Dr.Web - Kurzübersicht, Erfahrungen mit Dr. Web Einstellungen

[Gast_skep_*]

drweb ist wirklich flott

Muss ich auch mal bestaetigen. Zumindestens in meinem Fall wo ich ein Sample eingeschickt hatte was zu vor nicht erkannt wurde, dauerte es nur wenige Stunden und es wurde erkannt. Bei anderen Scannern, warte ich seit 2 Tagen das was passiert..

[Gast_2cool_*]

übrigens Ikarus scheint hier auch ein problem zu haben...
der meldet zu "allem" nur noch p2p w32 polipos a...
auch gestern bei passworttools....[right][snapback]145744[/snapback][/right]

Auch bei ganz normalen, harmosen Dateien?



So könnte ich auch (ohne besondere AV-Programmiererfahrung)
einen Scanner mit 100 Prozent Erkennung schreiben,
hätte nur ganz wenige Programmzeilen,
dummerweise auch 100 Prozent Fehlerquote

[Gast_Julian_*]

was hast du denn da schönes....
[right][snapback]145744[/snapback][/right]

einfach mal nach cracks für starforce geschützte spiele gesucht (das ist streng genommen keine anleitung )

[Gast_blueX_*]

übrigens Ikarus scheint hier auch ein problem zu haben...der meldet zu "allem" nur noch p2p w32 polipos a...

Dies dürfte wohl weniger ein Problem von Ikarus sein.
Es dürfte sich wohl bei Virustotal aufgehängt haben und man müssten Ikarus wieder durchstarten.

Gab es übrigens schon des öfteren mit ClamAV und Fortinet.

[raman]

Das Problem besteht laut Ikarus bei VT. Sie nutzen eine aeltere Scanengine, da die neue noch Probleme im dauerbetrieb macht. Das Problem soll naechste Woche beseitigt werden.

Ein Kontrollscan bei Jotti sollte diese Meldung bei Ikarus nicht bringen.

[Gast_Julian_*]

laut kaspersky wird die malware, von der ich in meinen letzten postings hier sprach, aber auch von einigen anderen av-herstellern indentifiziert, die laut virustotal angeblich nichts fanden.
was soll man jetzt davon halten...

[lorenzmeyer]

hallo zusammen,

was hat dies alles noch mit dem eigentlichen Thema zutun?

Vielleicht sollte einer ein neues Thema aufmachen.

Nichts für ungut, aber es läuft immer mehr in die Breite.


Gruß Jörg

[Gast_Julian_*]

ich wollte dafür nicht extra ein neues thema aufmachen, deshalb hab ich mein ergebnisse von oben einfach mal hier reingestellt

[Universum]

Hallo,
ich habe Dr. Web CureIt angewandt.
Als Ergebnis hat das Programm folgendes geliefert:
C:\Programme\AntiVir PersonalEdition Classic\update.exe ==> mögl.weise WIN.WORM.Virus
Complete scanning result of "update.exe", received in VirusTotal at 04.30.2006, 13:07:45 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.28.2006 no virus found
AVG 386 04.28.2006 no virus found
Avira 6.34.1.58 04.29.2006 no virus found
BitDefender 7.2 04.30.2006 no virus found
CAT-QuickHeal 8.00 04.29.2006 no virus found
ClamAV devel-20060202 04.30.2006 no virus found
DrWeb 4.33 04.30.2006 WIN.WORM.Virus
eTrust-InoculateIT 23.71.142 04.29.2006 no virus found
eTrust-Vet 12.4.2184 04.28.2006 no virus found
Ewido 3.5 04.30.2006 no virus found
Fortinet 2.71.0.0 04.30.2006 no virus found
F-Prot 3.16c 04.30.2006 no virus found
Ikarus 0.2.59.0 04.29.2006 P2P-Worm.Win32.Polipos.a
Kaspersky 4.0.2.24 04.30.2006 no virus found
McAfee 4751 04.28.2006 no virus found
Microsoft 1.1372 04.30.2006 no virus found
NOD32v2 1.1513 04.29.2006 no virus found
Norman 5.90.17 04.28.2006 no virus found
Panda 9.0.0.4 04.29.2006 no virus found
Sophos 4.05.0 04.29.2006 no virus found
Symantec 8.0 04.30.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 no virus found
UNA 1.83 04.28.2006 no virus found
VBA32 3.11.0 04.29.2006 no virus found

