Problem mit AVG Anti Virus

Der neueste Update von AVG.Anti-Virus findet den Trojaner SHeur3.CDCZ in Prfrun32.exe (Profan 11) und in allen Profan-generierten .exe Dateien. Damit laesst das System den Zugriff auf die Prfrun32.exe und die anderen Programme nicht mehr zu.

Irgendeine Idee was ich da machen kann?

[Jac de Lad]

Schick die Datei mal mit Malware-Whisperer an die großen Antivirenhersteller und lass die nachschauen. "Heur" deutet auf Heuristik hin und die hat ja nicht immer recht.

[Frabbing]

Der MalwareWhisperer ist ein Tool von mir, um Viren(falsch)meldungen an alle möglichen Hersteller von AV zu verschicken. Findest du auf meiner Webseite.

[RGH]

Zitat:

Zitat von Unregistriert

Irgendeine Idee was ich da machen kann?

Als Erstes mal die PRFRUN32.EXE bei den Ausnahmen eintragen, damit Du zunächst weiter arbeiten kannst. (Und dann wie geschildert diese Falschmeldung melden.)

Mit der Heuristik sollte man vorsichtig ein. Heuristik bedeutet, dass nicht nur bekannte Viren angemeckert werden, sondern auch Programme die möglicherweise Viren sein könnten. Wenn man die Heuristik in den Einstellungen ganz streng eingestellt hat, sind Fehlalarme vorprogrammiert. Die Heuristik erkennt eben auch Codeteile als potentiell gefährlich, die nur zufällig gewisse mehr oder weniger weitläufige Ähnlichkeiten mit bekannten Viren aufweisen.
Ich verwende bei der Heuristik eine mittlere Einstellung (ich glaube, das ist der Dafault bei meinem AV-Programm) und bin bislang damit sehr gut gefahren.

Gruß
Roland

[Frabbing]

Roland, wie sieht es allgemein damit aus, Profandateien zur Viren-Analyse einzuschicken? Bei der eigenen Exe ist das ja unproblematisch, aber z.B. beim Kompiler? Den darf man aus Copyrightgründen ja nicht versenden. Wie soll in solchen Fällen allgemein verfahren werden? Dir Bescheid geben, dass du das erledigst?

[AHT]

Am besten wäre es, wenn Roland das in die Hand nehmen würde - der hast auch die Dateien selbst erstellt.
Die PRFRUN32, die angemeckert wird, bitte mal hier hochladen: VirusTotal - Free Online Virus, Malware and URL Scanner

Den Link zum Ergebnis bitte hier posten.

[Frabbing]

Zitat:

Am besten wäre es, wenn Roland das in die Hand nehmen würde - der hast auch die Dateien selbst erstellt.

Genau. Aber 24-h-Service garantiert...

Zitat:

Als Erstes mal die PRFRUN32.EXE bei den Ausnahmen eintragen, damit Du zunächst weiter arbeiten kannst.

Das wird nicht helfen, weil ja jede neu erstellte Exe angemeckert wird.
Avast bietet die Möglichkeit, bestimmte Ordner von der Analyse auszuschliessen. Mal nach so einer Option suchen.

[AHT]

"Manche" Virenscanfirmen betreiben kein eigenes Virenlabor. Ist das eine Fehlmeldung und die Einstellungen sind nicht irgendwie merkwürdig gesetzt, kann man hundertprozentig damit rechnen, das weitere Scanner nachziehen (du kennst das Problem ja schon).
Sehr bedenklich ist auch, was da angemeckert wird (worauf manchmal scheinbar die Signatur basiert).
Auf die leichte Schulter würde ich das nicht nehmen.

[RGH]

Den Compiler müßte ich wohl selbst einschicken, aber der ist meines Wissens noch nicht angemeckert worden.
Im Übrigen ist man gegen heuristische Vermutungen relativ machtlos.

Gruß
Roland

[AHT]

Hast du denn überhaupt mal versucht, da was zu unternehmen???

Das "Heuritisch" kann auch bedeuten, dass er alle PRFRUN32 Runtimes mit speziellen Voraussetzungen anmeckert. Ich denke, du solltest klarstellen, dass bei allen Programmen die Runtime gleich aussieht und der Programmcode sich nicht unterscheidet. Ansonsten kannst du in Zukunft vielleicht deine Programmiersprache komplett abschreiben - aber erst mal auf das Ergebnis von Virustotal warten...

