Druckversion des Themas

Geschrieben von: blueX 25.10.2008, 08:02

Hier soll ein Sammelthread entstehen, indem über aktuelle Fehlalarme über AV's berichtet wird.

Ich fang dann mal an:

F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.

Geschrieben von: Scrapie 25.10.2008, 08:42

Hi

SmartSniff von Nirsoft wird von eSafe als FP erkannt: http://www.virustotal.com/de/analisis/d3719511952efbab158cad3d69f69076
Bis vor kurzem auch noch von a-squared, dass wurde aber schnell gefixed...

Wer hat Kontakt zu eSafe?


Scrapie

Geschrieben von: blueX 25.10.2008, 08:44

Die Files, die von eSafe als "Suspicious File" gemeldet werden, werden soweit ich weiss nicht gefixt, solange es keine "bedeutsamen" Files sind.

Geschrieben von: Scrapie 25.10.2008, 09:13

Okay, ich schick's mal hin...

a-squared FP bei enzip.exe aus einem alten F-Prot-Archiv: http://www.virustotal.com/de/analisis/ec441550fe84d95df8dddd2237fa7fce


Ich geh'jetzt erst mal zur Arbeit ,
Scrapie

Geschrieben von: chris30duew 25.10.2008, 14:39

Avast und somit auch GDATA erkennt die Installationsdatei von Panda IS 2008 oder 2009 als virus. Zahlreiche Beschwerden und eine PM an Gdatamitarbeiter blieben erfolglos. Auch eine e-mail an Avast brachte keine Besserung. AVG hat ebenfalls die Datei bemängelt, hat jedoch 4h nach meiner FP einsendung reagiert und den FP eingeräumt und ihn aus den Signaturen genommen. vorbildlich.
Gdata und auch Avast erkennt in Programm PcTools Registry Cleaner 7 ebenfalls einen Virus. Auch hier bisher alle Beschwerden und Einsendung an die Gdata Ambulanz nach Scan als FP erfolglos. Schwach kann ich nur sagen!

Geschrieben von: blueX 31.10.2008, 21:45

Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...

Geschrieben von: Nightwatch 31.10.2008, 21:47

Überfordere sie doch nicht so. Erst das neue Release, dann gleich drei (zum Teil böse) Sicherheitslücken + einem schwachen Test bei AV-C. Wen interessieren da noch FP´s ?

Geschrieben von: blueX 31.10.2008, 21:48

Kannst du das File über das Programm zu denen senden?
Üblicherweise werden solche Einreichungen bevorzugt bearbeitet.

Geschrieben von: Nightwatch 31.10.2008, 21:50

Über das Programm nicht. Aber ich habe so meine 1-2 E-Mail-Adressen, bei denen es ganz flott geht . Zumindest, dass sie da draufschauen.

Geschrieben von: blueX 31.10.2008, 21:53

Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661


Dies erkennen sie auch noch fälschlicherweise.

Geschrieben von: Nightwatch 31.10.2008, 21:55

Ich habs geahnt. Wird wieder ein stressiger Abend .

Nein, im Ernst. Werde die beiden Dateien einschicken und dann hoffen. Spätestens Morgen, denn ich muss gleich noch einige berufliche Dinge erledigen.

Geschrieben von: Xeon 31.10.2008, 23:44

Kann ich nicht bestätigen, bei mir kommt weder beim herunterladen noch beim Installieren eine derartige Meldung von F-Secure.

Geschrieben von: Xeon 31.10.2008, 23:46

Kann ich ebenfalls nicht bestätigen,keine Meldung von F-Secure beim starten des Programmes.

Geschrieben von: blueX 01.11.2008, 10:55

Hast du die Heuristik aktiviert?

Geschrieben von: Xeon 01.11.2008, 12:02

Du meinst den DeepGuard,der läuft.

Geschrieben von: kurz-pc 15.11.2008, 12:03

ThreatFire/PCTools

VBoxWHQLFake.exe als Worm.AutoIt.s erkannt.
C:\Programme\Sun\xVM VirtualBox Guest Additions\VBoxWHQLFake.exe

http://www.virustotal.com/analisis/fdab050332f8f3e58fa6b06ccc43b420

Datei gehört zur Guest Additions von VirtualBox.

Vor 3 Tagen per Upload Formular gemeldet. Habe es jetzt zusätzlich noch im PCTools Forum geschrieben.

Edit:
Noch mal was gefunden.
UniExtract.exe als Worm.AutoIt.s.

http://www.virustotal.com/analisis/e...fa67ea87713018
http://legroom.net/software/uniextract

Geschrieben von: kurz-pc 15.11.2008, 14:51

xpy.exe Result: 16/36
Und alles anscheinend ein Fehlalarme.
http://www.virustotal.com/analisis/768ac652eb52ceb987fc36108c05bf49

http://xpy.whyeye.org/2008/05/16/your-antivirus-says/

Geschrieben von: blueX 15.11.2008, 22:15

Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.

Geschrieben von: Scrapie 16.11.2008, 09:36

@kurz-pc:

http://de.wikipedia.org/wiki/AutoIt ist berüchtigt dafür, dass es von den AV's zu unrecht erkannt wird.
Für Kinder, die selber noch keine richtige Programmiersprache können, ist es oft der Einstieg in ihre große Virenschreiberkarriere.
Damit können sie schnell mit ein paar Klicks und einer handvoll Befehlen Dinge steuern + es kann Eingaben und Mausklicks ausführen. Das Resultat wird dann von Hause aus schon gepackt und augenblicklich springen (die Heuristiken) vieler AV's an, wenn es nur leicht nach AutoIt riecht.

