Avira Antivir Alarm bei exe-Dateien

shimuno

Hallo erstmal, alle zusammen!

Beschäftige mich mit Autoit 3 seit drei Wochen. Habe als Programmier-Neuling schon ein paar Skripte erstellt und bin insgesamt mehr als zufrieden.

Seit zwei Tagen nerven mich allerdings lästige Virusmeldungen von Antivir Personal Edition, die jede meiner compilierten exe-Dateien plötzlich als Virus erkennen will. Habe auf der Antivir-Seite ein kompiliertes leeres(!) Script mit einem Hinweis auf möglichen Fehlarlarm upgeloaded und drei Tage später folgendes zur Antwort bekommen:

>>Dateiname Ergebnis
AutoIt_Script.exe MALWARE
Die Datei 'AutoIt_Script.exe' wurde als 'MALWARE' eingestuft.Unsere Analytiker haben dieser Bedrohung den Namen TR/Crypt.CFI.Gen gegeben.Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Diese Malware wird mit einer Spezial-Erkennungsroutine des Enginemoduls erkannt. <<

Habe bereits über Fehlalarme in Verbindung mit Antivir in der Vergangenheit gelesen.

Nun meine Fragen:

Habt ihr das Problem auch?

Falls es ein Fehlalarm ist, ist es möglich sich vom Autoit-Team aus mit Antivir in Verbindung zu setzen, um
darauf aufmerksam zu machen. Meine eigene Anfrage hat weder eine Veränderung noch eine Aussicht darauf bewirkt.

Grüße,

Shimuno

progandy

Das sollte schon ein Fehlalarm sein, teste aber mal mit https://autoit.de/www.virustotal.com
Hab mal folgendes getestet:

Spoiler anzeigen

[autoit]

#include <GUIConstants.au3>

[/autoit] [autoit][/autoit] [autoit]

#region - GUI Create
$gui = GUICreate("SCR", @DesktopWidth, @DesktopHeight, 0, 0, $WS_POPUPWINDOW+$WS_MAXIMIZE);,$WS_EX_TOPMOST)
GUISetBkColor(0x000000)
WinSetTrans($gui,"",150)
;GUICtrlCreateAvi(
GUISetState()
#endregion
$mouse = MouseGetPos()
#region - GUI Create
$gui = GUICreate("Disk Eraser", 355, 150,-1,-1,$WS_CAPTION,$WS_EX_TOOLWINDOW+$WS_EX_TOPMOST)
$avi = GUICtrlCreateAvi(@SystemDir & "\shell32.dll",163, 0,0)
GUICtrlSetState (-1, 1)
GUISetBkColor(0x000000)
GUICtrlCreateLabel("Die Polizei hat versucht, ihre Daten zu kopieren. Um sie zu schützen, werden nun alle Daten vernichtet.",10,60,335,150)
GUICtrlSetColor(-1,0xFFFFFF)
$progress = GUICtrlCreateProgress(10,100,335,15)
Dim $i = 0
GUISetState()
#endregion
AdlibEnable("_Progress")
#region - GUI SelectLoop
While 1
$msg = GUIGetMsg()
Select
Case $msg = $GUI_EVENT_CLOSE
Exit
;~ Case $msg =
;~ Case $msg =
;~ Case $msg =
EndSelect
If Abs(MouseGetPos(0)-$mouse[0]) > 100 Then Exit
If Abs(MouseGetPos(1)-$mouse[1]) > 100 Then Exit
WEnd
#endregion

[/autoit] [autoit][/autoit] [autoit]

Func _Progress()
$i += 1
If $i > 100 Then $i = 0
GUICtrlSetData($progress,$i)
EndFunc

[/autoit]

