portableOoo 2.0.3. mit Zlob.Gen?

Guten Morgen, @ all

Die besagte Version von Openofficeorg habe ich mir auf der von Ooo verlinkten Seite (http://projects.ooodev.org/portableooo/) heruntergeladen und beim entpacken schlug mein Bitdefender9 bei der Datei Alarm.

Code:

%\portableooo203de_m_python_20060701\openoffice\programm\eme680mi.dll

<zum vergrössern, Bild anklicken>

Die betreffende Datei, habe ich bei jotti scannen lassen und auch bei Antivir hat in der betreffenden Datei, den Trojanerfund bestätigt. Somit könnte man davon ausgehen, dass es sich hierbei um keinen Fehlalarm handelt.

Oder etwa doch?



MfG, Manfred

 

Was haben denn die anderen Virenscanner berichet? Oder haben nur AntiVir und BitDefender angeschlagen? Was sagen denn die Herrschaften von OpenOffice dazu?

 

Hallo,
denke trotzdem, dass es ein Fehlalarm ist. Gerade bei Zlob haben die AVs die heuristische Erkennung in letzter Zeit auf so empfindlich gedreht, dass false positives immer häufiger vorkommen. Aber was sollen sie machen wenn pro Tag zwei bis drei neue Varianten herauskommen, die erstmal nicht erkannt werden.

Das der Server von Ooo gecrackt wurde ist schon sehr unwahrscheinlich, auch weil sich Zlob sich so nicht verbreitet. Für mich gilt immernoch die Formel, seriöses Programm + seriöse Quelle = unbedenklich.


Grüße Jasager

 

Hallo,

da gibt es doch schon Threads zu dem Problem mit TR/Zlob.Gen.36

http://forum.avira.de/thread.php?threadid=11523&sid=8ec7157c6a4003e87d684891f44d52b9

Alarm gibt es nur bei Bitdefender und AntiVir, beide Programme sind bekannt für Fehlalarme und sorgen immer wieder für Unruhe.
Musst du einmal schauen ob du deinen Bitdefender etwas kastrieren kannst (heuristische Erkennung deaktivieren usw.)
Oder das Programm runter und Grisoft AVG Antivirus verwenden.

 

@ Nevok

> Was haben denn die anderen Virenscanner berichet?

bisher kein Fund

Ich habe die Datei mal an Antivir zur Überprüfung geschickt und warte dann mal auf eine Reaktion. Bei Bitdefender geht das irgendwie nicht richtig (noch Trial), Bitdef sagt zwar gesendet, das Log vom Router spricht aber eine andere Sprache.

> Was sagen denn die Herrschaften von OpenOffice dazu?

Ich wüsste nicht, bei wem ich mich von Ooo melden sollte. :nixwissen Wenn sich jemand damit auskennt, bitte mal machen *plz*

Zur Heuristik:
Die ist auf dem Schleppi & Antivir nicht eingeschaltet und trotzdem schlägt Antivir auch dort Alarm (PC & Bitdefender9).
Und von wegen vertrauenswürdige Quelle, es ist doch erst zwei oder drei Monate her, dass auf der HP Page infizierte (Drucker?)Treiber zum Download angeboten wurden.

Und bevor Fragen zur Aktualität der Scanner aufkommen, stündliche Updates (wenn online) sind Pflicht.

Edit: @ Wolfgang77

Bei Antivir wird der Trojaner TR/Zlob.Gen.37 genannt (zumindest bei mir).
Naja, ... die engl Foren sind nicht so mein Ding. (Äppelpei änd Koffieh) verstehst?


MfG, Manfred

 

Hallo,

Kannst du auch per E-Mail machen: virus@bitdefender.de

Aber die Bezeichnung ist nunmal Zlob.gen, die steht für generisch, und das heißt nichts anderes als eine heuristische Erkennung, und keine Datenbank basierte.

Ich denke in ein paar Stunden sollte das Problem von den AVs behoben sein.



Grüße Jasager

 

http://de.openoffice.org/kontakt.html

 

Dann prüfe mit Kaspersky-Signaturen:
Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

Download:
ftp://ftp.microworldsystems.com/download/tools/mwav.exe

Die Datei "eme680mi.dll" ist original von Sun Microsystems, Inc.

