Ist das wirklich Malware? |
Willkommen, Gast ( Anmelden | Registrierung )
Ist das wirklich Malware? |
29.10.2008, 19:54
Beitrag
#1
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.866 Mitglied seit: 25.01.2004 Wohnort: Hamburg Mitglieds-Nr.: 364 Betriebssystem: Win 11 Virenscanner: Norton 360 Firewall: Router |
Bei meiner Kollegin auf dem Laptop hat Antivir Malware gefunden. Ich habe das bei Jottis hochgeladen mit folgendem Ergebnis:
A-Squared Keine Viren gefunden AntiVir TR/Dropper.Gen gefunden ArcaVir Keine Viren gefunden Avast Win32:Trojan-gen {Other} gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden G DATA Keine Viren gefunden Ikarus Virus.Win32.Trojan gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Sophos Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Ich habe das Teil dann noch mal bei Kaspersky hochgeladen und da kam heute die Antwort, dass es keine Malware sei. Dann hab ich es noch einmal bei Avira hochgeladen und "Fehlalarm" gewählt, aber die haben heute bestätigt, dass es sich um Malware handelt. Ist das nicht merkwürdig? Inzwischen ist der Laptop neu aufgesetzt worden und gut ist, aber dass die "Großen Zwei" sich so unterschiedlich äußern, ist doch schon komisch. Ach so, ich habe es eben noch mal bei Virustotal hochgeladen und da erkennen es schon ein paar mehr. AhnLab-V3 2008.10.28.3 2008.10.29 - AntiVir 7.9.0.10 2008.10.29 TR/Dropper.Gen Authentium 5.1.0.4 2008.10.29 - Avast 4.8.1248.0 2008.10.29 Win32:Trojan-gen {Other} AVG 8.0.0.161 2008.10.29 - BitDefender 7.2 2008.10.29 - CAT-QuickHeal 9.50 2008.10.29 - ClamAV 0.93.1 2008.10.29 - DrWeb 4.44.0.09170 2008.10.29 - eSafe 7.0.17.0 2008.10.29 - eTrust-Vet 31.6.6179 2008.10.29 - Ewido 4.0 2008.10.29 - F-Prot 4.4.4.56 2008.10.29 - F-Secure 8.0.14332.0 2008.10.29 Suspicious:W32/Malware!Gemini Fortinet 3.117.0.0 2008.10.28 - GData 19 2008.10.29 Win32:Trojan-gen {Other} Ikarus T3.1.1.44.0 2008.10.29 Virus.Win32.Trojan K7AntiVirus 7.10.511 2008.10.29 - Kaspersky 7.0.0.125 2008.10.29 - McAfee 5417 2008.10.28 - Microsoft 1.4005 2008.10.29 - NOD32 3566 2008.10.29 - Norman 5.80.02 2008.10.29 - Panda 9.0.0.4 2008.10.29 - PCTools 4.4.2.0 2008.10.29 - Prevx1 V2 2008.10.29 - Rising 21.01.22.00 2008.10.29 - SecureWeb-Gateway 6.7.6 2008.10.29 Trojan.Dropper.Gen Sophos 4.35.0 2008.10.29 - Sunbelt 3.1.1764.1 2008.10.29 - Symantec 10 2008.10.29 - TheHacker 6.3.1.1.133 2008.10.28 - TrendMicro 8.700.0.1004 2008.10.29 - VBA32 3.12.8.8 2008.10.28 - ViRobot 2008.10.29.1443 2008.10.29 - VirusBuster 4.5.11.0 2008.10.28 - Möchte jemand die Datei zur Ansicht haben, bitte melden. |
|
|
29.10.2008, 20:00
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
es wäre erstmal schon interesannt zu wissen um welches Objekt es sich handelt und wo es sich auf der Platte befindet , ein frühzeitig erstelltes hijackthislog würde auch helfen.
Ohne die Informationen ist es kaum möglich zu sagen was das ist. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
29.10.2008, 20:06
Beitrag
#3
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.866 Mitglied seit: 25.01.2004 Wohnort: Hamburg Mitglieds-Nr.: 364 Betriebssystem: Win 11 Virenscanner: Norton 360 Firewall: Router |
es wäre erstmal schon interesannt zu wissen um welches Objekt es sich handelt und wo es sich auf der Platte befindet , ein frühzeitig erstelltes hijackthislog würde auch helfen. Ohne die Informationen ist es kaum möglich zu sagen was das ist. Leider alles weg wegen Neuaufsetzung. |
|
|
29.10.2008, 20:10
Beitrag
#4
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Lade es mal als RAR bei Rapidshare.de hoch mit einem Passwort versehen , das Passwort kannst du mir und anderen Interesenten dann per PN schicken .