Ich persönlich lade mir nichts herunter, was ein Virenscanner sofort anmeckert - erst Recht keine Programmiersprache. Ich glaube nicht, dass ich da irgendeine Ausnahme darstelle.

[RGH]

Zitat:

Zitat von AHT

Hast du denn überhaupt mal versucht, da was zu unternehmen???

Da auf meinem Rechner noch nie eine von mir erzeugte Datei angemeckert wurde, hatte ich bislang keinen Anlaß dazu.
Bislang betrafen die Falschmeldungen meißt irgendwelche Tools von anderen, die auf meinen CDs drauf sind. (Frank weiß da ein vielstrophiges Lied von zu singen.)

Aber ich kann ja mal die aktuelle XProfan-Runtime testen lassen ...
JDS hat de aktuelle Version natürlich mit mehreren aktuellen Virenscannern getestet und im XProfan-Verzeichnis der aktuellen CD (in dem das komplette XProfan auch ungepackt vorhanden ist) wurde nichts gefunden. Es ist also nicht so, dass ich meine Software nicht auf Viren überprüfe.

Gruß
Roland

[AHT]

Ähm... ...
Schau mal in deine eigene Homepage und auch hier. Da wirst du finden, das unter anderem die Runtime deiner Freeware 8.0 von deiner Homepage seit längerem von Virenscannern angemeckert wird.
Wenn die Anzahl der Meldungen sich bezüglich deiner Runtime 8.0 in letzter Zeit verringert hat, liegt das unter anderem an meinem Einsatz diesbezüglich.
Dein Einsatz = 0, mein Einsatz 100%. Eigentlich sollte das anders herum sein - oder? Ist ja nicht meine Programmiersprache und ich nutze die 8.0 auch nicht.

[ts-soft]

Zitat:

Zitat von AHT

Ich persönlich lade mir nichts herunter, was ein Virenscanner sofort anmeckert - erst Recht keine Programmiersprache. Ich glaube nicht, dass ich da irgendeine Ausnahme darstelle.

Wenn ein Virenscanner meckert, ist meine Aufmerksamkeit auf 100%, d. h.
ich überlege, ist dies die richtige Internet-Seite, das richtige Programm und
habe ich Vertrauen zu der Seite oder dem Programm.
Wenn mir Zweifel an dem Gemecker kommt, teste ich mit anderen Tools
und reagiere auf das Ergebnis, also lade es dann evtl. auch. (evtl mit
weiteren Vorkehrungen (virtuelle Maschine, Try & Decide usw.).
Natürlich nur bei für mich wichtigen / sehr interessanten Programmen,
unwichtiges ignoriere ich sofort.

[Frabbing]

Andreas hat nicht unrecht. Hab selber erlebt, wie solche Falschmeldungen nerven können. Wenn die sich mal auf XProfan einschiessen sollten (auch die gründlichsten vorherigen Tests nützen da gar nichts, weil das später und sehr plötzlich auftreten kann), könnte das Roland schlaflose Nächte bereiten. Wenn hunderte besorgter und wütender Profaner plötzlich anfragen. Darum ist das schon nicht verkehrt, sich rechtzeitig zu kümmern.

[RGH]

Zitat:

Zitat von AHT

Ähm... ...
Schau mal in deine eigene Homepage und auch hier. Da wirst du finden, das unter anderem die Runtime deiner Freeware 8.0 von deiner Homepage seit längerem von Virenscannern angemeckert wird. ...

Auch die 8.0er Version wurde seinerzeit vor Auslieferung ausführlich auf Viren überprüft. Und da seit der Auslieferung nichts an dieser geändert wurde, kann es sich also nur um heuristische Fehlalarme handeln. Und den Fehlalarm dem Hersteller eines Antivirentools melden kann ja guten Gewissens nur der, der diesen Fehlalarm bekommt.

Und auch in Zukunft werde ich jede offizielle Version vor dem Verkauf testen und JDS wird ein Übriges tun, um sicher zu stellen, dass nur virenfreie Produkte ausgeliefert werden.

Bei mir (Avira Antivir, Kaufversion) sind bislang keine Warnungen durch XProfan aufgetreten

Gruß
Roland
(der möglicherweise in absehbarer Zeit auf den von Microsoft mit Windows 7 mitgelieferten Virenschutz umsteigt, da dieser in der Regel auch sehr gut bewertet wird.)