Wenn ich daher im Result AutoIt lese => ab in die VM und selber checken...


Scrapie

Geschrieben von: kurz-pc 16.11.2008, 13:03

Jo hab es per threatfire Submite Forular gemacht da gibt es extra hacken für False Positive und Möglichkeit für Beschreiben.

Geschrieben von: Stefan 16.11.2008, 20:45

Die Neugier hat mich gepackt und ich teste gerade mal die Home Edition von avast!.
Einziges FP bei der Prüfung der Festplatten war "F:\Programme\AceBIT\Password Depot 3\PasswordDepot.exe".
Da wurde angeblich ein "Win32:Dropper-PD(Trj)" erkannt.
Das ist nicht viel, wenn ich bedenke was die in a-squared Anti-Malware enthaltene Ikarus-Engine so alles gefunden haben will.
FP übers Programm gemeldet - nun ich bin gespannt was passiert.

Geschrieben von: Sasser 20.11.2008, 08:24

G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene 60 FP.

Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...

hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.

Geschrieben von: ntvolli 20.11.2008, 09:59

Moin Stefan, Moin Sasser!

Die Avast-Engine von GData hat die FP´s produziert. Ich habe eh den Eindruck, dass eher Avast mehr FP´meldet als BitDefender.

Bis denne
Olli

Geschrieben von: Domino 20.11.2008, 10:05

Sophos - alle paar Tage ein beliebiger USB Stick.




Domino

Geschrieben von: Jav.SEC.21 22.11.2008, 13:42

False Positive:
http://www.gdata.de/ erkennt mit Engine B die neue Version von http://vil.nai.com/vil/stinger/
als einen http://vil.nai.com/vil/content/v_99380.htm an.

Virus: Win32:Simile (Engine B) (Auch bekannt als http://vil.nai.com/vil/content/v_99380.htm)
Datei: http://vil.nai.com/vil/stinger/
Verzeichnis: C:\Dokumente und Einstellungen\...\...
Prozess: Explorer.EXE

Wurde bereits an G DATA gemeldet.

Geschrieben von: blueX 13.02.2009, 21:36

Oh oh ... Bitdefender erkannte heute angeblich eine Windows-Datei:

http://www.heise.de/security/Bitdefender-und-GData-loeschen-Winlogon-Systemdatei--/news/meldung/132540

Geschrieben von: Prozessor 14.02.2009, 00:37

Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz


Gruß Prozessor

Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.

Geschrieben von: tpro 14.02.2009, 01:15

In den Tests hat Avast meistens sehr viele FP

Geschrieben von: Joshua 14.02.2009, 09:35

http://www.rokop-security.de/index.php?showtopic=2020&st=20&p=263186&#entry263186

Joshua

Geschrieben von: Stefan 14.02.2009, 10:38

Lest ihr eigentlich auch die letzten http://www.rokop-security.de/index.php?s=&showtopic=17633&view=findpost&p=263212, die vor euren Beiträgen stehen?

Geschrieben von: tpro 14.02.2009, 12:04

Oh sorry, da hat wohl BitDefender mal zugeschlagen

Geschrieben von: markus17 14.02.2009, 22:56

Also die Quarantäne funktioniert bei mir einwandfrei. Selbst mit mehreren hundert Samples kann man sie noch öffnen. -> hab nur 1GB Ram

Geschrieben von: scu 16.02.2009, 13:21

Nach meinen Erfahrungen produziert die Avast Engine mehr Fehlalarme als die BitDefender...

Auch wenn es dir jetzt leider nichts mehr bringt, liest es vielleicht doch noch ein anderer der betroffen ist:
Hier ist eine Anleitung wie man das System wieder in den Gang bringt: http://www.gdata.de/support/kundenservice/faq/details/question/807-fehlerkennung-in-winlogonexe.html

Geschrieben von: aido 16.02.2009, 14:14

Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.

Geschrieben von: scu 16.02.2009, 14:26

Vor Fehlalarmen ist aktuell leider keiner wirklich sicher...

Geschrieben von: Julian 16.02.2009, 16:17

Erzähl doch mal den Usern, die etwas anderes einsetzen, warum

Geschrieben von: vomitator 16.02.2009, 16:34

Die vielen f.p. waren für mich der Hauptgrund von GData IS zu F-Secure IS zu wechseln. Und diesbezüglich bin ich äußerst zufrieden!

Geschrieben von: aido 16.02.2009, 17:24

Ach Julian. Ich hab schon alles durch. Die oben genannten Produkte waren bei mir die einzigen die nicht so Negativ aufgefallen sind. Besonders AVG und F-Secure Entwickler geben sich wirklich Mühe dem Kunden so gut wie es geht bei problemen zu helfen. Bei anderen bekommt mal lediglich eine Standardmail oder ein Hinweis zum besuch des Forums - Avira lässt grüssen das Forum ist ja nicht zu gebrauchen.

Geschrieben von: citro 17.02.2009, 09:42

AdAware 2008 beanstandet mit Def. 0146.0011 a²HiJackFree.exe als Trojan.Spybanker, sicherlich falsch und schon eingesendet.

MfG

Geschrieben von: tpro 17.02.2009, 13:03

Ad-Aware AE beanstandet schon mal diverse DLL-Files als "Suspicous files", wohl etwas überempfindlich die Heuristik

Geschrieben von: citro 18.02.2009, 19:56

Ein Fehlalarm von a² -> war wohl gravierend

http://forum.emsisoft.com/Default.aspx?g=posts&t=4499

Geschrieben von: kurz-pc 25.02.2009, 18:36

SecureWeb-Gateway hält die explorer.exe für schädlich Win32.LooksLike.Virut.

http://www.virustotal.com/analisis/c443b025429cc3aed4d41ec590c0e1d3

hat jemand die Adresse von SecureWeb für fp?

