Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Aktuelle False Positives / Fehlalarme der AV's
Rokop Security > Security > Trojaner, Viren und Würmer
Seiten: 1, 2, 3
blueX
Hier soll ein Sammelthread entstehen, indem über aktuelle Fehlalarme über AV's berichtet wird.

Ich fang dann mal an:

F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.




Scrapie
Hi

SmartSniff von Nirsoft wird von eSafe als FP erkannt: *Klick*
Bis vor kurzem auch noch von a-squared, dass wurde aber schnell gefixed...

Wer hat Kontakt zu eSafe?


Scrapie
blueX
Die Files, die von eSafe als "Suspicious File" gemeldet werden, werden soweit ich weiss nicht gefixt, solange es keine "bedeutsamen" Files sind.




Scrapie
Okay, ich schick's mal hin...

a-squared FP bei enzip.exe aus einem alten F-Prot-Archiv: *Klick*


Ich geh'jetzt erst mal zur Arbeit sad.gif,
Scrapie
chris30duew
Avast und somit auch GDATA erkennt die Installationsdatei von Panda IS 2008 oder 2009 als virus. Zahlreiche Beschwerden und eine PM an Gdatamitarbeiter blieben erfolglos. Auch eine e-mail an Avast brachte keine Besserung. AVG hat ebenfalls die Datei bemängelt, hat jedoch 4h nach meiner FP einsendung reagiert und den FP eingeräumt und ihn aus den Signaturen genommen. vorbildlich.
Gdata und auch Avast erkennt in Programm PcTools Registry Cleaner 7 ebenfalls einen Virus. Auch hier bisher alle Beschwerden und Einsendung an die Gdata Ambulanz nach Scan als FP erfolglos. Schwach kann ich nur sagen!
blueX
Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ... stirnklatsch.gif



Nightwatch
ZITAT(blueX @ 31.10.2008, 21:44) *
Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ... stirnklatsch.gif


Überfordere sie doch nicht so. Erst das neue Release, dann gleich drei (zum Teil böse) Sicherheitslücken + einem schwachen Test bei AV-C. Wen interessieren da noch FP´s ? biggrin.gif
blueX
Kannst du das File über das Programm zu denen senden?
Üblicherweise werden solche Einreichungen bevorzugt bearbeitet.


Nightwatch
ZITAT(blueX @ 31.10.2008, 21:47) *
Kannst du das File über das Programm zu denen senden?


Über das Programm nicht. Aber ich habe so meine 1-2 E-Mail-Adressen, bei denen es ganz flott geht smile.gif . Zumindest, dass sie da draufschauen.
blueX
Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661
biggrin.gif

Dies erkennen sie auch noch fälschlicherweise.



Nightwatch
ZITAT(blueX @ 31.10.2008, 21:52) *


Ich habs geahnt. Wird wieder ein stressiger Abend biggrin.gif .

Nein, im Ernst. Werde die beiden Dateien einschicken und dann hoffen. Spätestens Morgen, denn ich muss gleich noch einige berufliche Dinge erledigen.
Xeon
ZITAT(blueX @ 25.10.2008, 08:01) *
F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.

Kann ich nicht bestätigen, bei mir kommt weder beim herunterladen noch beim Installieren eine derartige Meldung von F-Secure.
Xeon
ZITAT(blueX @ 31.10.2008, 21:52) *

Kann ich ebenfalls nicht bestätigen,keine Meldung von F-Secure beim starten des Programmes.
blueX
Hast du die Heuristik aktiviert?


Xeon
ZITAT(blueX @ 01.11.2008, 10:54) *
Hast du die Heuristik aktiviert?

Du meinst den DeepGuard,der läuft.
kurz-pc
ThreatFire/PCTools

VBoxWHQLFake.exe als Worm.AutoIt.s erkannt.
C:\Programme\Sun\xVM VirtualBox Guest Additions\VBoxWHQLFake.exe

http://www.virustotal.com/analisis/fdab050...fa6b06ccc43b420

Datei gehört zur Guest Additions von VirtualBox.

Vor 3 Tagen per Upload Formular gemeldet. Habe es jetzt zusätzlich noch im PCTools Forum geschrieben.

Edit:
Noch mal was gefunden.
UniExtract.exe als Worm.AutoIt.s.

http://www.virustotal.com/analisis/e...fa67ea87713018
http://legroom.net/software/uniextract
kurz-pc
xpy.exe Result: 16/36
Und alles anscheinend ein Fehlalarme.
http://www.virustotal.com/analisis/768ac65...7fc36108c05bf49

http://xpy.whyeye.org/2008/05/16/your-antivirus-says/
blueX
Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.