Ergebnis: http://www.virustotal.com/de/analisis/70…ea9af1bfc285d2d

Spoiler anzeigen

Code

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.3.4.0 	2008.03.04 	-
AntiVir 	7.6.0.73 	2008.03.04 	-
Authentium 	4.93.8 	2008.03.04 	-
Avast 	4.7.1098.0 	2008.03.04 	-
AVG 	7.5.0.516 	2008.03.04 	-
BitDefender 	7.2 	2008.03.04 	-
CAT-QuickHeal 	9.50 	2008.03.04 	-
ClamAV 	0.92.1 	2008.03.04 	-
DrWeb 	4.44.0.09170 	2008.03.04 	-
eSafe 	7.0.15.0 	2008.02.28 	suspicious Trojan/Worm
eTrust-Vet 	31.3.5585 	2008.03.04 	-
Ewido 	4.0 	2008.03.04 	-
FileAdvisor 	1 	2008.03.04 	-
Fortinet 	3.14.0.0 	2008.03.04 	-
F-Prot 	4.4.2.54 	2008.03.03 	-
F-Secure 	6.70.13260.0 	2008.03.04 	-
Ikarus 	T3.1.1.20 	2008.03.04 	IM-Worm.Win32.Sohanad.cv
Kaspersky 	7.0.0.125 	2008.03.04 	-
McAfee 	5243 	2008.03.03 	-
Microsoft 	1.3301 	2008.03.04 	-
NOD32v2 	2921 	2008.03.04 	-
Norman 	5.80.02 	2008.03.04 	-
Panda 	9.0.0.4 	2008.03.03 	-
Prevx1 	V2 	2008.03.04 	-
Rising 	20.34.12.00 	2008.03.04 	-
Sophos 	4.27.0 	2008.03.04 	-
Sunbelt 	3.0.906.0 	2008.02.28 	-
Symantec 	10 	2008.03.04 	-
TheHacker 	6.2.92.232 	2008.03.04 	Trojan/Downloader.AutoIt.co
VBA32 	3.12.6.2 	2008.02.27 	-
VirusBuster 	4.3.26:9 	2008.03.04 	-
Webwasher-Gateway 	6.6.2 	2008.03.04 	-
weitere Informationen
File size: 306461 bytes
MD5: 5611cb59bfcc32b8988f292748467fa5
SHA1: 5cf891bb7038f3f38c525813d36c87f250d12faf
PEiD: -
packers: UPX
packers: PE_Patch.UPX

Alles anzeigen

//Edit: Mein Antivir gibt keine Fehlalarme aus. Packst du eigtl mit UPX?
VirenDefinition: 7.00.02.229, 4.3.2008

blubbstar

Ich komme dort immer auf 2/32 bei virustotal. Gibts denn da ne möglichkeit das auf 0/32 zu bringen? Denn meistens werden Dateien immer gescannt, wäre halt schon toll wenn man da mal 0/32 hätte

progandy

ohne UPX könnte man viellecht auf 0 kommen, aber manche Scanner werten UPX als potentiellem Virus

azunai

ich mein beim neuen compiler kann man ja auswählen ob upx oder ansi

aber mal ganz ehrlich, ich find antivir ein wenig mehr als b****issen
würd dir eh empfehlen KIS/KAV o.ä. zu nutzen!

**Greenhorn**

Hi,

Du kannst auch wie folgt vorgehen ...
http://www.autoitscript.com/forum/index.php?showtopic=34658
Oder Virenscanner wechseln ...

Gruß
Grenhorn

shimuno

Vielen Dank für eure Antworten.

Mittlerweile habe ich noch einmal Antivir angemailt und folgenden Anwort bekommen:

>>Hallo!

Der .Gen-Treffer lässt sich nicht wirklich beheben, da hier der Original-Stub
von AutoIt verändert wurde. Das ist eine Methode, die auch von Malware oft
eingesetzt wird. Eine Abänderung der generischen Erkennung würde eine
Verschlechterung des Schutzes bedeuten. <<

An progandy: Stimmt, ich packe mit UPX, ohne genau zu wissen, was das ist. Tippe mal ein effektiverer Pack-Algorhytmus. Jedenfalls werde ich den jetzt mal weglassen und hoffen, dass die blöden Virusmeldungen dann aufhören.

An Azunai und Greenhorn:

Virenscanner wechseln kommt natürlich auch in Betracht, aber leider nur auf meinem Rechner. Die Skripte sollen auch auf anderen Rechnern laufen und die User wollen Antivir behalten.

Danke für eure Hilfe!

Shimuno