Hallo,

auf meinem Rechner läuft Antivir prof. Ich habe auf eine Form die Komponete JvgPageControl aus JVCL Globus2 gezogen, bearbeitet und wollte das Programm erzeugen. Da klingelte mein Antivir und sagte mein Programm wäre der Trojaner TR/Dropper.Gen.

Kennt jemand das Problem und wie wurde es gelöst??

Danke.

Es kann sich um einen Fehlalarm handeln. Antivir hat doch m.W. eine Supportadresse, an die man solche Programme schicken kann. Dann wird das geprüft und die Signaturerkennung angepasst. Nach den nächsten Updates dürfte es dann keinen Alarm mehr geben.

Achja, mal wieder Avira und Delphi. Lad das Kompilat doch einmal bei Virustotal hoch und schau, was die anderen Scanner dazu meinen. Handelt es sich allem Anschein nach um einen False Positive, schick das Ding an Avira in der Hoffnung auf Besserung nach dem nächsten Definitionsupdate.

Gute Idee, werde den Damen und Herren meine Probleme mitteilen. Danke euch!

Die sollten langsam mal al eine Änderung des Produktnamens in AntiDelphi nachdenken.

Das wäre es doch ... ein Programm was alle Delphiprogramme auf dem Rechner findet, auflistet und das deinstallieren anbietet

Hallo,
ich glaube nicht, dass es an Antivir oder an irgendwelchen Komponenten liegt. Ich hatte bei Delphi XE und Norton Virenalarm bei einem leeren Formular!!! Jemand hier im Forum gab mir den Tipp, die Programm-Ikone aus zu tauschen. Das funktioniert bis jetzt.

Willie.

Wie bitte? Das Programmicon ist doch noch das Delphi Standart Symbol. Mir wurde bereits mitgeteilt, dass mit einem der nächsten updates der Fehler behoben sein soll. Für die Virensoftware wird Geld bezahlt und au diesem Grund werde nicht ich, sondern Antivir sich kümmern. So wurde es mir auch in einem Gespräch auf der CBit an deren Stand mitgeteilt.

Beispiel für eine unsinnige Virenmeldung:
Programmname service.exe, wird vom laufenden Programm aufgerufen, laufendes Programm beendet sich, service löscht das Prgramm und stellt die neue Version bereit.

Ein paar Tage ging es gut, dann Virenalarm.

Programm umbenannt in dfdf.exe (also völlig sinnlos) und es funktioniert wieder.

Und bitte diesem Kommentar nicht ganz ernst nehmen!!
...also im Umkehrschluss, ich gebe einem Virus einen völlig sinnlosen Namen und dann läuft er wieder...

Heuristiken basieren normalerweise auf mehreren Indikatoren. Wenn jetzt alle anderen zusammengenommen dem Wert schon fast über die Schwelle zu "böser Code" helfen, kann eine Heuristik in der das Delphi-Symbol eingearbeitet ist soetwas hervorrufen.

Stell es dir wie ein Punktesystem zusammen in dem verschiedene Indikatoren mit Wichtung einen Gesamtwert bilden, der dann gegen einen Schwellwert abgeglichen wird.

Wiederum eine zu aggressive Heuristik.

Um dir auch hier ein Beispiel zu geben. mirc.exe war sehr lange ein beliebter IRC-Client und wurde dann oft "vorinstalliert" weitergegeben. Oft war dann noch ein (bösartiges) Anhängsel in der .exe, so daß es für eine Heuristik unter bestimmten Umständen Sinn machen kann nach einem solchen Namen zu gehen.

service.exe und services.exe sind auch bei Malware-Autoren sehr beliebt weil die bei oberflächlicher Betrachtung nicht so schnell auffallen.

Die bösen Jungs sind viel kreativer, glaub mir. Bei denen wird VirusTotal bspw. auch benutzt um abzuklären ob und wenn ja von wie vielen Scannern eine Malware erkannt wird. Dann ggf. in ein paar Iterationen anpassen und sobald keiner der "Großen" in der Branche es mehr erkennt, veröffentlichen.

Übrigens ist Avira in der Branche für die ausgesprochen hohe Anzahl von Fehlalarmen (false positives) bekannt.