Scrapie
@kurz-pc:

AutoIt ist berüchtigt dafür, dass es von den AV's zu unrecht erkannt wird.
Für Kinder, die selber noch keine richtige Programmiersprache können, ist es oft der Einstieg in ihre große Virenschreiberkarriere.
Damit können sie schnell mit ein paar Klicks und einer handvoll Befehlen Dinge steuern + es kann Eingaben und Mausklicks ausführen. Das Resultat wird dann von Hause aus schon gepackt und augenblicklich springen (die Heuristiken) vieler AV's an, wenn es nur leicht nach AutoIt riecht.

Wenn ich daher im Result AutoIt lese => ab in die VM und selber checken...


Scrapie
kurz-pc
ZITAT(blueX @ 15.11.2008, 22:14) *
Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.


Jo hab es per threatfire Submite Forular gemacht da gibt es extra hacken für False Positive und Möglichkeit für Beschreiben.
Stefan
Die Neugier hat mich gepackt und ich teste gerade mal die Home Edition von avast!.
Einziges FP bei der Prüfung der Festplatten war "F:\Programme\AceBIT\Password Depot 3\PasswordDepot.exe".
Da wurde angeblich ein "Win32:Dropper-PD(Trj)" erkannt.
Das ist nicht viel, wenn ich bedenke was die in a-squared Anti-Malware enthaltene Ikarus-Engine so alles gefunden haben will.
FP übers Programm gemeldet - nun ich bin gespannt was passiert. smile.gif
Sasser
whistling.gif G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene 60 FP.

Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...

lmfao.gif hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.
olli
Moin Stefan, Moin Sasser!

Die Avast-Engine von GData hat die FP´s produziert. Ich habe eh den Eindruck, dass eher Avast mehr FP´meldet als BitDefender.

Bis denne
Olli
Domino
Sophos - alle paar Tage ein beliebiger USB Stick.




Domino
Jav.SEC.21
False Positive:
G DATA 2009 erkennt mit Engine B die neue Version von McAfee AVERT Stinger
als einen Win32:Simile Virus an.

Virus: Win32:Simile (Engine B) (Auch bekannt als W32/Etap)
Datei: stinger10000457.exe
Verzeichnis: C:\Dokumente und Einstellungen\...\...
Prozess: Explorer.EXE

Wurde bereits an G DATA gemeldet.
blueX
Oh oh ... Bitdefender erkannte heute angeblich eine Windows-Datei:

http://www.heise.de/security/Bitdefender-u.../meldung/132540




Prozessor
Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz


Gruß Prozessor ranting.gif

Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.
tpro
ZITAT(Prozessor @ 14.02.2009, 00:36) *
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz


In den Tests hat Avast meistens sehr viele FP sad.gif
Joshua
ZITAT(Prozessor @ 14.02.2009, 00:36) *
Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.

http://www.rokop-security.de/index.php?sho...mp;#entry263186

Joshua
Stefan
ZITAT(Prozessor @ 14.02.2009, 00:36) *
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz
ZITAT(tpro @ 14.02.2009, 01:14) *
In den Tests hat Avast meistens sehr viele FP sad.gif
Lest ihr eigentlich auch die letzten aktuellen Postings, die vor euren Beiträgen stehen? whistling.gif
tpro
ZITAT(Stefan @ 14.02.2009, 10:37) *
Lest ihr eigentlich auch die letzten aktuellen Postings, die vor euren Beiträgen stehen? whistling.gif


Oh sorry, da hat wohl BitDefender mal zugeschlagen whistling.gif
markus17
ZITAT(Sasser @ 20.11.2008, 08:23) *
whistling.gif G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene 60 FP.

Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...

lmfao.gif hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.

Also die Quarantäne funktioniert bei mir einwandfrei. Selbst mit mehreren hundert Samples kann man sie noch öffnen. -> hab nur 1GB Ram
scu
ZITAT(Prozessor @ 14.02.2009, 00:36) *
Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz


Gruß Prozessor ranting.gif

Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.

Nach meinen Erfahrungen produziert die Avast Engine mehr Fehlalarme als die BitDefender...

Auch wenn es dir jetzt leider nichts mehr bringt, liest es vielleicht doch noch ein anderer der betroffen ist:
Hier ist eine Anleitung wie man das System wieder in den Gang bringt: http://www.gdata.de/support/kundenservice/...inlogonexe.html
aido
Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.
scu
ZITAT(aido @ 16.02.2009, 14:13) *
Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.

Vor Fehlalarmen ist aktuell leider keiner wirklich sicher...
Julian
ZITAT(aido @ 16.02.2009, 14:13) *
was bleibt.... F-Secure, AVG, ESET, Norton.

