Antivir - seid dem letzten Update - FalsePositiv (?) - mbr.exe TR/Dropper.Gen

cotton · 28.07.2009, 13:31

Seid dem heutigen Update des AV Antivir gibts (bei mir) die Meldung: "..../mbr.exe Ist das Trojanische Pferd TR/Dropper.Gen"

Die Datei liegt bei mir seit Wochen am selben Platz und wurde von sicherer Quelle geladen.
Auf http://www.gmer.net (Anbieter/Hersteller der mbr.exe) wird diese Datei auch als TR/Dropper.Gen erkannt.
Heißt für mich - FalsePositiv

Virustotal-Upload (klick)

Ich sende die Datei gleich mal zu Avira.
Häuft sich langsam beim roten Schirm

to de ....

cotton · 29.07.2009, 12:46

... die mail von Avira:

Zitat:

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00347185.

Wir haben folgende Archivdateien empfangen:

Datei ID Dateiname Größe (Byte) Ergebnis
25413189 mbr.rar 67.11 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25413190 mbr.exe 70 KB FALSE POSITIVE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
mbr.exe FALSE POSITIVE

Die Datei 'mbr.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Hab Antivir gerade updaten lassen, aber immernoch das gleiche.
so denn denn,
cotton

Omnibus · 29.07.2009, 13:20

Hi,
also ich hab bei meinem Avira alles auf "Hoch" gestellt.
Er/sie/es hat weder gestern noch heute die Datei gemeldet. Hab sie auch neu heruntergeladen. Auch da hat Avira nicht gemeckert.
Avira natürlich Aktuell

Avira sollte doch eigentlich alles gleichermaßen erkennen oder ?
Jetzt beschleicht mich schon wieder das Gefühl, das mit meinem PC was nicht stimmt

EDIT: Alles klar hab den Fehler gefunden

Jetzt wird die Datei auch erkannt

Scheint dann ja doch alles in Ordnung zu sein

Mfg
Omnibus

4RobSen8 · 29.07.2009, 17:58

Ja, habe ich auch....

Code:

ATTFilter

 Datei mbr.exe empfangen 2009.07.29 17:03:25 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 9/41 (21.96%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 60 und 85 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.24	2009.07.29	-
AhnLab-V3	5.0.0.2	2009.07.29	-
AntiVir	7.9.0.234	2009.07.29	TR/Dropper.Gen
Antiy-AVL	2.0.3.7	2009.07.29	-
Authentium	5.1.2.4	2009.07.28	-
Avast	4.8.1335.0	2009.07.28	-
AVG	8.5.0.387	2009.07.29	-
BitDefender	7.2	2009.07.29	-
CAT-QuickHeal	10.00	2009.07.28	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.07.29	-
Comodo	1805	2009.07.29	-
DrWeb	5.0.0.12182	2009.07.29	-
eSafe	7.0.17.0	2009.07.29	Suspicious File
eTrust-Vet	31.6.6645	2009.07.29	-
F-Prot	4.4.4.56	2009.07.28	-
F-Secure	8.0.14470.0	2009.07.29	-
Fortinet	3.120.0.0	2009.07.29	-
GData	19	2009.07.29	-
Ikarus	T3.1.1.64.0	2009.07.29	-
Jiangmin	11.0.800	2009.07.29	Rootkit.Vanti.fur
K7AntiVirus	7.10.805	2009.07.29	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.07.29	-
McAfee	5692	2009.07.29	-
McAfee+Artemis	5692	2009.07.29	-
McAfee-GW-Edition	6.8.5	2009.07.29	Heuristic.LooksLike.Win32.Suspicious.A!92
Microsoft	1.4903	2009.07.29	-
NOD32	4288	2009.07.29	-
Norman	6.01.09	2009.07.29	-
nProtect	2009.1.8.0	2009.07.29	Trojan/W32.Rootkit.66048.B
Panda	10.0.0.14	2009.07.29	Generic Malware
PCTools	4.4.2.0	2009.07.29	Rootkit.Agent!sd6
Prevx	3.0	2009.07.29	-
Rising	21.40.24.00	2009.07.29	-
Sophos	4.44.0	2009.07.29	-
Sunbelt	3.2.1858.2	2009.07.29	-
Symantec	1.4.4.12	2009.07.29	-
TheHacker	6.3.4.3.377	2009.07.29	-
TrendMicro	8.950.0.1094	2009.07.29	-
VBA32	3.12.10.9	2009.07.29	-
ViRobot	2009.7.29.1859	2009.07.29	-
VirusBuster	4.6.5.0	2009.07.29	-
weitere Informationen
File size: 66048 bytes
MD5...: 8cc1a9a32ec1b1d72081d8d25c255d08
SHA1..: b8a91a651644da50a8ad86eabcb431a3e1e80f87
SHA256: e3154798bee30d09a6b190106d0ac7e430d85f2f5e79179b46bae6f978cb1513
ssdeep: 1536:KVvKLgEd6yt8PJu0Xvt691JMIJJEfvWuBvwiBki01:CKkWZt8PJvXvg91/2
fvWmvwH
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2aa30
timedatestamp.....: 0x47f5f959 (Fri Apr 04 09:48:09 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x1a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
0x1b000 0x10000 0xfc00 7.90 83b8a628d0a273e519dcf7b5e2c2ef9f
.rsrc 0x2b000 0x1000 0x200 2.47 57361077f686011d8c6ca0b8d8e5109f

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> ADVAPI32.dll: RegCloseKey

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=8cc1a9a32ec1b1d72081d8d25c255d08' target='_blank'>http://www.threatexpert.com/report.aspx?md5=8cc1a9a32ec1b1d72081d8d25c255d08</a>
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

ich werde es zu Antivir schicken..., wie letztes mal..^^

4RobSen8 · 29.07.2009, 19:06

So Datei ist eingeschickt und Thread im Antivirforum erstellt.
Warten wir mal auf die Antwort...

Evtl. ne News erstellen, damit hier nicht wieder zich Leute ankommen, wir würden ihnen Trojaner unterschieben!

Omnibus · 29.07.2009, 22:20

Wurde von Avira entfernt. Datei wird nun nicht mehr als TR/Dropper.Gen erkannt.

Antivir - seid dem letzten Update - FalsePositiv (?) - mbr.exe TR/Dropper.Gen

Antiviren-, Firewall- und andere Schutzprogramme: Antivir - seid dem letzten Update - FalsePositiv (?) - mbr.exe TR/Dropper.Gen