Gruppen

Top Gruppen: Windows 7; Windows Vista; Windows XP; Textverarbeitung; Excel; DSL; Internet Browser; E-Mail/Outlook
Betriebsysteme: Windows classik; Linux; BS-Sonstige
Software: Datenbanken; Bildbearbeitung; Audio/mp3/Video; Security/Viren; SW-Sonstige
Hardware: Mainboard/CPU; Grafikkarten; Peripherie; Laptop/Notebook; HW-Sonstiges
Netzwerk: Telefon,ISDN,Modem; W-Lan; NW-Sonstiges
Programmierung: PHP,ASP,Perl...; Java,C++...; Webseiten/HTML
Sonstiges: PC-Sonstiges; Plauderecke; SN Intern; Test

/ Forum / Security/Viren

Security/Viren

Fragevon Benny_Aua vom 05.05.2021, 13:41 Options

a-squared: Backdoor.Win32.Ceckno.cap!A2 ein Fehlalarm

a-squared Malware-Info, der Testsieger April 2009 wird von emsisoft beworben.

Nach dem letzten Update wurde mir nach einem Detail-Scan mit a-squared angezeigt, daß im Ordner
c.\windows\$NtServicePackUninstall$
die Datei
cliconfg.exe vom 18.1.2001
den gefährlichen Backdoor-Trojaner "Backdoor.Win32.Ceckno.cap!A2"
enthalten würde
http://www.emsisoft.de/de/malware/?Backdoor.Win32.Ceckno.cap!A2

Daraufhin habe ich das gefährliche Teil upgeloadet nach
http://www.virustotal.com/de
Dort wurde mir nun angezeigt, daß nur 1 von 40 Antivirenprogrammen, nämlich a-squared dort den "Backdoor.Win32.Ceckno.cap!A2" erkannt hätte.

Frage: Fehlalarm, oder ist nur a-squared so gut, daß es als einziges von 40 Programmen den Trojaner erkennt???

Löschen den cliconfg.exe oder ignorieren, weil Fehlalarm?
Zusatzfrage: "c:\windows\$NtServicePackUninstall$" brauche ich das überhaupt bei Windows XP Prof und ohne Netzwerk?

Danke im Voraus und Gruß, Benny

Antwort schreiben

Antwort 1 von Benny_Aua vom 05.05.2021, 13:47 Options

Habe gerade einen Beitrag dazu in einem Forum von a-squared gefunden, werde aber leider ganz schlau daraus (englisch Sprache, schwere Sprache):

"There are no detections for all instances of the said file here – neither SP3 nor SP2 versions but there could be differences in XP editions.

Anyway, the legit cliconfg.exe belongs to Microsoft - SQL Client Configuration Utility.

Since communication and protocol settings are involved in the code it could happen that the detection is FP,
at the same time file under the same name was detected in the past and known as being added by the OPASERV.T WORM! Basically it can be faked easily under this or other names.

That is correct that you submitted the file(s)

There were updates since you posted. At least one of them was for a2 signatures.
Update and rescan"

also: noch mal updaten, verstehe ich ja, aber was ist mit diesem WORM?

Antwort 2 von xmax vom 06.05.2021, 09:11 Options

Der Master of Disaster, Blaster

war ein WORM:-))

_{W32.Blaster.Worm - Wurm}

Antwort 3 von Benny_Aua vom 06.05.2021, 11:34 Options

@xmax: dank dir für die Übersetzung.

Wenn ich das jetzt richtig verstanden, wurde diese legale cliconfg.exe verwechselt mit dem Wurm mit dem schönen Namen "Opaserv" ?!?

Wahrscheinlich steh ich da total auf der Leitung, aber ich habe leider immer noch gecheckt was denn nun ein "FP" ist ?

von a-squared habe ich jetzt auch die Mitteilung bekommen:
"The latest update of a2 signatures fixed the FP."

"FP" = ?

Gruß, Benny

Antwort 4 von Cottet vom 06.05.2021, 11:58 OptionsLösung

FP = false positive = Fehlalarm :-)

Antwort 5 von Benny_Aua vom 06.05.2021, 14:16 Options

Fehlalarm !
Super, das wollte ich wissen, danke dir!

Antwort 6 von xmax vom 06.05.2021, 16:57 Options

emm das sollte ich auch noch schreiben, aus deiner Frage war mir nicht klar was du willst, denn Du hast nur den "WORM" erwähnt, hervorgehoben;-))

Hinweis

Diese Frage ist schon etwas älter, Sie können daher nicht mehr auf sie antworten. Sollte Ihre Frage noch nicht gelöst sein, stellen Sie einfach eine neue Frage im Forum..

Neue Einträge

Tipp einschicken

News einschicken