Aktuelle False Positives / Fehlalarme der AV's, Sammelthread Einstellungen

[Jav.SEC.21]

Ich bekomme mit G Data auf pcgames.de eine Virenmeldung.

Virenprüfung von Web-Inhalten

Adresse: www.pcgames.de
Virus: Generic.Exploit.CVE_20.8BEB0E75 (Engine-A)
Status: Der Zugriff wurde verweigert.

Wird wohl hier auch schon diskutiert:
http://extreme.pcgameshardware.de/pcgh-web...site-virus.html

Angehängte Datei(en)

 Unbenannt.PNG ( 11.7KB ) Anzahl der Downloads: 9

 

[scu]

Ich bekomme mit G Data auf pcgames.de eine Virenmeldung.

Virenprüfung von Web-Inhalten

Adresse: www.pcgames.de
Virus: Generic.Exploit.CVE_20.8BEB0E75 (Engine-A)
Status: Der Zugriff wurde verweigert.

Wird wohl hier auch schon diskutiert:
http://extreme.pcgameshardware.de/pcgh-web...site-virus.html

Hmm... Schon gefixt oder hat VT keine aktuellen Signaturen?
Ich hab gerade nur ein Linux System zur Verfügung und kann nicht testen...

http://www.virustotal.com/url-scan/report....7651-1299325258

http://www.virustotal.com/file-scan/report...67f9-1299328862

[Jav.SEC.21]

Aktuell noch nicht behoben.
Merkwürdig das es bei VT nicht angezeigt wird.

17:21 - Nicht behoben

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 05.03.2011, 17:22

[Jav.SEC.21]

Ist wohl mittlerweile mit einem Update behoben worden.

[Catweazle]

Emsisoft Emergency Kit - Version 1.0
Letztes Update: 13.03.2011 17:37:39

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, C:\, I:\, J:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 13.03.2011 17:38:06

C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@com[1].txt gefunden: Trace.TrackingCookie.com!A2
C:\Programme\NoVirusThanks\Anti-Rootkit (Free Edition)\NVTArk.exe gefunden: Virus.Win32.Heur!IK
I:\X\SARDU_2.0.1\ISO\isolinux\boot\austrumi.tgz/.\var\www\htdocs\cyti\c99\c99.php gefunden: Backdoor.PHP.Rst.ak!IK
I:\X\SARDU_2.0.1\ISO\isolinux\boot\austrumi.tgz/.\etc\ssh\moduli gefunden: Backdoor.PHP.Rst.ak!IK

Gescannt

Dateien: 161539
Traces: 420344
Cookies: 456
Prozesse: 22

Gefunden

Dateien: 3
Traces: 0
Cookies: 1
Prozesse: 0
Registry Keys: 0

Scan Ende: 13.03.2011 19:21:21
Scan Zeit: 1:43:15


...und das hier:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6035

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.03.2011 18:15:12
mbam-log-2011-03-12 (18-15-12).txt

Scan type: Full scan (C:\|I:\|)
Objects scanned: 203227
Time elapsed: 42 minute(s), 27 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
Ob das gifixt wird weiß ich nicht, darum bescheid wissen sie....
Um dieses programm, geht es : http://www.zeiss.de/c12567be0045acf1/Conte...1256e0000492173


Ok, entschuldigung, wurde doch gefixt dieser FP, war meine schuld.

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 13.03.2011, 20:13

[Catweazle]

Das mit Malwarebytes' Anti-Malware, besteht immer noch, kann leider keinen aktuellen Log nachreichen, weil er nicht richtig abgespeichert worden ist bei mir, sorry. Der Fehlarlarm besteht immer noch...

