtualBox Guest Additions\VBoxWHQLFake.exe

http://www.virustotal.com/analisis/fdab050...fa6b06ccc43b420

Datei gehört zur Guest Additions von VirtualBox.

Vor 3 Tagen per Upload Formular gemeldet. Habe es jetzt zusätzlich noch im PCTools Forum geschrieben.

Edit:
Noch mal was gefunden.
UniExtract.exe als Worm.AutoIt.s.

http://www.virustotal.com/analisis/e...fa67ea87713018
http://legroom.net/software/uniextract

Der Beitrag wurde von kurz-pc bearbeitet: 15.11.2008, 12:36

[Gast_kurz-pc_*]

xpy.exe Result: 16/36
Und alles anscheinend ein Fehlalarme.
http://www.virustotal.com/analisis/768ac65...7fc36108c05bf49

http://xpy.whyeye.org/2008/05/16/your-antivirus-says/

[Gast_blueX_*]

Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.

[Gast_Scrapie_*]

@kurz-pc:

AutoIt ist berüchtigt dafür, dass es von den AV's zu unrecht erkannt wird.
Für Kinder, die selber noch keine richtige Programmiersprache können, ist es oft der Einstieg in ihre große Virenschreiberkarriere.
Damit können sie schnell mit ein paar Klicks und einer handvoll Befehlen Dinge steuern + es kann Eingaben und Mausklicks ausführen. Das Resultat wird dann von Hause aus schon gepackt und augenblicklich springen (die Heuristiken) vieler AV's an, wenn es nur leicht nach AutoIt riecht.

Wenn ich daher im Result AutoIt lese => ab in die VM und selber checken...


Scrapie

[Gast_kurz-pc_*]

Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.

Jo hab es per threatfire Submite Forular gemacht da gibt es extra hacken für False Positive und Möglichkeit für Beschreiben.