Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Inwiefern ist AntiVir Glauben zu schenken?

mediapcuser / 12 Antworten / Flachansicht Nickles

Hallo,

ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den Trojaner TR/Crypt.XPACK.Gen gefunden. Dieser wurde damals gelöscht und war seitdem auch nicht mehr in Scans aufgetaucht, daher ging ich von einer erfolgreichen Reinigung aus.
Doch wie ich heute feststellen musste, befindet sich der angebliche Trojaner noch immer im System, in C:\Windows\Temp als .tmp Datei.
Also habe ich die Datei namens PK4C8.tmp mal in Quarantäne geschoben und bei VirusTotal.com hochgeladen. Die Seite lieferte mir folgendes Ergebnis:

Datei PK4C8.tmp empfangen 2008.08.04 16:22:03 (CET)
Ergebnis: 4/36 (11.12%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.29.1 2008.08.04 -
AntiVir 7.8.1.15 2008.08.04 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.03 -
Avast 4.8.1195.0 2008.08.04 -
AVG 8.0.0.156 2008.08.04 -
BitDefender 7.2 2008.08.04 -
CAT-QuickHeal 9.50 2008.08.02 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.04 -
DrWeb 4.44.0.09170 2008.08.04 -
eSafe 7.0.17.0 2008.08.03 -
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.04 -
F-Prot 4.4.4.56 2008.08.03 -
F-Secure 7.60.13501.0 2008.08.04 -
Fortinet 3.14.0.0 2008.08.04 -
GData 2.0.7306.1023 2008.08.04 -
Ikarus T3.1.1.34.0 2008.08.04 -
K7AntiVirus 7.10.402 2008.08.02 -
Kaspersky 7.0.0.125 2008.08.04 -
McAfee 5352 2008.08.01 -
Microsoft 1.3807 2008.08.04 -
NOD32v2 3324 2008.08.04 -
Norman 5.80.02 2008.08.04 -
Panda 9.0.0.4 2008.08.03 Suspicious file
PCTools 4.4.2.0 2008.08.04 -
Prevx1 V2 2008.08.04 -
Rising 20.56.02.00 2008.08.04 -
Sophos 4.31.0 2008.08.04 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.04 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.04 -
VBA32 3.12.8.2 2008.08.04 -
ViRobot 2008.8.4.1322 2008.08.04 -
VirusBuster 4.5.11.0 2008.08.03 -
Webwasher-Gateway 6.6.2 2008.08.04 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 762368 bytes


Wie man also sieht, haben alle anderen für mich namhaften Antivirenprogramme wie z.B. AVG, BitDefender, F-Secure, Kaspersky, Symantec und wie sie alle heißen nichts finden können. Außer AntiVir nur 3 andere.

Was meint ihr, wie wahrscheinlich ist es sich um einen Hoax handelt? Mir ist bekannt, dass AntiVir öfters mal voreilige Schlüsse zieht.
Zu dem Trojaner findet man via Google nur äußerst widersprüchliche Angaben.

Vielen Dank für eure Hilfe.

bei Antwort benachrichtigen
mmk mediapcuser „Inwiefern ist AntiVir Glauben zu schenken?“
Optionen
ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den Trojaner TR/Crypt.XPACK.Gen gefunden. Dieser wurde damals gelöscht und war seitdem auch nicht mehr in Scans aufgetaucht, daher ging ich von einer erfolgreichen Reinigung aus.

Das ist keine gute Ausgangsposition - in mehrerlei Hinsicht.

1.) Es handelte sich um eine heuristische Erkennung - eine genauere Analyse wäre also vonnöten gewesen.

2.) Du hast offensichtlich weder den Dateinamen noch den Fundort notiert, bzw. anhand dieser Angaben weitere Nachforschungen angestellt.

3.) Du bist einfach davon ausgegagen, dass a) durch das Löschen eine mögliche Infektion beseitigt worden wäre, b) bist Du unter anderem aufgrund der Tatsache, dass danach keine weitere Meldung erfolgt, zu diesem Schluss gelangt. Auch das ist nicht gut, weil Du dabei lediglich von Offensichkeiten auf den Zustand Deines Systems schließt, und nicht unter Einbeziehung von Eventualitäten.

Doch wie ich heute feststellen musste, befindet sich der angebliche Trojaner noch immer im System, in C:WindowsTemp als .tmp Datei.

Nein - das ist wahrscheinlich nur die gleiche Erkennungsbezeichnung, ohne dass es sich dabei jedoch um den gleichen Schädling handeln müsste - denn es handelt sich dabei, wie gesagt, eine heuristische Erkennung.

Also habe ich die Datei namens PK4C8.tmp mal in Quarantäne geschoben und bei VirusTotal.com hochgeladen. Die Seite lieferte mir folgendes Ergebnis:

Dieses Ergebnis kann nun zweierlei bedeuten:
1.) Vier Virenscanner liefern ein falsches Ergebnis (Fals Positive).
2.) 32 Virenscanner erkennen den Schädling nicht.

Wie man also sieht, haben alle anderen für mich namhaften Antivirenprogramme wie z.B. AVG, BitDefender, F-Secure, Kaspersky, Symantec und wie sie alle heißen nichts finden können.

Ob ein AntiVirenprogramm "nahmhaft" ist oder nicht, spielt nicht zwangsläufig eine bedeutende Rolle: Ebenso, wie ein "nahmhafter" Scanner eine Daten übersehen kann, so kann auch ein weniger nahmhafter mal eine Malware entdecken, die andere nicht finden - und umgekehrt.

Die Erkennungsqualitäten der Scanner schwanken von Zeit zu Zeit. Daran, also an den Inhalten, müsste man sich orientieren. Nicht an den Namen.

Was meint ihr, wie wahrscheinlich ist es sich um einen Hoax handelt? Mir ist bekannt, dass AntiVir öfters mal voreilige Schlüsse zieht.

Jeder Virenscanner kann Fehlalarme auslösen. Lies dazu auch hier.

Zu dem Trojaner findet man via Google nur äußerst widersprüchliche Angaben.

Weil es sich auch nur um eine recht allgemeine (-> heuristische) Erkennung handelt! Daher ist in solchen Fällen dieses Vorgehen indiziert.
bei Antwort benachrichtigen