Hallo,

das Zemana Antilogger Installations-Archiv wird fälschlicherweise als Win32/Kryptik.AMQ Trojaner erkannt.
Leider lässt sich das Archiv nicht einsenden.(zu groß ?)

Ebenso das Tool mbrcheck.exe.
Dieses habe ich bereits ein gesendet.

Gruß

Krypto

Welche Scanner/Virenschutzprogramme melde das denn fälschlicherweise?

Ich tippe auf Eset    Zumindest hat es bei mir 11 Teile des Programmes PowerSuite 2011 als Trojaner blockiert

uweli1967 hat folgendes geschrieben: [Beitrag anzeigen]

Welche Scanner/Virenschutzprogramme melde das denn fälschlicherweise?

In Anbetracht der Lage, dass der Thread im Forum "Eset Deutschlandsupport" gepostet wurde...............,könnnte man da von selbst draufkommen  

Stimmt Poulsen da hatte ich wohl vorhin Tomaten auf den Augen   

Hallo Uwe,


da werden wohl einige Bestandteile auf die der Scanner keinen Zugriff erhält als Gefahr eingestuft.
Was ich nicht kenne ist gefährlich. :king2

Ansonsten ist die ESET Heuristik ein Gedicht.
Das ganze Konzept scheint darauf zu-beruhen.
Daher auch die größeren Update Intervalle.

Habe meinen 8000 Satz Malware durchlaufen lassen. (im Schnitt bis max. 6 Monate alt)
Habe da jemand der einen Honeypot betreibt.
Daher kann ich meistens auf frische Samples zurückgreifen.
ESET war mir 98,8 % dabei.
Ein guter Wert.
Hat aber keine repräsentative Aussagekraft.(da privater Test)
Ist nur für meinen paranoiden Gemütszustand repräsentativ.;-)

Zitat:

Habe meinen 8000 Satz Malware durchlaufen lassen. (im Schnitt bis max. 6 Monate alt)
Habe da jemand der einen Honeypot betreibt.
Daher kann ich meistens auf frische Samples zurückgreifen.
ESET war mir 98,8 % dabei.
Ein guter Wert.
Hat aber keine repräsentative Aussagekraft.(da privater Test)

Das Sampler könnte ich auch einmal gebrauchen für Avast und evtl. Emergency Kit ich mag aber gar nicht daran denken, wenn Auggie vom Avast Forum diesen Beitrag lesen würde

Ich konnte mich mit Avast noch nie anfreunden.;-) (bis auf G-Data)
Diese Tests dienen ja nur meiner privaten Belustigung.
Avast hat heute mal wieder die heise Webseite als verseucht erkannt.

Gruß

Krypto

False Positives sind bei einem exakten "Label" eher unwahrscheinlich. Wahrscheinlicher sind sie bei "Variante von..." "möglicherweise unbekannter..." oder "NewHeur_PE".
Nichts desto trotz - wie groß sind denn die Dateien?
Ihr könnt mir PNs schicken und bekommt Zugang zu einem FTP, auf den Ihr Daten, die größer als 5MB sind, hochladen könnt.
Gibt es ein Vergleichslog von z.B. www.virustotal.com?

Tommi

Hallo Tommi,

Das Archiv ist ca. 7 MB groß.
Kein Problem,ich würde das Archiv dann auf euren FTP hoch-laden.
Vergleichs-Log poste ich gleich.

Gruß

Krypto

edit:

In den neuen Signaturen scheint die Sache bereinigt.

http://www.virustotal.com/file-scan...2d52-1298495769

Dann habe ich heute leider keinen FTP für Dich!

Ja, dann war es einer der seltenen FPs - beim Kryptik, habe ich mir sagen lassen, ist die Abgrenzung unheimlich schwierig zu gestalten und dass einige Programmierer der Meinung sind, ihre legitim selbst geschriebene Software durch "Code-Obfusciating" gegen Reverse-Engineering sicher zu können, mit Tools, die vorranging von Malware Autoren genutzt werden, macht die Sache dann auch nicht leichter

Tommi

Gibt es auch nicht oft das ein Krypto mit dem Kryptix Probleme hat.;-)
Bin gerade dabei die Archive in die Bestandteile zu zerlegen.

Gruß

Krypto

edit:
Hier lag wohl das Problem.
Da hat Perseus den Übeltäter gefunden:

C:UsersXXXXXXXDownloadsAnti-Rootkit.rsrc1041RT_BINARY101

Möglich, dass in dem Anti-Rootkit Routinen hinterlegt sind, die zur Erkennung von Kryptik Teilen benutzt werden, aber eben dazu auch ähnliche Methoden verwenden...
Ein Anti-Rootkit Modul ist bereits im ESET Produkt enthalten, i.d.R. macht ein zusätzliches Tool wenig mehr Sinn.

Tommi