Hallo,
das Zemana Antilogger Installations-Archiv wird fälschlicherweise als Win32/Kryptik.AMQ Trojaner erkannt.
Leider lässt sich das Archiv nicht einsenden.(zu groß ?)
Ebenso das Tool mbrcheck.exe.
Dieses habe ich bereits ein gesendet.
Gruß
Krypto
False Positiv
-
Guestuser -
23. Februar 2011 um 13:56
-
-
Welche Scanner/Virenschutzprogramme melde das denn fälschlicherweise?
-
Ich tippe auf Eset :lol: Zumindest hat es bei mir 11 Teile des Programmes PowerSuite 2011 als Trojaner blockiert
-
[quote user="uweli1967" post="40641"]Welche Scanner/Virenschutzprogramme melde das denn fälschlicherweise?[/quote]
In Anbetracht der Lage, dass der Thread im Forum "Eset Deutschlandsupport" gepostet wurde...............,könnnte man da von selbst draufkommen :mrgreen:
-
Stimmt Poulsen :mrgreen: da hatte ich wohl vorhin Tomaten auf den Augen :???: :mrgreen:
-
Hallo Uwe,
da werden wohl einige Bestandteile auf die der Scanner keinen Zugriff erhält als Gefahr eingestuft.
Was ich nicht kenne ist gefährlich. :king2Ansonsten ist die ESET Heuristik ein Gedicht.
Das ganze Konzept scheint darauf zu-beruhen.
Daher auch die größeren Update Intervalle.Habe meinen 8000 Satz Malware durchlaufen lassen. (im Schnitt bis max. 6 Monate alt)
Habe da jemand der einen Honeypot betreibt.
Daher kann ich meistens auf frische Samples zurückgreifen.
ESET war mir 98,8 % dabei.
Ein guter Wert.
Hat aber keine repräsentative Aussagekraft.(da privater Test)
Ist nur für meinen paranoiden Gemütszustand repräsentativ.;-) -
Zitat
Habe meinen 8000 Satz Malware durchlaufen lassen. (im Schnitt bis max. 6 Monate alt)
Habe da jemand der einen Honeypot betreibt.
Daher kann ich meistens auf frische Samples zurückgreifen.
ESET war mir 98,8 % dabei.
Ein guter Wert.
Hat aber keine repräsentative Aussagekraft.(da privater Test)
Das Sampler könnte ich auch einmal gebrauchen für Avast und evtl. Emergency Kit :mrgreen: ich mag aber gar nicht daran denken, wenn Auggie vom Avast Forum diesen Beitrag lesen würde :mrgreen: -
Ich konnte mich mit Avast noch nie anfreunden.;-) (bis auf G-Data)
Diese Tests dienen ja nur meiner privaten Belustigung.
Avast hat heute mal wieder die heise Webseite als verseucht erkannt.Gruß
Krypto
-
False Positives sind bei einem exakten "Label" eher unwahrscheinlich. Wahrscheinlicher sind sie bei "Variante von..." "möglicherweise unbekannter..." oder "NewHeur_PE".
Nichts desto trotz - wie groß sind denn die Dateien?
Ihr könnt mir PNs schicken und bekommt Zugang zu einem FTP, auf den Ihr Daten, die größer als 5MB sind, hochladen könnt.
Gibt es ein Vergleichslog von z.B. http://www.virustotal.com?Tommi
-
Hallo Tommi,
Das Archiv ist ca. 7 MB groß.
Kein Problem,ich würde das Archiv dann auf euren FTP hoch-laden.
Vergleichs-Log poste ich gleich.Gruß
Krypto
edit:
In den neuen Signaturen scheint die Sache bereinigt.
-
Dann habe ich heute leider keinen FTP für Dich!
Ja, dann war es einer der seltenen FPs - beim Kryptik, habe ich mir sagen lassen, ist die Abgrenzung unheimlich schwierig zu gestalten und dass einige Programmierer der Meinung sind, ihre legitim selbst geschriebene Software durch "Code-Obfusciating" gegen Reverse-Engineering sicher zu können, mit Tools, die vorranging von Malware Autoren genutzt werden, macht die Sache dann auch nicht leichter
Tommi
-
Gibt es auch nicht oft das ein Krypto mit dem Kryptix Probleme hat.;-)
Bin gerade dabei die Archive in die Bestandteile zu zerlegen.Gruß
Krypto
edit:
Hier lag wohl das Problem.
Da hat Perseus den Übeltäter gefunden:C:UsersXXXXXXXDownloadsAnti-Rootkit.rsrc1041RT_BINARY101
-
Möglich, dass in dem Anti-Rootkit Routinen hinterlegt sind, die zur Erkennung von Kryptik Teilen benutzt werden, aber eben dazu auch ähnliche Methoden verwenden...
Ein Anti-Rootkit Modul ist bereits im ESET Produkt enthalten, i.d.R. macht ein zusätzliches Tool wenig mehr Sinn.Tommi
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!