Bei meiner Kollegin auf dem Laptop hat Antivir Malware gefunden. Ich habe das bei Jottis hochgeladen mit folgendem Ergebnis:

A-Squared Keine Viren gefunden
AntiVir TR/Dropper.Gen gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Trojan-gen {Other} gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
G DATA Keine Viren gefunden
Ikarus Virus.Win32.Trojan gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Ich habe das Teil dann noch mal bei Kaspersky hochgeladen und da kam heute die Antwort, dass es keine Malware sei. Dann hab ich es noch einmal bei Avira hochgeladen und "Fehlalarm" gewählt, aber die haben heute bestätigt, dass es sich um Malware handelt.
Ist das nicht merkwürdig?
Inzwischen ist der Laptop neu aufgesetzt worden und gut ist, aber dass die "Großen Zwei" sich so unterschiedlich äußern, ist doch schon komisch.

Ach so, ich habe es eben noch mal bei Virustotal hochgeladen und da erkennen es schon ein paar mehr.

AhnLab-V3 2008.10.28.3 2008.10.29 -
AntiVir 7.9.0.10 2008.10.29 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.29 -
Avast 4.8.1248.0 2008.10.29 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.29 -
BitDefender 7.2 2008.10.29 -
CAT-QuickHeal 9.50 2008.10.29 -
ClamAV 0.93.1 2008.10.29 -
DrWeb 4.44.0.09170 2008.10.29 -
eSafe 7.0.17.0 2008.10.29 -
eTrust-Vet 31.6.6179 2008.10.29 -
Ewido 4.0 2008.10.29 -
F-Prot 4.4.4.56 2008.10.29 -
F-Secure 8.0.14332.0 2008.10.29 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.29 Win32:Trojan-gen {Other}
Ikarus T3.1.1.44.0 2008.10.29 Virus.Win32.Trojan
K7AntiVirus 7.10.511 2008.10.29 -
Kaspersky 7.0.0.125 2008.10.29 -
McAfee 5417 2008.10.28 -
Microsoft 1.4005 2008.10.29 -
NOD32 3566 2008.10.29 -
Norman 5.80.02 2008.10.29 -
Panda 9.0.0.4 2008.10.29 -
PCTools 4.4.2.0 2008.10.29 -
Prevx1 V2 2008.10.29 -
Rising 21.01.22.00 2008.10.29 -
SecureWeb-Gateway 6.7.6 2008.10.29 Trojan.Dropper.Gen
Sophos 4.35.0 2008.10.29 -
Sunbelt 3.1.1764.1 2008.10.29 -
Symantec 10 2008.10.29 -
TheHacker 6.3.1.1.133 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.29 -
VBA32 3.12.8.8 2008.10.28 -
ViRobot 2008.10.29.1443 2008.10.29 -
VirusBuster 4.5.11.0 2008.10.28 -

Möchte jemand die Datei zur Ansicht haben, bitte melden.

es wäre erstmal schon interesannt zu wissen um welches Objekt es sich handelt und wo es sich auf der Platte befindet , ein frühzeitig erstelltes hijackthislog würde auch helfen.

Ohne die Informationen ist es kaum möglich zu sagen was das ist.

Leider alles weg wegen Neuaufsetzung.

Lade es mal als RAR bei Rapidshare.de hoch mit einem Passwort versehen , das Passwort kannst du mir und anderen Interesenten dann per PN schicken .

Ich tippe auf einen False-Positive in einer Setup-Datei

Hier der Download Link: http://rapidshare.de/files/40791477/_Untitled.rar.html

Es ist ein False Positive , ein kleines Spiel -> Reifen Rodeo



Antibot sieht auch keine verdächtige Aktion in dem Prozess.

Der Beitrag wurde von bond7 bearbeitet: 29.10.2008, 21:35

Shot at 2008-10-29

ok ok hat nichts mit dem thread zu tun.....

Der Beitrag wurde von rolarocka bearbeitet: 29.10.2008, 22:29

Wie lang hast du denn das gespielt? Mir wurd sofort langweilig

k.A. bin fast eingeschlafen. Ist ja schneller nachher geworden

Der Beitrag wurde von rolarocka bearbeitet: 29.10.2008, 23:08

Moin zusammen!

Dieses "Virustoal-Phänomen" wird auch in der c´t beschrieben. Irgendein Hersteller meldet einen FP, die anderen Hersteller schreiben erstmal eine Signatur und dann erst wird das Sample analysiert und ggfsl der FP korregiert. Aber um erstmal bei Virustotal gut auszusehen wird das Teiler erstmal erkannt. Es wäre interessant das Sample nun in 1-2 Tagen nochmal bei VT hochzuladen. Dann könnte man sehen, ob an der Aussage der ct was dran ist.

Bis denne
Olli

Das habe ich ja schon mehrmals beschrieben. Ich habe auch den Eindruck.
Und ich habe auch den Eindruck, dass die False Positives dann doch nicht mehr gefixt werden.

Übrigens: AVIRA sagt erneut, dass es sich um Malware handelt.

Avira reagiert nur auf den exe-packer typ , prinzipiell könntest du den jetzt jede Systemdatei andrehen wenn du Sie nur in so´n Müll einpackst

Naja solche Schlampereien macht echt jeder AV, muss an den Leuten liegen .

@flexibel44

Sende die Datei an heuristik2at@avira.com at=@ in einer .zip mit Passwort.

..und schreibe was dazu

Anleitung Avira-Forum

Der Beitrag wurde von citro bearbeitet: 30.10.2008, 12:36

Habe das gerade mit AVIRA geklärt - die nehmen das File mit dem nächsten Update aus der Erkennung heraus.

Moin zusammen!

Lässt jemand das File nochmal in den nächsten Tage bei VT scannen? Würde mich interessieren, wie schnell die Hersteller die Siganturen bereinigen.

Bis denne
Olli

Habs eben jetzt nochmals hochgeladen!
Ergebnis

@Kenshiro

Du musst die RAR erst entpacken , 2 von den Scannern können kein RAR entpacken und den Inhalt dadurch nicht scannen.

http://www.virustotal.com/de/analisis/4091...bcae640b1b6a087

Einer hat reagiert , vorher waren es 6 Erkennungen und jetzt nurnoch 5.

Danke bond7 ich ->

Nur noch F-Secure erkennt das File als Trojaner.
Alle anderen haben den Fehlalarm gefixt.