TMenu.dll und Trojanermeldung AntiVir

[Jürgen Baier]

@Frank:
Weiß jetzt nicht ob ich jetzt in die richtige Rubrik poste:

Da ich in einem Freewareprogramm die o.g. DLL einsetze, wurde ich von einigen Anwendern auf die Trojanermeldung von AntiVir angesprochen. Hab AntiVir spaßeshalber installiert (MS Secure Essential meldet keinen Trojaner ) - da kommt die Meldung: Tojaner TR/Crypt.XPACK.Gen2 gefunden - Zugriff auf DLL wird nicht erlaubt. Das leidige Thema AntiVir wurde ja hier schon ausgiebig besprochen. Da ich AntiVir sowieso nicht einsetze, ist es mir bisher nicht aufgefallen. Sollen die Anwender eine Ausnahmeregel erstellen (müsste ich dann aber vielleicht auf meiner Homepage mit aufnehmen) oder hast du einen besseren Tipp?

Gruß Jürgen

[AHT]

Hast du einen Downloadlink für dein Proggie? Habe die DLL leider nicht.
Die Meldung bedeutet, dass die DLL mit einem Packprogramm gepackt ist, dass ofters von Malware zur Verschlüsselung verwendet wird.

[Jürgen Baier]

http://juergenbaier.info/setup_sfx.exe

Ist ein selbstentpackendes Archiv.

Gruß Jürgen

[AHT]

Die DLL ist mit UPX gepackt und erzeugt deshalb die Meldung: VirusTotal - Free Online Virus, Malware and URL Scanner

Frank soll eine ungepacke Version der DLL erzeugen. Frank soll dann bei Virustotal überprüfen, ob die DLL weiterhin bei AntiVir diese Meldung bringt.
Bringt sie weiterhin diese Meldung, soll Frank sie mit dem MalwareWhisperer an Avira einschicken und sagen, dass er der Autor ist und wozu die DLL dient. Nach zwei Tagen müsste der Spuk dann vorbei sein.

Bitte generell vermeiden, DLLs zu packen, weil sie als fälschlicherweise als Virus erkannt werden. Auf Dauer hat das den gegenteiligen Effekt.

[Jürgen Baier]

Wäre nicht schlecht (Hatte sie damals von Jacob herunter geladen).

Gruß Jürgen

[ts-soft]

Die DLL einfach selber entpacken, dafür brauchst Du allerdings UPX.

Code:

upx -d tmenu.dll

[AHT]

Danch besteht die Meldung weiter siehe hier: http://www.virustotal.com/file-scan/...771-1322576226

Frank sollte den Fehlscan selbst melden, weil er der Autor ist und den Quellcode hat. Auf jeden Fall die DLL aber zuerst ungepackt compilieren, da ansonsten die Meldung berechtigt ist.

Warum ungepackt compilieren und nicht entpacken:
Es kann sein, das Veränderungen in der Datei übrig bleiben, anhand dessen AntiVir vermuten könnte, das die DLL vorher gepackt war (ob dem so ist, weiß ich nicht). Ich kann im Augenblick nicht sagen, ob dem so ist. Auch dann würde Avira wohl kaum an dem Ergebnis des Scans etwas ändern.

[ts-soft]

Mir ist es die letzen Jahre nicht mehr untergekommen, das mit UPX gepackte
Exen oder DLLs bemängelt wurden, es sei denn, sie waren zusätzlich
gescrampelt, weil dann haben die Virenscanner Probleme es selbst zu
entpacken.

Virenscanner springen aber gerne bei unbekannten Packformaten an, oder auch bei gepackten Bildern, also jpeg, png usw.

Das nächste Problem sind dann einige APIs, wie z.B. URLDownloadToFile
usw.

[AHT]

Hast du mal auf denm ersten Link von Virustotal geklickt?
Da meldet nicht nur AntiVir, dass die DLL gepackt ist...

Die Scanner meckern nicht generell jede gepackte Sache an, das ist richtig. Vom Packen von ausführbaren Dateien würde ich aber generell die Finger lassen, denn die Erkennungsmethoden ändern sich da laufend.

[Jürgen Baier]

Kurz nach deinem Posting vom Link hatte erstmal nur AntiVir gemosert gehabt

[Frabbing]

Danke! Ich weiss aber noch nicht, wann ich dazu komme.

[AHT]

Zitat:

Zitat von AHT

Hast du mal auf denm ersten Link von Virustotal geklickt?

Kann er gar nicht. Das Forum hat den Link gar nicht richtig genommen - hier der Link: http://www.virustotal.com/file-scan/...878-1322598821
Das ist vor dem entpacken.

Das ist nach dem Entpacken: http://www.virustotal.com/file-scan/...771-1322576226