Catweazle

[Catweazle]

Ohne Worte

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6045

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.03.2011 22:57:47
mbam-log-2011-03-13 (22-57-42).txt

Scan type: Full scan (C:\|I:\|)
Objects scanned: 215644
Time elapsed: 56 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\CARL ZEISS VISION\SYSTEM\ZIPL\3RDPARTY\RTF\P2WAGENT.EXE (Trojan.Dropper.PGen) -> Value: P2WAGENT.EXE -> No action taken. [b4e9987fa957916f2048d9a6a262827e]

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\programme\gemeinsame dateien\carl zeiss vision\System\ZiPL\3rdparty\RTF\p2wagent.exe (Trojan.Dropper.PGen) -> No action taken. [b4e9987fa957916f2048d9a6a262827e]

Catweazle

[Catweazle]

Der MBAM fp war eine Feharlarm, und wurde gefixt

Catweazle

[Gast_blueX_*]

Auch nett, Avast erkannte durch ein fehlerhaftes Signaturenupdate jede App als schädlich: http://www.heise.de/security/meldung/Falsc...ty.beitrag.atom

[Solution-Design]

Ich frage mich oftmals, wie die ganzen AV-Tester so testen. Ob es sich wirklich immer um Malware handelt. Zumindest, wenn ich mir das hier so anschaue: https://www.virustotal.com/de/file/37fc4c20...sis/1390781506/

ATI/AMD-Grafikkarten-Besitzer sollten das Tool eigentlich schon kennen http://www.ulpsconfigurationutility.com/

[Gast_blueX_*]

Wenn das mal wirklich ein False Positive ist ...

[Solution-Design]

Ist es.

[SLE]

Wenn das mal wirklich ein False Positive ist ...

Warum nicht? Das ist ein einfach gestricktes DOS Programm, wo man den Code leicht einsehen kann. Aufgrund der Registrybereiche (HKLM\SYSTEM\CurrentControlSet\Control\Class\) in die da geschrieben wird ist klar, dass entsprechende automatische aber zu simple Heuristiken da drauf anspringen können. Und das erkennt man auch an den Benennungen.

Hier tanzt eigentlich nur Ikarus (KillAV) aus der Reihe aber FPs sind da ja bekanntermaßen ein Problem. Beim Rest verwundert zwar auf den ersten Blick die Vielzahl, aber wenn man weiß wieviele bei der Signaturerstellung einfach gewisse andere beobachten ist das nicht verwunderlich. Ein bisschen bei AVIRA schauen, ein bisschen bei ... und einpflegen. Was denkst du wenn ESET und/oder Kaspersky das File als schädlich einstufen würden, wieviele mehr hier anschlagen würden...

Das einzig spektakuläre hieran ist für mich, das es von M$ schädlich eingestuft wird. Weil einen M$ FP finden ist schwer!

Der Beitrag wurde von SLE bearbeitet: 28.01.2014, 14:27

[Gast_blueX_*]

Statement eines Virenlabors:

It is not a false positive. File is using malware strings. Detection will not removed.

Im Übrigen erkannt auch Kaspersky die Datei (nicht per Signatur, aber per KSN).
Ein weiteres Virenlabor hat den Fehlalarm dagegen bestätigt.

[SLE]

Es zeigt die Nichtbereitschaft Signaturen anzupassen. Die Strings kann man sehen.
Wenn offiziell dokumentierte Batch-Befehle als Malwarestrings deklariert werden, mhm wer meint.

[Gast_blueX_*]

Es zeigt die Nichtbereitschaft Signaturen anzupassen.

Das kann ja irgendwie auch nicht sein. Wenn man sich schon die Mühe macht, das File anzuschauen, kann man es ja schließlich auch aus der Erkennung nehmen.

Ich werde das File mal an alle einsenden, die es fälschlicherweise erkennen und morgen Abend schauen wir mal, wer fleißig war.

[Gast_blueX_*]

Das ist echt abenteuerlich:

Seems detection is correct.

Also see on VT results: https://www.virustotal.com/en-gb/file/37fc4...sis/1390922091/

[Solution-Design]

Das ist echt abenteuerlich:

Von dem -wer auch immer- würde ich schon mal kein Produkt erwerben

[Gast_perit_*]

Schreib nochmal hin dass es doch Malware ist, bitte hinzufügen.

[Gast_blueX_*]

Alle AV's, die die Datei fehlerhaft erkennen, ist die Datei zugegangen mit dem Hinweis, dass es ein False Positive ist.
Hausaufgaben werden offensichtlich nicht gemacht: https://www.virustotal.com/de/file/37fc4c20...sis/1391024179/