Geschrieben von: blueX 03.06.2009, 17:00

Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:

http://www.virustotal.com/de/analisis/f81826fb33401af1f6d4fa38e1f79d578482c6c031bb7fc06cae88f6fa7dbc21-1244018537


Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.


Deep Paint gibt's hier: http://www.chip.de/downloads/Deep-Paint_16395518.html

Geschrieben von: olli 03.06.2009, 18:28

Ich habe es mal zu Gdata gesendet. Mal sehe, was passiert.

Bis denne
Olli

Geschrieben von: blueX 03.06.2009, 19:29

Danke, olli.

Geschrieben von: olli 03.06.2009, 19:55

Und es geht weiter mit GData:

in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.html

finde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]

Auf Virscan.org melden alle andere Scanner aber nix, so dass ich stark von einem Fehlalarm ausgehen.

Die Datei habe ich auch schon eingesendet.

Bis denne
olli

Geschrieben von: olli 06.06.2009, 17:41

Fehlalarm ist behoben.

Bis denne
Olli

Geschrieben von: Solution-Design 06.06.2009, 18:50

Da waren sie aber wesentlich flotter als seinerzeit Symantec! Dort geht die FP-Behebung (auch wenn FPs selten bis gar nicht vorkommen, der SpeedCommander-FP war in einem Einstellungssicherungsmodul bei Heuristik hoch) nur über ein dämliches Webseitchen, ohne Datei-Upload-Möglichkeit. Und das hat Wochen gedauert. OK, FPs sind im Gegensatz zum G-Data-Zeugs eher nicht vorhanden, dennoch...

Geschrieben von: kurz-pc 06.06.2009, 21:58

Bei mir hat Symantec vor kurzem ein FP der innerhalb 24 Stunden bestätigt und entfernt wurde.

Allerding hab ich es per Formular eingeschickt und nicht per Mail.
https://submit.symantec.com/false_positive/index.html

Im Moment ärger ich mich über Bitdefender versuch seit dem 16.04.09 ein FP entfernen zu lassen die melden sich aber einfach nicht und entfernt wird auch nichts.

VT vom 16.04.09 Result: 14/40 (35.00%)
http://www.virustotal.com/analisis/0df4e31548193bf4291900a9ff7eeb4ca2f6e45bf83256971fde0475972ddeae-1239893077

VT von 06.06.09 Result: 7/39 (17.95%) (Panda hat am 04.06.2009 den FP bestätigt)
http://www.virustotal.com/analisis/0df4e31548193bf4291900a9ff7eeb4ca2f6e45bf83256971fde0475972ddeae-1244321569

Geschrieben von: blueX 11.06.2009, 16:24

Der False Positive besteht immernoch bei Comodo, Bitdefender, MKS_Vir und McAfee obwohl ich ihn eingesandt habe. Sunbelt hat inzwischen gefixt.
Inzwischen kam auch noch PCTools dazu: http://www.virustotal.com/de/analisis/f81826fb33401af1f6d4fa38e1f79d578482c6c031bb7fc06cae88f6fa7dbc21-1244733423

Hat schonmal jemand versucht, bei PCTools einen Fehlalarm zu melden? Was die alles wissen wollen -> http://www.pctools.com/de/mrc/dispute
Warum schauen die das nicht selbst an?

Geschrieben von: Rios 11.06.2009, 16:40

Wahrscheinlich weil es einfacher ist, wenn ihnen jemand die Arbeit abnimmt?

Geschrieben von: ravu 11.06.2009, 16:54

* Hiermit bestätige ich die Richtigkeit aller Angaben

Geschrieben von: Manu 12.06.2009, 11:19

http://www.withopf.com/tools/hdiskdefrag/ wird von AntiVir seit dem letzten Update - fälschlicherweise - als Adspy.Gen erkannt.

Geschrieben von: blueX 12.06.2009, 12:28

So wie es aussieht, wissen die schon davon:

Die Datei 'HDiskDefrag.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Geschrieben von: markusg 12.06.2009, 19:06

Die Datei 'HDiskDefrag.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist.
Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.
voipdiscount
wird auch als backdoor erkannt, wird montag gefixt

Geschrieben von: markusg 15.06.2009, 09:54

OK der fehlalarm wurde behoben in voipdiscount

Geschrieben von: blueX 15.06.2009, 16:58

Hier sieht man wie schnell das reagiert werden kann.

Geschrieben von: markusg 15.06.2009, 17:50

*ggg*
und es scheint in anderen produkten der firma wohl noch fps zu geben, eine frechheit ist das, die leute ein ganzes we auf ein update warten zu lassen. zumal es bei avira im moment wohl verhäuft zu fps kommt wie es aussieht.

Geschrieben von: franksa 16.06.2009, 21:21

Avira AntiVir Premium meldet, wenn ich mich bei studivz einloggen will:

Enthält verdächtigen Code: HEUR/HTML.Malware

Geschrieben von: blueX 18.06.2009, 17:14

Hierfür ist die Heuristik von AntiVir verantwortlich. Vermutlich ein Fehlalarm.
Hast du das eingesandt?

