tut mir leid, dass ich mich erst jetzt wieder melde, aber ich war dienstlich ein paar tage unterwegs. das zwei antiviren-programme gemeinsam auf einem system mehr schaden als nützen können, sehe ich ein.

zwischenzeitlich hat mir das antivir-lab rückgemailt, dass es sich bei meiner datei aber tatsächlich um maleware und zwar den besagten pykse.m.1 handelt. könnt ihr trotzdem noch mal genau nachschauen, ob die logs zu dem zeitpunkt sauber sind?

wg. der verbindung zu norton-symantec habe ich die datei erstmal nicht weiter beachtet und wie bei dem letzten false-positive-ergebnis auf die ausnahmeliste gesetzt. jetzt habe ich sie wieder von der liste gelöscht und nun schlägt der scanner nicht mehr an. kann ich die einfach per hand löschen oder umbenennen?

Hi,
auch Antivir irrt sich mal. Da muss man teilweise schon recht krass insistieren, bevor am Schluss rauskommt, dass es sich doch um einen Fehlalarm handelt.
Gib einfach mal "WORM/Pykse.M.1" bei google ein. Ich habe dort keinen Treffer gefunden, der nicht ein Fehlalarm war.

Trickst man jetzt ein wenig und sucht weiter, so erhält man Infos über den Wurm, oder einen nahen Verwandten: pykse.C.
Von den genannten Dateien/Registry und sonstigen Einstellungen ist bei dir aber nichts zu sehen. Außerdem ist psyke kein fileinjector. Das heißt er modifiziert keine existierende Dateien.
Sollte also Psyke wirklich die Datei erstellt haben, dann würde sich Symantec wegen der fehlenden Datei beschweren.

Hier heißt es übrigens dass das Problem demnächst behoben werden soll.

lg myrtille

ich habe die datei jetzt noch einmal händisch als verdächtiges subjekt unter quarantäne verschoben. antivir erkennt sie jetzt ja nicht mehr als infiziert. bei virustotal erhalte ich aber immer noch 3 stimmen für eine infizierte datei.

bisher hat symantec auch noch nicht wieder gemeckert. scheint die datei trotzdem nicht zu vermissen... ist wahrscheinlich, weil das programm jetzt eh hängt wg. fehlender Lizenzverlängerung.

ich finde übrigens auch interessant, dass mir das antivir labor meldet, die datei sei maleware und einen tag später wird sie bei anderen usern als fehlermeldung eingestuft.

Hi,
die Datei die dort als Fehlalarm eingestuft wurde und deine sind nicht identisch. Daher kann es schon sein, dass unterschiedliche Ergebnisse herauskommen.

Da allerdings bekannt sit, dass Antivir einen Fehlalarm bzgl aller Dateien macht, kann man davon ausgehen, dass das Problem generell behoben wird und nicht nur für diese eine bestimmte Version der Datei.
Nehmen wir mal den hypothetischen Fall, dass es einen Virus gibt, der sich immer um 1 nach 12 mit einem Server verbindet. Also denkt sich Antivir "testen wir doch wer sich immer um 1 nach 12 nach außen verbindet, dann finden wir den virus".
Da Symantec aber auch um 1 nach 12 nach seinen Signaturen guckt erkennt Avira jetzt die Datei von Symantec als den Virus und zwar nicht nur eine Version der Datei, sondern alle Versionen, da ja jede Datei nach Updates guckt.
Und schon hat man den Salat.

Wenn die Datei nicht mehr von Antivir angemosert wird, sollte alles in Ordnung sein.

EDIT: @virustotal
Hast du die Datei neuauswerten lassen, oder dir ein altes ergebnis anzeigen lassen?
Wenn eine neue analyse immernoch fehlermeldungen bringt, dann poste mal die funde hier.
Webwasher und Avira sollten eigentlich wegfallen.
lg myrtille

ich weiß nicht mehr, ob ich gestern eine neue analyse gefahren oder eine alte abgerufen habe. heute jedenfalls habe ich bei einer neuen analyse dasselbe ergebnis wie gestern: 3 zu 32, wobei antivir diesmal nicht mehr anschlägt. webwasher ist aber immer noch dabei und identifiziert einen Virus.Win32.FileInfector.gen.

