AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Virustotal meldet Virus

Ein Thema von zeras · begonnen am 12. Feb 2020 · letzter Beitrag vom 12. Feb 2020
Antwort Antwort
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#1

Virustotal meldet Virus

  Alt 12. Feb 2020, 19:25
Betriebssystem: Win 10
Beim Setup eines meiner Programme meldet Virustotal bei einem Scanner, dass das Programm Viren enthalten würde.
Trapmine Suspicious.low.ml.score.

Ich habe dann bei Behavior geschaut und bei Highlighted Actions folgende Info gefunden:
Call Highlighted
GetTickCount

Highlighted Text
"Der Programmname"
C:\Windows\system32\cmd.exe

Ich kann aber in meinen Quellen (Suchen in Dateien) keinen GetTickCount finden und auch keinen Aufruf von cmd.exe.

Zusatztools sind einige Objekte von TMS und Onguard von TurboPower.

Was kann ich machen, damit der Scanner nicht mehr anschlägt?
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.196 Beiträge
 
Delphi 10.4 Sydney
 
#2

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 19:47
Melde es beim Hersteller als False-Positive.
Wo und wie genau ist von Hersteller zu Hersteller unterschiedlich.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#3

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 20:06

Ich habe dann bei Behavior geschaut und bei Highlighted Actions folgende Info gefunden:
Call Highlighted
GetTickCount
Hier scheint es doch in einer der TMS Bibliotheken Async Aufrufe wegen GetTickCount zu geben.
Aber einen Aufruf von "C:\Windows\system32\cmd.exe" finde ich bis jetzt noch nicht.
Müsste ich den Aufruf nicht auch per Hexeditor in der Exe finden?
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.196 Beiträge
 
Delphi 10.4 Sydney
 
#4

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 20:13
Willst du diese Aufrufe jetzt Eliminieren weil ein blöde Heuristik angeschlagen hat?
Ein Großteil der Anwendungen wir GetTickcount verwenden.
Ein "C:\Windows\system32\cmd.exe" ist eher schon was, was man untersuchen sollte wieso sowas drin ist.
(Im Hexeditor nach Ansi und Unicode-String suchen, auch in den Ressourcen könnte das stehen)
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#5

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 20:20
Ein "C:\Windows\system32\cmd.exe" ist eher schon was, was man untersuchen sollte wieso sowas drin ist.
(Im Hexeditor nach Ansi und Unicode-String suchen, auch in den Ressourcen könnte das stehen)
Danke für die Hinweise.
Eigentlich habe ich nur die Exe. Alles andere (TMS Async, TMS UI, Onguard) sind eincompiliert.
Mittels HxD habe ich noch nichts gefunden.
Muss ja aber was sein. Das ärgert mich, dass ich noch nichts gefunden habe.
Suche aber weiter.
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
hoika

Registriert seit: 5. Jul 2006
Ort: Magdeburg
8.275 Beiträge
 
Delphi 10.4 Sydney
 
#6

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 20:21
Hallo,
ist die Exe signiert?

Das löst bei uns schon viele Probleme.
Heiko
  Mit Zitat antworten Zitat
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#7

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 20:28
Hallo,
ist die Exe signiert?

Das löst bei uns schon viele Probleme.
Nein, darum habe ich mich noch nicht gekümmert.
Ich möchte nur ausschliessen, dass nichts auf meinem Rechner ist.
Alle Zusatzkomponenten, die ich installiere, scanne ich erst mal mit GDATA, aber weiß man, ob nicht doch bei der Installation einer Komponente "etwas" mit dazu installiert wird, das nicht dazugehört?
Ich habe zwar nicht viele Kompos, aber weiß mans?
Als Beispiel die Kompo Onguard von Getid wird ja dann automatisch installiert. Da hat man ja keine Möglichkeit mehr, noch selber zu scannen oder?
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.196 Beiträge
 
Delphi 10.4 Sydney
 
#8

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 21:10
Hallo,
ist die Exe signiert?

Das löst bei uns schon viele Probleme.
Bei uns wurde eine DLL (trotz Signatur) von 5 Scannern (vermutlich 2 Engines) als False-Positive gemeldet.
Dummerweise auch der Scanner der vom Arbeitgeber eingesetzt wurde ...

Meldung bei einem Hersteller lößste nach 2-3 Tagen alle Falschalarme auf.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#9

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 21:15
Dummerweise auch der Scanner der vom Arbeitgeber eingesetzt wurde ...
So war es auch heute bei mir.
Beim Start Setup "InnoSetup" hat Bitdefender zugeschlagen und das Setup gleich gekillt.
Nun habe ich die eigentlich Exe scannen lassen und dann kam das oben beschriebene heraus.
Werde dieser Tage weitersuchen und berichten, wenn ich noch etwas zum cmd.exe finde.
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#10

AW: Virustotal meldet Virus

  Alt 12. Feb 2020, 21:32
Ich kann aber in meinen Quellen (Suchen in Dateien) keinen GetTickCount finden ...
REST, TComboBox, VCL-Hints (THintWindow), TMonitor, TStopwatch, TThreadPool, WinHelpViewer, WinXCalendars, WinXPickers, ...

Ich weiß ja nicht was an GetTickCount so schlimm sein soll, aber das ist überal drin,
und die Strings CMD bzw. CMDFILE kommen auch oft im Delphi vor.

Wie schon gesagt wurde, ist die einzige Lösung es dem Hersteller des Antivirusdingens den False-Positive zu melden und die Sinaturen bereinigen zu lassen.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (12. Feb 2020 um 21:49 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:49 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz