Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Gibt es hier Kaspersky Internet Security 2015 Nutzer?

Geschrieben von: pringle44 30.03.2016, 19:29

ich hab mal eine kleine Bitte an alle die das lesen uns KIS 2015 nutzen (ich habe Version 15.0.0.463):

Könnt ihr mal folgende Datei bei virustotal.com hochladen und mir das Ergebnis posten?

C:\ProgramData\Kaspersky Lab\AVP15.0.0\Bases\rollback.dll

Der Grund ist recht einfach: Ich hab gestern einen Scan mit desinfec't 2015 gemacht und da hat mir Avira die Datei als TR/Crypt.XPACK.Gen gemeldet

Und obwohl ich es mir nicht vorstellen kann, dass es ein Schädling ist, würd ich gern wissen wie es bei anderen aussieht.

meine rollback.dll ist übrigens Version 2.0.0.857

Vielen Dank schon mal an alle

Geschrieben von: Rocky 30.03.2016, 20:34

hallo pringle44

das solltest Du aber selbst machen,

hier : https://virustotal.com/ und die Datei selbst hochladen.

Das desinfec't 2015

https://www.youtube.com/watch?v=yY8oqG_6Nwc
kenn ich gar nicht, nun die Frage von mir, was hat Avira damit zu tun?

https://www.avira.com/de/support-threats-summary/tid/3488/threat/TR.Crypt.XPACK.Gen

kann man auch da hochladen.

ich habe kein KIS , aber Avira . wink.gif

Geschrieben von: Schulte 30.03.2016, 20:56

Avira hat offensichtlich die Signatur angepasst.

Die Datei wird (von Avira) nicht mehr bemängelt: https://www.virustotal.com/en/file/eef1448b629e0e8e057196cd1825fd198a83758ec060cf59a24eacea5b5aa3df/analysis/

Geschrieben von: wotan 30.03.2016, 21:02

Avira ist in diesem Punkt oft etwas "nervös" und neigt zu Warnung bzw. Blockade.
Aber besser so als umgekehrt...

Geschrieben von: Rocky 30.03.2016, 21:24

ZITAT(Schulte @ 30.03.2016, 21:56) *
Avira hat offensichtlich die Signatur angepasst.

Die Datei wird (von Avira) nicht mehr bemängelt: https://www.virustotal.com/en/file/eef1448b629e0e8e057196cd1825fd198a83758ec060cf59a24eacea5b5aa3df/analysis/


Jetzt habe ich es auch gecheckt, ich hatte etwas anderes hochladen wollen... wink.gif

Geschrieben von: Solution-Design 30.03.2016, 21:29

ZITAT(wotan @ 30.03.2016, 22:02) *
Aber besser so als umgekehrt...


Nein... Besser richtig als so wink.gif Aber das ist noch gar nichts. Scanne mal einen etwas wilderen mit Tools und Games vollgepackten PC mit herdProtect. Bei so vielen Avira-Engine-FPs vergeht einem die Lust. Dagegen ist Avira selbst harmlos. Auch wenn der obige Fehler fast schon wieder peinlich ist.

Geschrieben von: pringle44 30.03.2016, 21:31

@Rocky sorry wenn das nicht so klar rüber kam, aber ich hab es natürlich auch bei virustotal.com hochgeladen und dort wurde es natürlich auch von Avira als Trojaner erkannt

es ging mir ja darum eine Aussage von anderen Leuten zu haben, die die gleiche Datei haben müssten um zu sehen ob bei meinem System was nicht stimmt oder ob es die Datei bzw. Signaturen im Allgemeinen sind

und desinfec't ist ne recht praktische Sache, gibt es einmal im Jahr bei der Zeitschrift c't (meist die April Ausgabe glaube ich), das ist eine Rescue CD (Ubuntu-Basis) mit der man seinen PC gleichzeitig bzw. hintereinander mit Kaspersky, Avira und Bitdefender on demand scannen kann. Hin und wieder kann eine zweite Meinung halt nicht schaden, denk ich mir.

Aber wie Schulte schon sagt, müssen die Signaturen von Avira innerhalb der letzten 1-2 Stunden wohl angepasst worden sein, so das es jetzt auch auf virustotal.com nicht mehr als Trojaner erkannt wird

und das ist gut so und das Thema damit erledigt :-)

Geschrieben von: Rocky 30.03.2016, 21:38

Alles klar @pringle44, habe wieder dazu gelernt. Danke- smile.gif

Geschrieben von: wotan 30.03.2016, 21:39

[Zitat Solution-Design 30.03.2016, 22:29 Uhr] Nein... Besser richtig als so wink.gif
...bin ich nicht deiner Meinung.
Selbstverständlich sollte Malware korrekt erkannt werden.
Aber mir ist ein FP lieber als wenn etwas bösartiges unerkannt durchrutscht.

Geschrieben von: Schulte 30.03.2016, 21:51

Wahrscheinlich ist das Ganze nur ein dummer Zufall.

Die Avira-Signatur dürfte schon einige Jahre auf dem Buckel haben, das KL-Modul ist brandneu.
Da kann man keinem einen Vorwurf machen.

Geschrieben von: J4U 30.03.2016, 22:11

ZITAT(Schulte @ 30.03.2016, 22:51) *
Die Avira-Signatur dürfte schon einige Jahre auf dem Buckel haben,
War eine generische Erkennung. Passiert halt, wenn man unter Linux Windows-Dateien scannt.

