Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[citro]

@citro

Lasse das Malwarebyte dochmal ein Signatur-Update ziehen.

Version 1368, mehr geht noch nicht - manchmal denke ich mit

[Rios]

Das sollte er sein

[Rios]

Also erkennt ihn bei mir mit beiden Versionen 1367/68

Der Beitrag wurde von Rios bearbeitet: 05.11.2008, 18:54

[rolarocka]

galaplayer wird von ThreatFire erkannt:


Der Beitrag wurde von rolarocka bearbeitet: 05.11.2008, 20:16

[citro]

Vergleichen wir mal bei VT:

Wie gesagt, Avira wird ihn aufnehmen

http://www.virustotal.com/de/analisis/0133...1bac72cf51e87c5

Jetzt kann auch sein Avira erzählt schmarrn

[Voyager]

@citro

hast du mein Bild immer noch nicht angesehen ? Avira hat völlig Recht.

http://www.abload.de/image.php?img=aufzeichnenf6l6.jpg

[Julian]

Der Galaplayer-Installer hat zumindest eine digitale Signatur, was bei Rougeware oft darauf schließen lässt, dass das Programm wohl doch nicht so bitter böse ist und zumindest nicht aktiv Schaden am System anrichtet.

[citro]

[quote name='bond7' date='05.11.2008, 19:01' post='253914']
@citro

hast du mein Bild immer noch nicht angesehen ? Avira hat völlig Recht.

Ja doch, es ging mir darum, bei Rios erkennt ihn MB, bei mir nicht.

[Rios]

Citro, schau mal deine Einstellungen an.

[Voyager]

@Julian

Das hab ich Symantec schon ausgetrieben das NAB daran hindert Risiken zu entfernen die von irgendwelchen Klitschen digital signiert sind , hier ist das Setup Gelb und nicht Grün markiert trotz dieser Signatur und das Setup lässt sich über NAB auch entfernen. Die Signatur hatte eben in der Vergangenheit nichts darüber ausgesagt das die signierte Anwendung ungefährlich sei, wir hatten schon derartige Fälle mit Fake-AV Programme. Ich weiss das du hier auf Kaspersky anspielst aber die tappen doch damit nur in diesselbe Falle der signierten Fakes.

Der Beitrag wurde von bond7 bearbeitet: 05.11.2008, 19:13

[citro]

Citro, schau mal deine Einstellungen an.

Auch nicht anders

[Rios]

Und du hast die 1.30??

[citro]

Und du hast die 1.30??

Es ist zum weinen - ja .

Es ist doch möglich, dass wir unterschiedliche Dateien haben - auch wenn der Screenshot von @bond7 Gala Playersetup.exe gleich aussieht

Der Beitrag wurde von citro bearbeitet: 05.11.2008, 19:18

[Julian]

@Julian

Das hab ich Symantec schon ausgetrieben das NAB daran hindert Risiken zu entfernen die von irgendwelchen Klitschen digital signiert sind , hier ist das Setup Gelb und nicht Grün markiert trotz dieser Signatur und das Setup lässt sich über NAB auch entfernen. Die Signatur hatte eben in der Vergangenheit nichts darüber ausgesagt das die signierte Anwendung ungefährlich sei, wir hatten schon derartige Fälle mit Fake-AV Programme. Ich weiss das du hier auf Kaspersky anspielst aber die tappen doch damit nur in diesselbe Falle der signierten Fakes.

Ich spiele auf gar nichts an, gültige digitale Signaturen haben einen Sinn und es kommt nur äußerst selten vor, dass ein schadhaftes Programm über eben jene verfügt. Und ungenaue Behavior Blocker-Warnmeldungen müssen ja nicht unbedingt korrekt sein, diese Technik macht gerne mal Fehlalarme
IMO muss man sehen, wie sich die Erkennung auf VT entwickelt bzw. ob die meisten Virenanalysten anderer Hersteller der Meinung sind, dass es sich um Schadcode handelt. Übersehene aggressive Fraudtools, die aber nichts wirklich kaputt machen, genießen aus guten Gründen nicht die höchste Priorität, vielleicht sollten diese Beiträge hier in den Rouge-Thread verschoben werden.

[Solution-Design]

[Rios]

Citro er kommt.

[Domino]

Ich hätte gerne die Galaplayer.exe.

Domino ät rokop-security.de


Domino

[Voyager]

@@Julian

hmm ok bei dir ist NAB sowieso Ungenau und sowieso Fehlalarm verdächtig , das wiederholst du zwar oft aber es wird dadurch nicht richtiger.

Das Teil um was es hier geht ist ein Downloader der ungefragt Schadsoftware ins System installiert , das ist bitte schön gefährlich genug , da gibt es auch nichts daran zu diskutieren ob man den Downloader erkennen sollte oder nicht. Kaspersky liegt hier falsch und Avira richtig.

@Domino

hxxx://load.galaplayer.com/

Der Beitrag wurde von bond7 bearbeitet: 05.11.2008, 19:26

[citro]

Citro er kommt.

Rios, ich habs geahnt - es ist eine andere Datei und die erkennt MB.

Danke für die PM

[rolarocka]

gibts hier:
hxxp://load.galaplayer.com/index.php?go=download