Geschrieben von: Laith 18.06.2009, 17:20

Das kriegte ich bei http://thunderbird.gnupt.de portablen Thunderbird auch seit einigen Tagen. Aber nur bei Avira

Avast ist da ganz lieb

Geschrieben von: blueX 20.07.2009, 21:53

2 Dateien von Flash Cookie Manager - vermutlich ein Fehlalarm.

http://www.virustotal.com/de/analisis/5792d428fc969d5c70bff56937103b926ea6b174ad4b3950dedd78676037c24a-1247960493
http://www.virustotal.com/de/analisis/05dff01aaea7c1ffaec09ac0a84f1b14a47ace69213a02f96226c27a0d29271a-1247961206

Geschrieben von: kurz-pc 02.08.2009, 21:00

Avira findet auf der D-Link Seite HEUR/HTML.Malware.

http://www.virustotal.com/analisis/7854bb4302f9d160b71cc6e5d901facda3ecfa07ac8a3cc9b54649f0bbb4be2b-1249243375

http://support.dlink.de/solution/Scripts/CSBRCommon.js

Mal sehen wie lange die brauchen um das zu Fixen.

Geschrieben von: kurz-pc 04.08.2009, 14:29

Schnell geantwortet.

Geschrieben von: citro 16.08.2009, 18:19

a-squared

Prozess C:\WINDOWS\Explorer.EXE
gefunden: Worm.Downloader.SZ!IK

Geschrieben von: blueX 16.08.2009, 18:26

Das ist aber ein empfindlicher Fehlalarm!

Geschrieben von: citro 16.08.2009, 19:36

Hat sich nach einem Update erledigt

Geschrieben von: Solution-Design 16.08.2009, 23:18

Trotzdem, sehr unangenehm. Solche Dinge bringen einen gewissen Verriss mit

Geschrieben von: citro 29.10.2009, 18:29

Norman Antivirus legt Windows XP lahm


Quelle: PCWelt

http://www.pcwelt.de/start/sicherheit/antivirus/news/2105206/fehlalarm-in-norman-antivirus-legt-windows-xp-lahm/index.html

Geschrieben von: blueX 30.10.2009, 12:55

Die kernel32.dll sollte eigentlich nicht gemeldet werden.

Geschrieben von: Habakuck 30.10.2009, 15:57

Immer wenn ich von solchen schwerwiegenden FPs lese dann frage ich mich warum die Entwickler keine Whitlist für die wirklich wichtigen Windows Dateien hinterlegen die eine höhere Priorität hat als jede Signatur?!

Geschrieben von: blueX 30.10.2009, 16:50

Ich kann das auch nicht nachvollziehen ....

Geschrieben von: Varock 30.10.2009, 19:56

Naja, wenn man bei einer Whitelist fehler macht sodass ein bestimmer Virus immer durchkommt ist auch nicht so angenehm, aber besser als wenn das ganze System kaputt geht. xD

Geschrieben von: Habakuck 30.10.2009, 20:16

Naja, genau dafür, dass sie das richtig machen zahlt der Kunde ja schließlich. Und so eine Whitlist kann nicht so schwierig sein.

Geschrieben von: citro 02.11.2009, 22:12

VIPRE steckt winlogon.exe in Quarantäne

http://www.pcwelt.de/start/sicherheit/antivirus/news/2105372/vipre-steckt-winlogonexe-in-quarantaene/index.html

Geschrieben von: Julian 03.11.2009, 13:42

Es trifft immer nur Win XP.
Und es trifft in letzter Zeit auch immer nur AVs, die man sowieso nicht empfehlen kann.

Geschrieben von: Solution-Design 26.12.2009, 17:32

Ich liebe die Avira-Heuristik

http://process-explorer.softonic.de/

[attachment=5688:avira.png]

Geschrieben von: J4U 26.12.2009, 17:49

Hm, es wird aber nicht der von Dir gepostete Link geblockt, sondern dieser:
hxxp://ia1.sftcdn.net/de/js/generated/cb51c0eca2cb90fc641d37d9a6d60d1b-ba8d621488f934f123bd7be9be1cc258.js
die softonic.de-Seite lädt ansonsten normal.

J4U

Geschrieben von: Solution-Design 26.12.2009, 22:49

Wenn ich den Link aufrufe, meldet sich Avira. Warum und an welcher Stelle (javascript) ist ja erst mal Schnuppe. Dass Avira nicht wild eine Homepage bemeckert ist selbstredend. So viel traue ich denen schon zu.

[attachment=5691:avira.png]

Geschrieben von: J4U 27.12.2009, 00:01

Was macht Dich so sicher, dass das js sauber ist?
Es soll sogar Leutchen geben, die installieren für ihren Browser ein Plugin, um js abzuschalten.

J4U

Geschrieben von: Solution-Design 27.12.2009, 17:15

Bei softsonic wird von Avira jedes Script bemeckert. Nur eben nicht von anderer AV-Software.

Geschrieben von: J4U 27.12.2009, 19:29

Hast schon Recht, ich wollte nur damit zum Ausdruck bringen, dass von einem geblockten javascript die Welt nicht untergeht,
FP 2. Klasse sozusagen.