 

@ Wolgang77

Bitdefender kommt nicht runter.
Ich habe 2 Jahre Bitdefender8 auf dem PC drauf gehabt und mir vorige Woche die 9'ner Version gekauft, nachdem ich die 9'er Trial zum testen installierte.
Da auch ein komplettes Neuaufsetzen des XP in Planung ist, macht das maximale Nutzen der Trial schon Sinn.

Antivir hat sich lapidar/maschinell gemeldet

Ich warte bis zum nächsten Antivir Update bund lasse wieder von mior hören.



MfG, Manfred

 

Gut das war deine Entscheidung, ich hätte dafür kein Geld ausgegeben. Wenn ich schon deren Werbung lese wird mir schlecht..

 

Teilerfolg!

Bei Antivir gibt es (nach eben durchgeführten Update) bei der eme680mi.dll, keinen Alarm mehr.

Nun hat bei mir auch die Virenmeldung an Bitdefender geklappt. Nutzerfehler, nicht das Standard Tb Konto in Bitdefender eingetragen gehabt *rotwerd*, deshalb dauert es wohl noch etwas.


@ Wolfgang77

Danke für den MWAV Link.
Mein System gescannt und dann erschrocken.

Code:

Thu Aug 17 13:12:17 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})!

Laut Google, bedeutet das nichts gutes. Ich hab mir mal diese Seite dazu etwas näher angesehen: http://www.avira.com/de/threats/section/fulldetails/id_vir/1621/tr_proxy.ciumz.bg.html

Diese Registry Einträge sollten vorhanden sein, wenn der cws.loader vorhanden ist. Sind sie nicht!

Code:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SysMemory manager"="%sysdir%\mdms.exe"

Code:

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\mdms.exe"="%SYSDIR%\mdms.exe:*:Enabled:mdm_sysag"

Die anderen genannten Registry Schlüssel sind entweder nicht vorhanden, oder beziehen sich bei mir direkt auf das CCC von ATI.

Also noch mit Spybot, AdAware, CWShredder, Stinger im abgesicherten Modus laufen lassen, nichts; Bitdefender nichts und HighjackThis, nichts auffälliges.

Evtll auch hier ein Fehlalarm?


OT:
Auf Werbung gebe ich nicht viel. Wenns danach ginge, wären die Pickel meiner Frühpubertären Enkel, schon längst ausgestorben.



MfG, Manfred

 

Hallo,
das sind die üblichen false positives von Escan, wenn du mich fragst ist das sogenanntes viral marketing. Sprich, "wir erschrecken mal den User, dann kauft er unser Produkt".


Grüße Jasager

 

Das wäre für mich der Punkt wo ich sage, nicht mit mir. Das Ko Kriterium, auch für Freeware!

Vllt sogar selbst mitgebracht, weil ... da is noch was in der Quarantäne, vom ersten MWAV Installationsversuch.

Code:

%\lokale~1\temp\mwavscan.com
infiziert mit BehavesLike:Win32.FileInfector
%\lokale~1\temp\mexe.com
infiziert mit BehavesLike:Win32.FileInfector
%\mozilla\downloads\mwav\mwavscan.com
infiziert mit BehavesLike:Win32.FileInfector

Oder (wieder) Fehlalarm von Bitdefender? Mal sehen.



Manfred

 

Hallo,
jein, wenn man Ahnung von Escan(MWAV) hat kann man false positives sehr einfach von echten Meldungen (mit Dateinamen+Pfad und nicht von der Spywareengine) unterscheiden. Aber trotzdem ist es nicht die feine englische Art.

Virenscanner erkennen sich häufiger gegenseitig als Malware, das ist normal und kein Grund zur Beunruhigung.


Grüße Jasager

 

*seufz/schnief* Wär das schön ... , ob ich das noch erlebe :nixwissen



Trotzdem, THX @ all
Manfred

 

Nachdem Antivir hier seit gestern ~17.00 Uhr keine Trojanerwarnung mehr ausgibt,

Code:

%\portableooo203de_m_python_20060701\openoffice\programm\eme680mi.dll

kommt nun auch von Bitdefender9 keine Trojanerwarnung mehr.

War in diesem Fall also doch ein "false positive".



MfG, Manfred