Aditional Information
File size: 344064 bytes
MD5: df03005e10bb6ba776beea5995f32a90
SHA1: 4f7bfa49cfc6f6f212bb748f5306de83fed556c1


C:\Programme\ETR\ETRemover_v212.exe ==> mögl.weise BACKDOOR.Trojan
Complete scanning result of "ETRemover_v212.exe", received in VirusTotal at 04.30.2006, 13:16:37 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.28.2006 no virus found
AVG 386 04.28.2006 no virus found
Avira 6.34.1.58 04.29.2006 no virus found
BitDefender 7.2 04.30.2006 no virus found
CAT-QuickHeal 8.00 04.29.2006 no virus found
ClamAV devel-20060202 04.30.2006 no virus found
DrWeb 4.33 04.30.2006 BACKDOOR.Trojan
eTrust-InoculateIT 23.71.142 04.29.2006 no virus found
eTrust-Vet 12.4.2184 04.28.2006 no virus found
Ewido 3.5 04.30.2006 no virus found
Fortinet 2.71.0.0 04.30.2006 no virus found
F-Prot 3.16c 04.30.2006 no virus found
Ikarus 0.2.59.0 04.29.2006 no virus found
Kaspersky 4.0.2.24 04.30.2006 no virus found
McAfee 4751 04.28.2006 no virus found
Microsoft 1.1372 04.30.2006 no virus found
NOD32v2 1.1513 04.29.2006 no virus found
Norman 5.90.17 04.28.2006 no virus found
Panda 9.0.0.4 04.29.2006 no virus found
Sophos 4.05.0 04.29.2006 no virus found
Symantec 8.0 04.30.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 no virus found
UNA 1.83 04.28.2006 no virus found
VBA32 3.11.0 04.29.2006 no virus found

Aditional Information
File size: 307200 bytes
MD5: 609225a8a4220093830c76a5a82ae8fd
SHA1: 157885f867186b4c351a11fd15c282b8345cfda3

Bei diesen beiden Einträgen dürfte es sich um Fehlalarme handeln, oder ist jemand anderer Meinung?

Jotti´s funktioniert zurzeit nicht, überlastet.

Von dem nachstehendem Eintrag gibt es insgesamt 11 Stück, wobei die Ziffern bei "A000XXXX" ansteigen.
C:\_RESTORE\TEMP\A0008774.CPY ==> WIN.WORM.Virus
C:\_RESTORE\TEMP ist doch meines Wissens die Systemwiederherstellung bei meinem WinME. Hilft da vielleicht die einfache Erstellung eines neuen Wiederherstellungszeitpunkts?

Das Programm hängt sich kurz vor dem Ende der Prüfung auf. Selbst mit STRG+ALT+ENTF geht nichts mehr, da hilft nur ausschalten. Deshalb kann ich eben nicht löschen, verschieben etc.

Was kann, muss ich tun?
mfg

[Stefan]

Bei diesen beiden Einträgen dürfte es sich um Fehlalarme handeln, oder ist jemand anderer Meinung?
[right][snapback]145927[/snapback][/right]

Ich halte die Meldungen auch erstmal für Fehlalarme. Ist es nicht so, dass Ikarus im Moment sowieso so ziemlich alles für "Polipos" hält?

Jotti´s funktioniert zurzeit nicht, überlastet.

Das ist in letzter Zeit leider häufiger so.