J4U

Geschrieben von: citro 28.12.2009, 13:37

Gerade kam die Antwort von Avira, es ist ein Falsch-Positiv

Geschrieben von: blueX 25.01.2010, 21:06

Kaspersky mit einem Fehlalarm: http://www.heise.de/newsticker/meldung/Kaspersky-Fehlalarm-bei-Google-Ads-912740.html

Geschrieben von: N3XT 05.02.2010, 11:47

Kaspersky meldet beim Aufruf der Prosieben-Website HEUR:Trojan.Script.Generic

Geschrieben von: citro 21.03.2010, 17:48

Bitdefender-Update legt Windows-Rechner lahm (64-Bit)

http://www.heise.de/security/meldung/Bitdefender-Update-legt-Windows-Rechner-lahm-959945.html

http://www.bitdefender.com/site/KnowledgeBase/consumer/#640

Windows = Trojan.FakeAlert

Geschrieben von: citro 22.03.2010, 11:55

Eine Stellungnahme von BD zum Fehlalarm:

http://www.bitdefender.de/NW1433-de--bitdefender:-trojan.fakealert.5.html

Geschrieben von: scu 23.03.2010, 20:17

Geschrieben von: Voyager 23.03.2010, 21:11

Das ist doch schei??egal ob Bitdefender läuft oder nicht läuft wenn das OS nicht startet " Richtig wäre es gewesen wenn wenn man Bitdefender und Programme unerwähnt lässt da nur Dateien des OS betroffen waren.

Geschrieben von: olli 26.03.2010, 06:18

Hier ist nochmal eine Stellungnahme von BitDefender zu dem Thema:

http://www.bitdefender.de/NW1441-de--bitdefender-update-support.html

Bis denne
Olli

Geschrieben von: Joerg 26.03.2010, 07:10

Gabs wohl keine Qualitätskontrolle vor dem Bereitstellen der Signatur.
Ist aber auch ein Grund, warum ich nach der Installation eines AV-Programmes immer als erstes das automatische Verschieben in die Quarantäne abschalte.

Geschrieben von: Catweazle 26.03.2010, 19:12

Nun hat es auch Kaspersky, und Jiangmin, und CAT-QuickHeal, erwischt

Stammt von dem c´t-Notfall-Windows Projekt.


http://www.virustotal.com/de/analisis/2999faf7e9e1f9f0601b46f7086cc76a16157352cc0669b0547c8de65f0ab404-1269626849

Oder doch nicht ?!

Catweazle

Geschrieben von: Catweazle 28.03.2010, 18:41

a-squared, AntiVir, Antiy-AVL, Fortinet, McAfee-GW-Edition, TheHacker

http://www.virustotal.com/de/analisis/0c3ffaefe5c1f6bbde13a85092fdc7cfcc577582218526470701d03ae58acddb-1269797679

a-squared Free - Version 4.5
Letztes Update: 28.03.2010 15:59:44

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 28.03.2010 16:23:44

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269525900281000 gefunden: Trace.TrackingCookie.doubleclick.net!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269543767156000 gefunden: Trace.TrackingCookie.count!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269599029578001 gefunden: Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614036578000 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614037718000 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269614037718001 gefunden: Trace.TrackingCookie.zedo.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269628005968000 gefunden: Trace.TrackingCookie.www.googleadservices.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629114734000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629619296000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269629651390000 gefunden: Trace.TrackingCookie.tribalfusion.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269700647796000 gefunden: Trace.TrackingCookie.m.webtrends.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713178203000 gefunden: Trace.TrackingCookie.d1.openx.org!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713345578000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713346718000 gefunden: Trace.TrackingCookie.ads.us.e-planning.net!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1269713492531001 gefunden: Trace.TrackingCookie.ad.zanox.com!A2
D:\C`t-Motfall-Windows\Projects\Tools\$1\I386\system32\keyreader.exe gefunden: Trojan.Win32.Buzus.dfnm!A2

Gescannt

Dateien: 342790
Traces: 404762
Cookies: 477
Prozesse: 27

Gefunden

Dateien: 1
Traces: 0
Cookies: 17
Prozesse: 0
Registry Keys: 0

Scan Ende: 28.03.2010 17:43:43
Scan Zeit: 1:19:59

Catweazle

Geschrieben von: blueX 29.03.2010, 14:20

Sende die Datei keyreader.exe ein und schreibe dazu, dass du einen False Positive vermutest.

Geschrieben von: Catweazle 29.03.2010, 14:41

Kann ich leider nicht mer. Hab ich wahrscheinlich versehentlich gestern von KAV löschem lassen

Sorry.

Catweazle

Geschrieben von: Solution-Design 29.03.2010, 17:16

Wieso gelöscht? Das Ding ist doch auf der Notfall-CD?

Geschrieben von: Catweazle 29.03.2010, 18:01

Stimmt, muß ja noch auf der Heft Cd, bzw. DVD stehen.

Catweazle

Geschrieben von: Catweazle 29.03.2010, 18:22

...sehr komisch, jetzt habe ich das ganze Archiv noch mal entpackt, wo das alte lag, und jetzt finde ich diese datei nicht mer.

Catweazle

Geschrieben von: citro 22.04.2010, 09:12

Jetzt ist McAfee an der Reihe und macht Windows XP SP3 unbenutzbar

http://www.heise.de/security/meldung/Signatur-Update-von-McAfee-macht-Windows-PCs-unbenutzbar-983603.html

Geschrieben von: Catweazle 25.04.2010, 18:35

Und nu is es weg lmfao.gif

a-squared Free - Version 4.5
Letztes Update: 25.04.2010 16:35:31

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 25.04.2010 17:03:17

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272203281062001 gefunden: Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272206389886000 gefunden: Trace.TrackingCookie.doubleclick.net!A2
F:\USB Disk Storage Format Tool\sp27608.exe gefunden: Trojan.Win32.Dropper!A2

Gescannt

Dateien: 329193
Traces: 407730
Cookies: 1287
Prozesse: 28

Gefunden

Dateien: 1
Traces: 0
Cookies: 2
Prozesse: 0
Registry Keys: 0

Scan Ende: 25.04.2010 18:18:02
Scan Zeit: 1:14:45

F:\USB Disk Storage Format Tool\sp27608.exe Quarantäne Trojan.Win32.Dropper!A2

Quarantäne

Dateien: 1
Traces: 0
Cookies: 0

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272203281062001 Gelöscht Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1272206389886000 Gelöscht Trace.TrackingCookie.doubleclick.net!A2

Gelöscht

Dateien: 0
Traces: 0
Cookies: 2

Und ein komisches VT Ergebnis, haben wir auch noch. Ja eingesand habe ich es gestern, oder vorgestern.