Erzähl doch mal den Usern, die etwas anderes einsetzen, warum wink.gif
vomitator
ZITAT(scu @ 16.02.2009, 14:25) *
Vor Fehlalarmen ist aktuell leider keiner wirklich sicher...

Die vielen f.p. waren für mich der Hauptgrund von GData IS zu F-Secure IS zu wechseln. Und diesbezüglich bin ich äußerst zufrieden!
aido
ZITAT(Julian @ 16.02.2009, 16:16) *
Erzähl doch mal den Usern, die etwas anderes einsetzen, warum wink.gif


Ach Julian. Ich hab schon alles durch. Die oben genannten Produkte waren bei mir die einzigen die nicht so Negativ aufgefallen sind. Besonders AVG und F-Secure Entwickler geben sich wirklich Mühe dem Kunden so gut wie es geht bei problemen zu helfen. Bei anderen bekommt mal lediglich eine Standardmail oder ein Hinweis zum besuch des Forums - Avira lässt grüssen das Forum ist ja nicht zu gebrauchen.
citro
AdAware 2008 beanstandet mit Def. 0146.0011 a²HiJackFree.exe als Trojan.Spybanker, sicherlich falsch und schon eingesendet.

MfG
tpro
Ad-Aware AE beanstandet schon mal diverse DLL-Files als "Suspicous files", wohl etwas überempfindlich die Heuristik sad.gif
citro
Ein Fehlalarm von a² -> war wohl gravierend

Info
kurz-pc
SecureWeb-Gateway hält die explorer.exe für schädlich Win32.LooksLike.Virut.

http://www.virustotal.com/analisis/c443b02...4d41ec590c0e1d3

hat jemand die Adresse von SecureWeb für fp?

blueX
Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:

http://www.virustotal.com/de/analisis/f818...bc21-1244018537


Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.


Deep Paint gibt's hier: http://www.chip.de/downloads/Deep-Paint_16395518.html



olli
Ich habe es mal zu Gdata gesendet. Mal sehe, was passiert.

Bis denne
Olli
blueX
Danke, olli. thumbup.gif





olli
Und es geht weiter mit GData:

in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.html

finde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]

Auf Virscan.org melden alle andere Scanner aber nix, so dass ich stark von einem Fehlalarm ausgehen.

Die Datei habe ich auch schon eingesendet.

Bis denne
olli
olli
ZITAT(olli @ 03.06.2009, 20:54) *
Und es geht weiter mit GData:

in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.html

finde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]


Bis denne
olli



Fehlalarm ist behoben. thumbup.gif

Bis denne
Olli
Solution-Design
Da waren sie aber wesentlich flotter als seinerzeit Symantec! Dort geht die FP-Behebung (auch wenn FPs selten bis gar nicht vorkommen, der SpeedCommander-FP war in einem Einstellungssicherungsmodul bei Heuristik hoch) nur über ein dämliches Webseitchen, ohne Datei-Upload-Möglichkeit. Und das hat Wochen gedauert. OK, FPs sind im Gegensatz zum G-Data-Zeugs eher nicht vorhanden, dennoch...
kurz-pc
Bei mir hat Symantec vor kurzem ein FP der innerhalb 24 Stunden bestätigt und entfernt wurde.

Allerding hab ich es per Formular eingeschickt und nicht per Mail.
https://submit.symantec.com/false_positive/index.html

Im Moment ärger ich mich über Bitdefender versuch seit dem 16.04.09 ein FP entfernen zu lassen die melden sich aber einfach nicht und entfernt wird auch nichts. ranting.gif

VT vom 16.04.09 Result: 14/40 (35.00%)
http://www.virustotal.com/analisis/0df4e31...deae-1239893077

VT von 06.06.09 Result: 7/39 (17.95%) (Panda hat am 04.06.2009 den FP bestätigt)
http://www.virustotal.com/analisis/0df4e31...deae-1244321569




blueX
ZITAT(blueX @ 03.06.2009, 17:59) *
Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:

http://www.virustotal.com/de/analisis/f818...bc21-1244018537


Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.


Deep Paint gibt's hier: http://www.chip.de/downloads/Deep-Paint_16395518.html



Der False Positive besteht immernoch bei Comodo, Bitdefender, MKS_Vir und McAfee obwohl ich ihn eingesandt habe. Sunbelt hat inzwischen gefixt.
Inzwischen kam auch noch PCTools dazu: http://www.virustotal.com/de/analisis/f818...bc21-1244733423

Hat schonmal jemand versucht, bei PCTools einen Fehlalarm zu melden? Was die alles wissen wollen -> http://www.pctools.com/de/mrc/dispute
Warum schauen die das nicht selbst an?



Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.