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
29.10.2008, 21:13
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
es wäre erstmal schon interesannt zu wissen um welches Objekt es sich handelt Ich tippe auf einen False-Positive in einer Setup-Datei -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
29.10.2008, 21:26
Beitrag
#6
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.866 Mitglied seit: 25.01.2004 Wohnort: Hamburg Mitglieds-Nr.: 364 Betriebssystem: Win 11 Virenscanner: Norton 360 Firewall: Router |
Hier der Download Link: http://rapidshare.de/files/40791477/_Untitled.rar.html
|
|
|
29.10.2008, 21:33
Beitrag
#7
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Es ist ein False Positive , ein kleines Spiel -> Reifen Rodeo
ZITAT Version language : Englisch (USA) Comments : CompanyName : Rocketsnail Games FileDescription : LegalCopyright : Copyright © 2000-2002 RocketSnail Games LegalTrademarks : ProductName : Reifen Rodeo FileVersion : 1.00.1591 ProductVersion : 1.00.1591 InternalName : Player OriginalFilename : Player.exe Antibot sieht auch keine verdächtige Aktion in dem Prozess. Der Beitrag wurde von bond7 bearbeitet: 29.10.2008, 21:35 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
29.10.2008, 22:28
Beitrag
#8
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.173 Mitglied seit: 11.06.2007 Wohnort: Whitelist Mitglieds-Nr.: 6.272 |
|
|
|
29.10.2008, 23:00
Beitrag
#9
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Wie lang hast du denn das gespielt? Mir wurd sofort langweilig
-------------------- |
|
|
29.10.2008, 23:07
Beitrag
#10
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.173 Mitglied seit: 11.06.2007 Wohnort: Whitelist Mitglieds-Nr.: 6.272 |
k.A. bin fast eingeschlafen. Ist ja schneller nachher geworden
Der Beitrag wurde von rolarocka bearbeitet: 29.10.2008, 23:08 |
|
|
30.10.2008, 09:16
Beitrag
#11
|
|
Ist unverzichtbar Gruppe: Freunde Beiträge: 5.267 Mitglied seit: 30.11.2003 Wohnort: Dortmund Mitglieds-Nr.: 242 Betriebssystem: Windows 10 Prof 64Bit Virenscanner: GData/ MS Defender Firewall: Router/ Windows 10 |
Ich tippe auf einen False-Positive in einer Setup-Datei Moin zusammen! Dieses "Virustoal-Phänomen" wird auch in der c´t beschrieben. Irgendein Hersteller meldet einen FP, die anderen Hersteller schreiben erstmal eine Signatur und dann erst wird das Sample analysiert und ggfsl der FP korregiert. Aber um erstmal bei Virustotal gut auszusehen wird das Teiler erstmal erkannt. Es wäre interessant das Sample nun in 1-2 Tagen nochmal bei VT hochzuladen. Dann könnte man sehen, ob an der Aussage der ct was dran ist. Bis denne Olli -------------------- ...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
|
|
|
Gast_blueX_* |
30.10.2008, 10:24
Beitrag
#12
|
Gäste |
Moin zusammen! Dieses "Virustoal-Phänomen" wird auch in der c´t beschrieben. Irgendein Hersteller meldet einen FP, die anderen Hersteller schreiben erstmal eine Signatur und dann erst wird das Sample analysiert und ggfsl der FP korregiert. Aber um erstmal bei Virustotal gut auszusehen wird das Teiler erstmal erkannt. Es wäre interessant das Sample nun in 1-2 Tagen nochmal bei VT hochzuladen. Dann könnte man sehen, ob an der Aussage der ct was dran ist. Das habe ich ja schon mehrmals beschrieben. Ich habe auch den Eindruck. Und ich habe auch den Eindruck, dass die False Positives dann doch nicht mehr gefixt werden. Übrigens: AVIRA sagt erneut, dass es sich um Malware handelt. |
|
|
30.10.2008, 12:28
Beitrag
#13
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Avira reagiert nur auf den exe-packer typ , prinzipiell könntest du den jetzt jede Systemdatei andrehen wenn du Sie nur in so´n Müll einpackst
Naja solche Schlampereien macht echt jeder AV, muss an den Leuten liegen . -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
30.10.2008, 12:33
Beitrag
#14
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
@flexibel44
Sende die Datei an heuristik2at@avira.com at=@ in einer .zip mit Passwort. ..und schreibe was dazu Anleitung Avira-Forum Der Beitrag wurde von citro bearbeitet: 30.10.2008, 12:36 |
|
|
Gast_blueX_* |
30.10.2008, 12:52
Beitrag
#15
|
Gäste |
Habe das gerade mit AVIRA geklärt - die nehmen das File mit dem nächsten Update aus der Erkennung heraus.
|
|
|
30.10.2008, 13:47
Beitrag
#16
|
|
Ist unverzichtbar Gruppe: Freunde Beiträge: 5.267 Mitglied seit: 30.11.2003 Wohnort: Dortmund Mitglieds-Nr.: 242 Betriebssystem: Windows 10 Prof 64Bit Virenscanner: GData/ MS Defender Firewall: Router/ Windows 10 |
Moin zusammen!
Lässt jemand das File nochmal in den nächsten Tage bei VT scannen? Würde mich interessieren, wie schnell die Hersteller die Siganturen bereinigen. Bis denne Olli -------------------- ...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
|
|
|
30.10.2008, 13:56
Beitrag
#17
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
Habs eben jetzt nochmals hochgeladen!
Ergebnis -------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
30.10.2008, 14:10
Beitrag
#18
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
@Kenshiro
Du musst die RAR erst entpacken , 2 von den Scannern können kein RAR entpacken und den Inhalt dadurch nicht scannen. http://www.virustotal.com/de/analisis/4091...bcae640b1b6a087 Einer hat reagiert , vorher waren es 6 Erkennungen und jetzt nurnoch 5. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
30.10.2008, 14:21
Beitrag
#19
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
Danke bond7 ich ->
-------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
Gast_blueX_* |
31.10.2008, 21:46
Beitrag
#20
|
Gäste |
Nur noch F-Secure erkennt das File als Trojaner.
Alle anderen haben den Fehlalarm gefixt. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 06:06 |