Nun ja man kann die, bzw. das Programm sich erneut runter laden, aber das müßte nicht sein thumbdown.gif stirnklatsch.gif


http://www.virustotal.com/de/analisis/5d16...d45f-1272216451

Catweazle

Geschrieben von: Catweazle 29.04.2010, 18:37

Forum mit Trojaner ?!

http://www.forum64.de/wbb3/board105-forum-intern/board39-kritik-und-anregungen-zum-forum/36703-forum64-mit-trojaner/?highlight=

Catweazle

Geschrieben von: scu 29.04.2010, 18:42

Hä? Was soll uns "Forum mit Trojaner?!" sagen?

Wenn ich auf die Seite gehe, kommt nur "Der Zutritt zu dieser Seite ist Ihnen leider verwehrt. Sie besitzen nicht die notwendigen Zugriffsrechte, um diese Seite aufrufen zu können."

Geschrieben von: blueX 29.04.2010, 19:08

Und so reagiert McAfee: http://www.zdnet.de/news/wirtschaft_sicherheit_security_fehlerhaftes_signatur_update_mcafee_entschaedigt_betroffene_story-39001024-41531140-1.htm

Ich finde das ein sehr gutes Zeichen.

Geschrieben von: Catweazle 29.04.2010, 19:46

@ scu

Das müßte der richtige Link sein, http://www.forum64.de/wbb3/board105-forum-intern/board39-kritik-und-anregungen-zum-forum/36703-forum64-mit-trojaner/?highlight=

Ich glaube nicht, versuchs mal.

Catweazle

Geschrieben von: Rios 29.04.2010, 19:49

Hi scu, doch geht schon. Bin mal soeben im Forum

Geschrieben von: Catweazle 29.04.2010, 19:49

Wird wol nicht gehen, ich bin ja dort angemeldet, wen ich dieses Forum mit dem IE8 ansteueren tuhe, komme ich dort auch nicht hin.

Catweazle

Geschrieben von: Catweazle 29.04.2010, 19:52

@ Rios

Kannst du dort lesen, auch wen du dort nicht angemeldet bist, ist das so, über meinen geposteten Fred/Link ?

Catweazle

Geschrieben von: Catweazle 29.04.2010, 19:57

Wen es doch nicht geht, dan mache ich es so:

Catweazle

Geschrieben von: Habakuck 30.04.2010, 10:48

Avast meldet die Windows Defragmentation als Malware. Vorsicht.

Gnaaaaa. Oh man. Ausnahmeregel ist erstellt und die Datei ist als FP eingesendet. Trotzdem verschiebt Avast sie in den Container. Beim Versuch sie von dort aus wiederherzustellen schmiert Avast ab. Prozess beendet.
Sehr vertrauenserweckend wenn das bei einem FP passiert.... Will nicht wissen was Avast macht wenn hier wirklich mal laufen sollte....
Ist das erste mal, dass ich über Avast was zu meckern habe.

Geschrieben von: Luke 24.05.2010, 09:24

Was mich mal interessieren würde, hatte NOD32 eigentlich schon irgendwann mal einen gravierenden Fehlalarm, also das eine Systemdatei als Schädling erkannt wurde ?
Ich kann mich nämlich nicht daran erinnern von ESET schon jemals so etwas gehört zu haben.

Geschrieben von: blueX 24.05.2010, 10:32

http://www.thepatri0t.net/2009/03/09/nod32-false-alarm-win32-kryptik-jx/

Geschrieben von: citro 30.05.2010, 21:36

Könnte das eventuell jemand mit AVAST5 testen ? Ist bestimmt ein FP

WirelessNetView v1.26

http://www.nirsoft.net/utils/wireless_network_view.html

http://www.virustotal.com/de/analisis/17a944c0faf45c3c44dcd23d476b0101cd3585ed0286b546f308edc0daa30bfd-1275251263

CAT-QuickHeal hat das FP bestätigt


Bei Avast reagiert (noch) keiner

Geschrieben von: citro 31.05.2010, 09:51

Antwort ist gekommen:

It is not false positive detection. It is detected as Win32:PSWtool-AB [PUP] -- PUP means "Potentially unwanted program"

Geschrieben von: blueX 19.11.2010, 18:36

Clamwin mit einem unglücklichen Update: http://www.heise.de/security/meldung/Freier-Virenscanner-Clamwin-verschiebt-Windows-Rechner-in-Quarantaene-1139392.html

Geschrieben von: scu 19.11.2010, 19:25

Autsch! Unglücklich ist stark untertrieben...

Geschrieben von: control 22.11.2010, 19:13

Heutzutage sind einige AV's schon gefährlicher als Malware ...

Geschrieben von: Julian 22.11.2010, 21:12

Hab von noch keinem AV gehört, das den Rechner als Spambot etc. missbraucht oder Geld an die Nigeria-Connection überweist.

Geschrieben von: control 22.11.2010, 21:45

... aber dafür ein sauberes System schrottet! Ist das AV Unternehmen in solchen Fällen schadensersatzpflichtig? Das wäre doch mal ein interessanter Ansatz!