Geschrieben von: pringle44 30.03.2016, 22:52

ZITAT(J4U @ 30.03.2016, 23:11) *
War eine generische Erkennung. Passiert halt, wenn man unter Linux Windows-Dateien scannt.


sorry aber die Erkennung hat doch mit dem Linux nix zu tun...

Geschrieben von: Schulte 30.03.2016, 22:52

ZITAT(J4U @ 30.03.2016, 23:11) *
War eine generische Erkennung.

Danke Dir. Dann macht bei Avira das '.Gen' den Unterschied?

Sollte dann aber unter jedem BS auftreten. Eine taugliche proaktive Erkennung unter Windows haben sie meines Wissens nach wie vor nicht (und würde bei VT auch nicht zum Zuge kommen).

Geschrieben von: Solution-Design 31.03.2016, 08:09

ZITAT(wotan @ 30.03.2016, 22:39) *
[Zitat Solution-Design 30.03.2016, 22:29 Uhr] Nein... Besser richtig als so wink.gif
Aber mir ist ein FP lieber als wenn etwas bösartiges unerkannt durchrutscht.


Kann und darf man geteilter Meinung drüber sein. Ich hasse FPs und bin froh, dass sich auch Emsisoft dieser Meinung angeschlossen hat und somit Ikarus ins Nirvana schickte. herdProtect nutzt die Avira-Signaturen, aber die FPs in diesem Scanner würden bei mir regelmäßig wichtige Anwendungen großer Hersteller wie SAP, VMware, Adobe und auch meinen Steam-Schuhschrank leerräumen. Somit sind FPs für mich ein no-go. Warum es gerade bei herdProtect (dem Entwickler des heute genannten Defenders) so ist... unsure.gif

Geschrieben von: J4U 31.03.2016, 14:30

ZITAT(Schulte @ 30.03.2016, 23:52) *
Sollte dann aber unter jedem BS auftreten.
Sollte, Du hast aber immer wieder Unterschiede. Ist doch auch manchmal bei Virustotal & Co., die erkennen nix und der lokal installierte Scanner schlägt an - oder umgekehrt.
Wenn, wie hier, ein Scanner im Verzeichnis eines anderen Scanners "wildert", dann sind schon häufig die lustigsten Ergebnisse heraus gekommen.

Geschrieben von: pringle44 31.03.2016, 18:45

also ich will ja nicht nerven aber nachdem die Datei gestern Nacht nicht mehr von Avira erkannt wurde wird sie jetzt wieder erkannt als TR/Crypt.Xpack.wwrf

also nicht mehr .gen am Ende sondern .wwrf (was immer das heißt)

hab zwar inzwischen eine Rückmeldung von Avira (von heut Nacht 0:40) das es ein Fehlalarm war, aber jetzt das

ich kapier das nicht, was machen die denn bei Avira?

Hier der Scan

https://www.virustotal.com/en/file/eef1448b629e0e8e057196cd1825fd198a83758ec060cf59a24eacea5b5aa3df/analysis/1459445234/

Geschrieben von: J4U 31.03.2016, 20:09

ZITAT(pringle44 @ 31.03.2016, 19:45) *
ich kapier das nicht, was machen die denn bei Avira?
Ich weiß nicht, was in der rollback.dll steht und was Avira da erkennt oder meint, zu erkennen. Es ist trotzdem immer eine Sch...idee, einen Virenscanner mit einem Virenscanner zu überprüfen. Vergiss es einfach.

Geschrieben von: blueX 02.04.2016, 14:14

ZITAT(J4U @ 31.03.2016, 21:09) *
Ich weiß nicht, was in der rollback.dll steht und was Avira da erkennt oder meint, zu erkennen. Es ist trotzdem immer eine Sch...idee, einen Virenscanner mit einem Virenscanner zu überprüfen. Vergiss es einfach.


Was soll daran keine gute Idee sein, mit einer Linux-Boot-CD den PC zu überprüfen?

Ich denke, dir ist die Arbeitsweise von Desinfect nicht bekannt.


Geschrieben von: Solution-Design 02.04.2016, 16:23

Abgesehen davon, dass sich auf diese Weise RootKits toll erkennen lassen, sprach er nicht davon wink.gif

Edit: Allerdings sollte ein AV ein anderes AV wirklich nicht maliziös einstufen.

Geschrieben von: J4U 02.04.2016, 17:54

ZITAT(blueX @ 02.04.2016, 15:14) *
ZITAT(J4U @ 31.03.2016, 21:09) *

Ich weiß nicht, was in der rollback.dll steht und was Avira da erkennt oder meint, zu erkennen. Es ist trotzdem immer eine Sch...idee, einen Virenscanner mit einem Virenscanner zu überprüfen. Vergiss es einfach.
Was soll daran keine gute Idee sein, mit einer Linux-Boot-CD den PC zu überprüfen?
Äh, wo habe ich das geschrieben? unsure.gif

Geschrieben von: J4U 02.04.2016, 17:56

ZITAT(Solution-Design @ 02.04.2016, 17:23) *
Allerdings sollte ein AV ein anderes AV wirklich nicht maliziös einstufen.
Passiert immer mal wieder, das sollte man eben wissen und auch beherzigen.

Es haben AVs schon Windows als Virus eingestuft - und das vor 10 biggrin.gif

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)