You are not logged in.

Saturday, April 19th 2014, 9:16am

  • "dam" started this thread

Date of registration:
Mar 18th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7 Professional x64

  • Send private message

1

Sunday, March 18th 2012, 9:21pm

TR/Dropper.Gen7 in einer obfuskierten Datei

Hallo zusammen!

Ich bin neu hier und habe leider gerade ein Problem mit dem AntiVirus (Free Version).
Ich programmiere in Visual Studio 2010 und verwende zum obfuskieren die Software Eazfuscator .NET.
Wenn ich jetzt ein Projekt kompilieren und gleichzeitig obfuskieren will, springt gleich der Echtzeitscanner und meint ich habe den oben genannten Virus in dieser Datei.
Ich habe auch andere Projekte die ich gleich kompiliere und obfuskiere und dort bleibt der Echtzeitscanner ruhig.
Solange ich eine alte ältere Virendefinitionsdatei verwendet habe (7.11.21.208 ) ist diese Meldung nie gekommen. Nur seit Freitag, 16.03.2012 kommt diese Meldung bei mir am PC (nach dem Avira Virendefinitionsdateiupdate).
Kann es sich um einen Fehlalarm handeln?

Ich habe mehrmals den PC komplett gescannt (auch in SafeMode) und der Avira meldet kein Virus.
Was kann man machen? Hat jemand anders vielleicht auch Probleme beim Obfuskieren gehabt und wenn ja, was kann man machen?

Vielen Dank in Voraus für eure Hilfe!
sg
dam

2

Sunday, March 18th 2012, 9:32pm

Ist vermutlich ein Fehlalarm - schicke mal ein Sample mit Verdacht auf Fehlalarm ein.

4wolf

Community member

Date of registration:
Jan 3rd 2008

Version:
Avira Free Antivirus

Operating System:
Win 7 Prof. 64 Bit SP1

  • Send private message

3

Sunday, March 18th 2012, 9:34pm

Was kann man machen?
Die betreffende/n Datei/en mit dem Avira Webformular Typ Verdacht auf Fehlalarm an das Avira Labor senden:
http://analysis.avira.com/samples/index.php
Antwort erhältst du nach 1-3 Werktagen.
..........................................
.

.............................Avira Webformular.......... ...VIRUSTOTAL...........Avira Wissensdatenbank........... Java - Update

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 64 Bit MC & LinuxMint 16 64 Bit

  • Send private message

4

Sunday, March 18th 2012, 9:38pm

Quoted

Wenn ich jetzt ein Projekt kompilieren und gleichzeitig obfuskieren will, springt gleich der Echtzeitscanner
[an, nehme ich an]
Geht denn der Weg ihn erst zu kompilieren und danach erst zu "verdunkeln"?
Und machst Du Geld mit Deinen Programmen? Dann wäre eine kostenpflichtige Lösung von Avira Deine Wahl.
Ceterum censeo Avira Forum non esse delendam.

  • "dam" started this thread

Date of registration:
Mar 18th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7 Professional x64

  • Send private message

5

Sunday, March 18th 2012, 9:58pm

Hallo und danke für die schnelle Antwort!

Ja, "an" :)

Eine Datei habe ich am 16. schon zur Analyse geschickt (eigentlich 2, über Web und direkt aus Avira). Ich dachte dass es vielleicht eine andere Lösung gibt die ich nicht über Google gefunden habe.
Es geht nur weg wenn man den Echtzeitscanner deaktiviert währen die Datei obfuskiert wird. Allerdings, sobald man den Scanner wieder einschaltet und man will die Datei in Windows Explorer anklicken, kommt die Meldung wieder.
Und das ist mein Privatpc, deswegen die freie Version. Der Firmenrechner, wo ich nicht am Wochenende Sachen probiere, wird schon die kostenpflichtige Lösung bekommen (Avira Small Business Security Suite ist geplant).

Danke noch Mal!

sg
dam

This post has been edited 1 times, last edit by "dam" (Mar 18th 2012, 10:05pm)


AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 64 Bit MC & LinuxMint 16 64 Bit

  • Send private message

6

Sunday, March 18th 2012, 10:17pm

Gern geschehen.
Hier gibt es offenbar eine "Grauzone" was die Lizenzierung anbelangt: Auch Rechner die nur teilweise "zum Broterwerb" genutzt werden sollen eine Kauflizenz haben. Wenn die Hauptarbeit auf dem Firmenrechner erfolgt denke ich gibt es wenig Bedenken - aber dazu möge sich bitte Avira äußern.
Und zum Thema "obfuskieren": Dir ist schon klar dass es sich hierbei um einen der grundlegenden Wege handelt den auch Virenprogrammierer nutzen? Im Grunde ist diese Erkennung also erst mal eher als "gutes Zeichen" und positiv für Avira zu sehen. IMHO natürlich.
Ceterum censeo Avira Forum non esse delendam.

  • "dam" started this thread

Date of registration:
Mar 18th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7 Professional x64

  • Send private message

7

Monday, March 19th 2012, 1:12pm

Es hat sich erledigt. Das Avira-Labor hat bestätigt dass es sich um einen False-Positive handelt und es wird in der nächste Version behoben. Vielen Dank!

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 64 Bit MC & LinuxMint 16 64 Bit

  • Send private message

8

Monday, March 19th 2012, 8:10pm

Schön dass es sich so klären ließ. Möglicherweise müssen aber weiterhin neue Dateien bei Meldung zur Überprüfung eingesandt werden - also Adresse und Prozedere merken.
Ceterum censeo Avira Forum non esse delendam.