Geschrieben von: Julian 22.11.2010, 21:54

Die Unternehmen werden sich wohl in den EULAs dahingehend juristisch abgesichert haben.

Geschrieben von: SebastianLE 08.01.2011, 13:15

PREVX halt...

Geschrieben von: Jav.SEC.21 05.03.2011, 13:14

Ich bekomme mit G Data auf pcgames.de eine Virenmeldung.

Virenprüfung von Web-Inhalten

Adresse: www.pcgames.de
Virus: Generic.Exploit.CVE_20.8BEB0E75 (Engine-A)
Status: Der Zugriff wurde verweigert.

Wird wohl hier auch schon diskutiert:
http://extreme.pcgameshardware.de/pcgh-webseite/143805-pcgames-website-virus.html

Geschrieben von: scu 05.03.2011, 13:48

Hmm... Schon gefixt oder hat VT keine aktuellen Signaturen?
Ich hab gerade nur ein Linux System zur Verfügung und kann nicht testen...

http://www.virustotal.com/url-scan/report.html?id=5e962eb90f0506a1f84f0a58a5997651-1299325258

http://www.virustotal.com/file-scan/report.html?id=9e91abb4f86307663749343ecf351f8233399193ba06869cc83058b65b8d67f9-1299328862

Geschrieben von: Jav.SEC.21 05.03.2011, 15:24

Aktuell noch nicht behoben.
Merkwürdig das es bei VT nicht angezeigt wird.

17:21 - Nicht behoben

Geschrieben von: Jav.SEC.21 06.03.2011, 13:44

Ist wohl mittlerweile mit einem Update behoben worden.

Geschrieben von: Catweazle 13.03.2011, 19:52

Emsisoft Emergency Kit - Version 1.0
Letztes Update: 13.03.2011 17:37:39

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, I:\, J:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 13.03.2011 17:38:06

C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@com[1].txt gefunden: Trace.TrackingCookie.com!A2
C:\Programme\NoVirusThanks\Anti-Rootkit (Free Edition)\NVTArk.exe gefunden: Virus.Win32.Heur!IK
I:\X\SARDU_2.0.1\ISO\isolinux\boot\austrumi.tgz/.\var\www\htdocs\cyti\c99\c99.php gefunden: Backdoor.PHP.Rst.ak!IK
I:\X\SARDU_2.0.1\ISO\isolinux\boot\austrumi.tgz/.\etc\ssh\moduli gefunden: Backdoor.PHP.Rst.ak!IK

Gescannt

Dateien: 161539
Traces: 420344
Cookies: 456
Prozesse: 22

Gefunden

Dateien: 3
Traces: 0
Cookies: 1
Prozesse: 0
Registry Keys: 0

Scan Ende: 13.03.2011 19:21:21
Scan Zeit: 1:43:15


...und das hier:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6035

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.03.2011 18:15:12
mbam-log-2011-03-12 (18-15-12).txt

Scan type: Full scan (C:\|I:\|)
Objects scanned: 203227
Time elapsed: 42 minute(s), 27 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
Ob das gifixt wird weiß ich nicht, darum bescheid wissen sie....
Um dieses programm, geht es : http://www.zeiss.de/c12567be0045acf1/Contents-Frame/4bfa588c935976c4c1256e0000492173


Ok, entschuldigung, wurde doch gefixt dieser FP, war meine schuld.

Catweazle

Geschrieben von: Catweazle 13.03.2011, 21:42

Das mit Malwarebytes' Anti-Malware, besteht immer noch, kann leider keinen aktuellen Log nachreichen, weil er nicht richtig abgespeichert worden ist bei mir, sorry. Der Fehlarlarm besteht immer noch...

Catweazle

Geschrieben von: Catweazle 13.03.2011, 23:00

Ohne Worte

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6045

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.03.2011 22:57:47
mbam-log-2011-03-13 (22-57-42).txt

Scan type: Full scan (C:\|I:\|)
Objects scanned: 215644
Time elapsed: 56 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\CARL ZEISS VISION\SYSTEM\ZIPL\3RDPARTY\RTF\P2WAGENT.EXE (Trojan.Dropper.PGen) -> Value: P2WAGENT.EXE -> No action taken. [b4e9987fa957916f2048d9a6a262827e]

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\programme\gemeinsame dateien\carl zeiss vision\System\ZiPL\3rdparty\RTF\p2wagent.exe (Trojan.Dropper.PGen) -> No action taken. [b4e9987fa957916f2048d9a6a262827e]

Catweazle

Geschrieben von: Catweazle 14.03.2011, 19:54

Der MBAM fp war eine Feharlarm, und wurde gefixt

Catweazle

Geschrieben von: blueX 11.01.2014, 21:31

Auch nett, Avast erkannte durch ein fehlerhaftes Signaturenupdate jede App als schädlich: http://www.heise.de/security/meldung/Falscher-Alarm-Avast-fuer-Android-haelt-alle-Apps-fuer-Viren-2078962.html?wt_mc=rss.security.beitrag.atom

Geschrieben von: Solution-Design 27.01.2014, 01:49

Ich frage mich oftmals, wie die ganzen AV-Tester so testen. Ob es sich wirklich immer um Malware handelt. Zumindest, wenn ich mir das hier so anschaue: https://www.virustotal.com/de/file/37fc4c20c990fac2de7eb5be0a4da44902adc7149fbc14482be4fd67c4de6b5c/analysis/1390781506/

ATI/AMD-Grafikkarten-Besitzer sollten das Tool eigentlich schon kennen http://www.ulpsconfigurationutility.com/

Geschrieben von: blueX 28.01.2014, 13:43

Wenn das mal wirklich ein False Positive ist ...