Datei symlcrst.dll empfangen 2008.05.30 23:03:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 39 und 56 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.25 2008.05.30 -
Authentium 5.1.0.4 2008.05.30 -
Avast 4.8.1195.0 2008.05.30 -
AVG 7.5.0.516 2008.05.30 -
BitDefender 7.2 2008.05.30 -
CAT-QuickHeal 9.50 2008.05.30 -
ClamAV 0.92.1 2008.05.30 -
DrWeb 4.44.0.09170 2008.05.30 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5835 2008.05.30 -
Ewido 4.0 2008.05.30 -
F-Prot 4.4.4.56 2008.05.30 -
F-Secure 6.70.13260.0 2008.05.30 -
Fortinet 3.14.0.0 2008.05.30 -
GData 2.0.7306.1023 2008.05.30 -
Ikarus T3.1.1.26.0 2008.05.30 Worm.Pykse.M.1
Kaspersky 7.0.0.125 2008.05.30 -
McAfee 5307 2008.05.30 -
Microsoft 1.3520 2008.05.30 -
NOD32v2 3148 2008.05.30 -
Norman 5.80.02 2008.05.29 -
Panda 9.0.0.4 2008.05.30 -
Prevx1 V2 2008.05.30 Malicious Software
Rising 20.46.42.00 2008.05.30 -
Sophos 4.29.0 2008.05.30 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.30 -
TheHacker 6.2.92.326 2008.05.30 -
VBA32 3.12.6.6 2008.05.30 -
VirusBuster 4.3.26:9 2008.05.30 -
Webwasher-Gateway 6.6.2 2008.05.30 Virus.Win32.FileInfector.gen (suspicious)
weitere Informationen
File size: 474040 bytes
MD5...: a3df3ad643200cc0e0db90ee2f1aa2e4
SHA1..: c9a32b71cadbfed11a79af55c7301c1847dfddd3
SHA256: c8ff03d2a9f57edfe5f19d655b0f9d9527a7cbbe2f57b529e5add97dfab67a8c
SHA512: 56c39bc85ebdd61c10ed959897b595f16657b235e761c41664e6b09285b0089e
5627f5afd3931fb243a35e43cff7f7912a150b8b4bf8f1e04bf0dfb05ff3d822
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10051000
timedatestamp.....: 0x4529d624 (Mon Oct 09 04:55:00 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x39000 0x38bc0 8.00 75811818a95cd828acb517bc5447672c
.rdata 0x3a000 0x2000 0x1150 7.96 8568db8f226bea9e89ab6e2f183e71ca
.data 0x3c000 0xc000 0x6ec0 7.99 56d71baaa9204b5c7b5d6ae2cc3445de
.rsrc 0x48000 0x9000 0x846c 6.35 c3c212abb00ab1c90ff07739593a7910
.storm 0x51000 0x1b000 0x1ae00 7.93 5040552ca1d2b608938761c69b2a2ba2

( 7 imports )
> USER32.DLL: MessageBoxA, wsprintfA
> KERNEL32.DLL: GetModuleHandleA, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, VirtualAlloc, FlushInstructionCache, ExitProcess, OpenEventA, SetEvent, CloseHandle, GetCurrentProcessId, GetCurrentThreadId
> ADVAPI32.DLL: OpenSCManagerW
> GDI32.DLL: DeleteObject
> MSVCR71.DLL: _onexit
> RPCRT4.DLL: UuidCreate
> VERSION.DLL: GetFileVersionInfoA

( 6 exports )
Ripley, _xCheckKey@12, xCheckKey, xEnumerateSKUs, xInstallLM, xRequestLicenseData
Prevx info: 93010723.DLL - Prevx
packers (Kaspersky): PE_Patch

Hi,
ich war ein paar Tage nicht da... tut mir Leid.