Von dem nachstehendem Eintrag gibt es insgesamt 11 Stück, wobei die Ziffern bei "A000XXXX" ansteigen.
C:\_RESTORE\TEMP\A0008774.CPY ==> WIN.WORM.Virus
C:\_RESTORE\TEMP ist doch meines Wissens die Systemwiederherstellung bei meinem WinME. Hilft da vielleicht die einfache Erstellung eines neuen Wiederherstellungszeitpunkts?

Da wirst du wohl die Systemwiederherstellung ganz deaktivieren müssen. Nach dem Neustart kannst du sie dann wieder neu aktivieren.

[drweb-online]

Hallo,

Fehlalarm bitte an vms(at)drweb.com senden, als Archiv (zip/rar) mit Passwort.

Im Subject bitte "False Alarm !!" eintragen und in der Mail das Passwort nicht vergessen

Danke,
Michael

[Universum]

@drweb-online
Erledigt.
Nachdem ich die Systemwiederherstellung mehrfach ein/ausgeschaltet habe, gab es diese Meldung
C:\_RESTORE\TEMP\A0008774.CPY (und die anderen)
nicht mehr.
mfg

[Universum]

Der Vollständigkeithalber, die Ergebnisse bei Jotti´s
File: update.exe
Status:
POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 df03005e10bb6ba776beea5995f32a90
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found WIN.WORM.Virus (probable variant)
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing


File: ETRemover_v212.exe
Status:
POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 609225a8a4220093830c76a5a82ae8fd
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found BACKDOOR.Trojan (probable variant)
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

mfg

[Gast_blueX_*]

Haben die Fehlalarme noch nicht gefixt?

[drweb-online]

@blueX
Doch, nach Aussage des Viruslabs - ja.

Michael

[Universum]

Stand gestern Abend ca. 22.00 Uhr

ETRemover_v212.exe wird nicht mehr als Virus erkannt.

Aber
C:\Programme\AntiVir PersonalEdition Classic\update.exe ==> mögl.weise WIN.WORM.Virus
wird immer noch angemeckert.
Das habe ich durch direkten Scan der beiden Dateien festgestellt.

Beim anschließenden Vollscan ist mein Rechner abgestürzt und selbständig wieder hochgefahren.
mfg

[Gast_Jens1962_*]

C:\Programme\AntiVir PersonalEdition Classic\update.exe ==> ....Beim anschließenden Vollscan ist mein Rechner abgestürzt und selbständig wieder hochgefahren.[right][snapback]146171[/snapback][/right]

Mit 2 AV auf einem Rechner kann sowas schon mal passieren. Passiert das auch, wenn Du Antivir komplett deinstallierst?

Jens

[Universum]

Passiert das auch, wenn Du Antivir komplett deinstallierst?
[right][snapback]146179[/snapback][/right]

Werde ich heute Abend - wenn ich wieder zu Hause bin - mal testen.
mfg

[Universum]

Stand gestern Abend ca. 22.00 Uhr
ETRemover_v212.exe wird nicht mehr als Virus erkannt.
[right][snapback]146171[/snapback][/right]

Zu früh gefreut.

Mit 2 AV auf einem Rechner kann sowas schon mal passieren. Passiert das auch, wenn Du Antivir komplett deinstallierst?
[right][snapback]146179[/snapback][/right]

Es hat gereicht, den AntiVir Guard zu deaktieren.
Beim anschließenden Vollscan hat Dr. Web die ETRemover_212.exe und die update.exe wieder angemeckert. Schade.
mfg

[Gast_Jens1962_*]

Erstmal hast Du eben eindrucksvoll die Theorie bewiesen, daß 2 (aktive) AV auf einem System nichts zu suchen haben

Es hat gereicht, den AntiVir Guard zu deaktieren.

Weil

Beim anschließenden Vollscan hat Dr. Web...die update.exe wieder angemeckert. Schade.[right][snapback]146389[/snapback][/right]

Wieso schade? siehe 1. Satz.
Falls Dr. Web was taugt, dann hat der eine Ausschlußfunktion. Hat er?

Gruß Jens