Geschrieben von: Solution-Design 28.01.2014, 14:26

Ist es.

Geschrieben von: SLE 28.01.2014, 14:26

Warum nicht? Das ist ein einfach gestricktes DOS Programm, wo man den http://www.ulpsconfigurationutility.com/code/ leicht einsehen kann. Aufgrund der Registrybereiche (HKLM\SYSTEM\CurrentControlSet\Control\Class\) in die da geschrieben wird ist klar, dass entsprechende automatische aber zu simple Heuristiken da drauf anspringen können. Und das erkennt man auch an den Benennungen.

Hier tanzt eigentlich nur Ikarus (KillAV) aus der Reihe aber FPs sind da ja bekanntermaßen ein Problem. Beim Rest verwundert zwar auf den ersten Blick die Vielzahl, aber wenn man weiß wieviele bei der Signaturerstellung einfach gewisse andere beobachten ist das nicht verwunderlich. Ein bisschen bei AVIRA schauen, ein bisschen bei ... und einpflegen. Was denkst du wenn ESET und/oder Kaspersky das File als schädlich einstufen würden, wieviele mehr hier anschlagen würden...

Das einzig spektakuläre hieran ist für mich, das es von M$ schädlich eingestuft wird. Weil einen M$ FP finden ist schwer!

Geschrieben von: blueX 28.01.2014, 14:53

Statement eines Virenlabors:

Im Übrigen erkannt auch Kaspersky die Datei (nicht per Signatur, aber per KSN).
Ein weiteres Virenlabor hat den Fehlalarm dagegen bestätigt.

Geschrieben von: SLE 28.01.2014, 15:48

Es zeigt die Nichtbereitschaft Signaturen anzupassen. Die Strings kann man sehen.
Wenn offiziell dokumentierte Batch-Befehle als Malwarestrings deklariert werden, mhm wer meint.

Geschrieben von: blueX 28.01.2014, 16:12

Das kann ja irgendwie auch nicht sein. Wenn man sich schon die Mühe macht, das File anzuschauen, kann man es ja schließlich auch aus der Erkennung nehmen.

Ich werde das File mal an alle einsenden, die es fälschlicherweise erkennen und morgen Abend schauen wir mal, wer fleißig war.

Geschrieben von: blueX 28.01.2014, 16:31

Das ist echt abenteuerlich:

Geschrieben von: Solution-Design 28.01.2014, 17:09

Von dem -wer auch immer- würde ich schon mal kein Produkt erwerben

Geschrieben von: perit 28.01.2014, 17:45

Schreib nochmal hin dass es doch Malware ist, bitte hinzufügen.

Geschrieben von: blueX 29.01.2014, 20:40

Alle AV's, die die Datei fehlerhaft erkennen, ist die Datei zugegangen mit dem Hinweis, dass es ein False Positive ist.
Hausaufgaben werden offensichtlich nicht gemacht: https://www.virustotal.com/de/file/37fc4c20c990fac2de7eb5be0a4da44902adc7149fbc14482be4fd67c4de6b5c/analysis/1391024179/

Geschrieben von: Solution-Design 29.01.2014, 22:19

Du siehst das zu negativ. Du musst die anschaun, welche etwas getan haben.

Geschrieben von: blueX 29.01.2014, 22:28

Einige AVs sind auch nicht bereit die Erkennung zu entfernen:

Vielleicht sollten wir noch ein paar Tage warten, bis die Signaturen auch auf VirusTotal ausgerollt sind.

Geschrieben von: SLE 29.01.2014, 23:13

Gebe ruhig mal die Hersteller an, bei so einem Analysten kann man nur hoffen das er nicht mal bei echter Malware entscheiden muss ob es welche ist.


Jein. Erkennungen werden oft von anderen übernommen, die Bereinigungen nicht mehr. Avira hat den Fehler korrigiert, ehe die "Orientierer" das merken, das dauert.

Geschrieben von: blueX 31.01.2014, 22:59

Das letzte war Sunbelt, dass zuvor Avast.
Nachdem ich etwas nachgebohrt habe, schaut die Sache aber etwas anders aus: https://www.virustotal.com/de/file/37fc4c20c990fac2de7eb5be0a4da44902adc7149fbc14482be4fd67c4de6b5c/analysis/1391205418/

Geschrieben von: Rios 06.09.2016, 07:49

Servus,
Sophos hatte vergangenes Wochenende Probleme mit einen Fehlalarm. Es kam zu Bluescreens, die aber zeitnah bereinigt wurden.

https://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=de&ie=UTF8&prev=_t&rurl=translate.google.de&sl=en&tl=de&u=https://community.sophos.com/kb/en-us/125000&usg=ALkJrhgk37xzJlGzTyvLOqz-DvcLfE-3OA

Geschrieben von: Schulte 06.09.2016, 20:51

Interessant, Danke.

Ich kann mir aber nicht vorstellen, dass nur einige wenige Systeme betroffen waren. Ich kenne genug Firmenrechner, auf denen W7 x86 läuft. Das haben vor allem die besseren XP-Rechner bekommen.

Aber noch eine Bitte:
kannst Du beim nächsten Mal bitte auch den Link auf das Original einstellen? Google Translate nach Deutsch ist immernoch grottig.

Geschrieben von: citro 06.09.2016, 21:06

@Schulte
einfach auf "original" klicken

Geschrieben von: Schulte 06.09.2016, 21:15

...dann muss ich aber auf einer Seite Java Script aktivieren, die ich sonst nie besuche. Also keine Option.