Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

Inwiefern ist AntiVir Glauben zu schenken?

mediapcuser / 12 Antworten / Flachansicht Nickles

Hallo,

ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den Trojaner TR/Crypt.XPACK.Gen gefunden. Dieser wurde damals gelöscht und war seitdem auch nicht mehr in Scans aufgetaucht, daher ging ich von einer erfolgreichen Reinigung aus.
Doch wie ich heute feststellen musste, befindet sich der angebliche Trojaner noch immer im System, in C:\Windows\Temp als .tmp Datei.
Also habe ich die Datei namens PK4C8.tmp mal in Quarantäne geschoben und bei VirusTotal.com hochgeladen. Die Seite lieferte mir folgendes Ergebnis:

Datei PK4C8.tmp empfangen 2008.08.04 16:22:03 (CET)
Ergebnis: 4/36 (11.12%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.29.1 2008.08.04 -
AntiVir 7.8.1.15 2008.08.04 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.03 -
Avast 4.8.1195.0 2008.08.04 -
AVG 8.0.0.156 2008.08.04 -
BitDefender 7.2 2008.08.04 -
CAT-QuickHeal 9.50 2008.08.02 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.04 -
DrWeb 4.44.0.09170 2008.08.04 -
eSafe 7.0.17.0 2008.08.03 -
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.04 -
F-Prot 4.4.4.56 2008.08.03 -
F-Secure 7.60.13501.0 2008.08.04 -
Fortinet 3.14.0.0 2008.08.04 -
GData 2.0.7306.1023 2008.08.04 -
Ikarus T3.1.1.34.0 2008.08.04 -
K7AntiVirus 7.10.402 2008.08.02 -
Kaspersky 7.0.0.125 2008.08.04 -
McAfee 5352 2008.08.01 -
Microsoft 1.3807 2008.08.04 -
NOD32v2 3324 2008.08.04 -
Norman 5.80.02 2008.08.04 -
Panda 9.0.0.4 2008.08.03 Suspicious file
PCTools 4.4.2.0 2008.08.04 -
Prevx1 V2 2008.08.04 -
Rising 20.56.02.00 2008.08.04 -
Sophos 4.31.0 2008.08.04 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.04 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.04 -
VBA32 3.12.8.2 2008.08.04 -
ViRobot 2008.8.4.1322 2008.08.04 -
VirusBuster 4.5.11.0 2008.08.03 -
Webwasher-Gateway 6.6.2 2008.08.04 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 762368 bytes


Wie man also sieht, haben alle anderen für mich namhaften Antivirenprogramme wie z.B. AVG, BitDefender, F-Secure, Kaspersky, Symantec und wie sie alle heißen nichts finden können. Außer AntiVir nur 3 andere.

Was meint ihr, wie wahrscheinlich ist es sich um einen Hoax handelt? Mir ist bekannt, dass AntiVir öfters mal voreilige Schlüsse zieht.
Zu dem Trojaner findet man via Google nur äußerst widersprüchliche Angaben.

Vielen Dank für eure Hilfe.

bei Antwort benachrichtigen
mediapcuser mmk „ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den...“
Optionen

@mmk:

Das ist keine gute Ausgangsposition - in mehrerlei Hinsicht.

1.) Es handelte sich um eine heuristische Erkennung - eine genauere Analyse wäre also vonnöten gewesen.

2.) Du hast offensichtlich weder den Dateinamen noch den Fundort notiert, bzw. anhand dieser Angaben weitere Nachforschungen angestellt.

3.) Du bist einfach davon ausgegagen, dass a) durch das Löschen eine mögliche Infektion beseitigt worden wäre, b) bist Du unter anderem aufgrund der Tatsache, dass danach keine weitere Meldung erfolgt, zu diesem Schluss gelangt. Auch das ist nicht gut, weil Du dabei lediglich von Offensichkeiten auf den Zustand Deines Systems schließt, und nicht unter Einbeziehung von Eventualitäten.


Eine genauere Analyse hat durchaus stattgefunden, habe ich vergessen zu schreiben. Auch ein Scan mit Ad-Aware, Spybot und HijackThis brachte nach dem Fund keine Treffer.
Der Fundort war auch damals schon im Temp-Verzeichnis.

Nein - das ist wahrscheinlich nur die gleiche Erkennungsbezeichnung, ohne dass es sich dabei jedoch um den gleichen Schädling handeln müsste - denn es handelt sich dabei, wie gesagt, eine heuristische Erkennung.

Ok, daran habe ich nicht gedacht, das wäre aber die naheliegendste logische Erklärung.

Dieses Ergebnis kann nun zweierlei bedeuten:
1.) Vier Virenscanner liefern ein falsches Ergebnis (Fals Positive).
2.) 32 Virenscanner erkennen den Schädling nicht.


Das ist mir klar, genau das war ja der Grund weshalb ich dieses Forum hier konsultiert habe.

Ob ein AntiVirenprogramm "nahmhaft" ist oder nicht, spielt nicht zwangsläufig eine bedeutende Rolle: Ebenso, wie ein "nahmhafter" Scanner eine Daten übersehen kann, so kann auch ein weniger nahmhafter mal eine Malware entdecken, die andere nicht finden - und umgekehrt.

Die Erkennungsqualitäten der Scanner schwanken von Zeit zu Zeit. Daran, also an den Inhalten, müsste man sich orientieren. Nicht an den Namen.


Sicher, aber für mich persönlich macht es doch einen Unterschied, ob jetzt "CAT-QuickHeal", was ich noch nie gehört habe, oder Kaspersky einen Fund vermeldet. Das kann man aber sicher auch anders sehen.


Jeder Virenscanner kann Fehlalarme auslösen. Lies dazu auch hier.


Die Story wirkt ziemlich übertrieben, aber ich glaube im Endeffekt ist sie realistischer als man denkt. Die dort genannten Schutzmechanismen sind mir bekannt.

Weil es sich auch nur um eine recht allgemeine (-> heuristische) Erkennung handelt! Daher ist in solchen Fällen dieses Vorgehen indiziert.

Das habe ich ja auch getan, nach dem Tipp von peterson. Hoffentlich hat es was gebracht.

bei Antwort benachrichtigen