Was sagt Virustotal zur Zeit?

lg myrtille

hi, auch du hast ein recht auf freizeit ;-)

der letzte scan, den ich gepostet habe, war die aktuelle analyse von virustotal - richtiger scan - keine alten daten.

heute gibt es das gleiche ergebnis:

Datei symlcrst.dll empfangen 2008.06.01 22:22:08 (CET)
Ergebnis: 3/31 (9.68%)
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.26 2008.06.01 -
Authentium 5.1.0.4 2008.06.01 -
Avast 4.8.1195.0 2008.06.01 -
AVG 7.5.0.516 2008.06.01 -
BitDefender 7.2 2008.06.01 -
CAT-QuickHeal 9.50 2008.05.31 -
ClamAV 0.92.1 2008.06.01 -
DrWeb 4.44.0.09170 2008.06.01 -
eSafe 7.0.15.0 2008.06.01 -
eTrust-Vet 31.4.5837 2008.05.30 -
Ewido 4.0 2008.06.01 -
F-Prot 4.4.4.56 2008.06.01 -
F-Secure 6.70.13260.0 2008.06.01 -
Fortinet 3.14.0.0 2008.06.01 -
GData 2.0.7306.1023 2008.06.01 -
Ikarus T3.1.1.26.0 2008.06.01 Worm.Pykse.M.1
Kaspersky 7.0.0.125 2008.06.01 -
McAfee 5307 2008.05.30 -
Microsoft 1.3520 2008.06.01 -
NOD32v2 3150 2008.06.01 -
Norman 5.80.02 2008.05.30 -
Panda 9.0.0.4 2008.06.01 -
Prevx1 V2 2008.06.01 Malicious Software
Rising 20.46.62.00 2008.06.01 -
Sophos 4.29.0 2008.06.01 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.06.01 -
VBA32 3.12.6.6 2008.06.01 -
VirusBuster 4.3.26:9 2008.06.01 -
Webwasher-Gateway 6.6.2 2008.06.01 Virus.Win32.FileInfector.gen (suspicious)
weitere Informationen
File size: 474040 bytes
MD5...: a3df3ad643200cc0e0db90ee2f1aa2e4
SHA1..: c9a32b71cadbfed11a79af55c7301c1847dfddd3
SHA256: c8ff03d2a9f57edfe5f19d655b0f9d9527a7cbbe2f57b529e5add97dfab67a8c
SHA512: 56c39bc85ebdd61c10ed959897b595f16657b235e761c41664e6b09285b0089e
5627f5afd3931fb243a35e43cff7f7912a150b8b4bf8f1e04bf0dfb05ff3d822
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10051000
timedatestamp.....: 0x4529d624 (Mon Oct 09 04:55:00 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x39000 0x38bc0 8.00 75811818a95cd828acb517bc5447672c
.rdata 0x3a000 0x2000 0x1150 7.96 8568db8f226bea9e89ab6e2f183e71ca
.data 0x3c000 0xc000 0x6ec0 7.99 56d71baaa9204b5c7b5d6ae2cc3445de
.rsrc 0x48000 0x9000 0x846c 6.35 c3c212abb00ab1c90ff07739593a7910
.storm 0x51000 0x1b000 0x1ae00 7.93 5040552ca1d2b608938761c69b2a2ba2

( 7 imports )
> USER32.DLL: MessageBoxA, wsprintfA
> KERNEL32.DLL: GetModuleHandleA, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, VirtualAlloc, FlushInstructionCache, ExitProcess, OpenEventA, SetEvent, CloseHandle, GetCurrentProcessId, GetCurrentThreadId
> ADVAPI32.DLL: OpenSCManagerW
> GDI32.DLL: DeleteObject
> MSVCR71.DLL: _onexit
> RPCRT4.DLL: UuidCreate
> VERSION.DLL: GetFileVersionInfoA

( 6 exports )
Ripley, _xCheckKey@12, xCheckKey, xEnumerateSKUs, xInstallLM, xRequestLicenseData
Prevx info: 93010723.DLL - Prevx
packers (Kaspersky): PE_Patch