[XDestroy]

also für die meisten uninteressant?!

[N3XT]

Im Update-Pack vom Januar erkennen die Virenscanner F-Secure und Trend Micro Housecall einen Trojaner!

Dokumente und Einstellungen\MeinNutzername\Lokale Einstellungen\Temp\7zS1.tmp\Data\WindowsXP-KB950762-x86-DEU.exe

F-Secure: Suspicious:W32/Malware!Gemini
TrendMicro:TROJ_FAKEAL.SMDO

Da scheint etwas nicht mit dem Pack in Ordnung zu sein.

[DarkAlucard]

Hast du die Datei mal bei Virustotal.com checken lassen? Vielleicht auch ein Fehlalarm.

[N3XT]

Ich habe die Datei mit Virustotal scannen lassen. Gleiches Ergebnis. 2 von 40 Scanner (Trend Micro & F-Secure) erkennen einen Trojaner, die anderen nicht.

Edit: Der PC wurde direkt nach der Neuinstallation mit dem Update-Pack geupdated und war zum Zeitpunkt des Updatens nicht mit dem Internet verbunden (Netzwerkkabel entfernt).

Edit 2: Anleitung zum selber testen:

1. Updatepack herunterladen http://winfuture.de/...chalt,2136.html

2. Update-Pack ausführen

3. Nachdem das "Vorbereiten der Installation" abgeschlossen ist Start-Ausführen und %temp% eingeben

4. Tmp-Verzeichnis mit den Buchstaben "7z" öffnen

5. Unter dem Data-Ordner befindet sich die infizierte Datei "WindowsXP-KB950762-x86-DEU.exe"

Dieser Beitrag wurde von N3XT bearbeitet: 05. Februar 2010 - 11:08

[DarkAlucard]

LAde mal das original von der Microsoft Seite:
http://www.microsoft.com/downloads/details...;displaylang=en

wenn dann immernoch die Virenwarnung kommt ist es wohl ein falscher Alarm deines Virenscanners und bei Virustotal 2/40 weißt da auch drauf hin, zumal "Suspicious:W32/Malware!Gemini" sich nach Heuristik anhört, also sich der Patch nur "komisch" in den Augen deines Virenscanners verhällt.

[N3XT]

Ein Virenscan auf meinem Rechner und bei Virustotal hat ergeben, dass der Patch von der Microsoft-Downloadseite virenfrei ist. Also scheint etwas mit der Datei im Update-Pack nicht zu stimmen.

Edit: Warum haben die Patches im Update-Pack überhaupt andere Dateieigenschaften als die Original-Datei? (Digitale Signatur etc.)

Dieser Beitrag wurde von N3XT bearbeitet: 05. Februar 2010 - 12:04

[Phoenix0870]

Ich habe auch alle Versionen SP drauf und keines war jemals mit einem Virus oder Malware.
Habe Avast Pro 4.8 drauf.
Die Datei im Temp Ordner habe ich geprüft, ist ok.

Kann es sein, das vielleicht irgendein anderes Programm im Hintergrund bei dir arbeitet?
Mein Verdacht, das irgendein Programm die Datei verändert hat.

[DK2000]

Das scheint irgendwie wieder ein Fehlalarm zu sein, weil der Scanner mal wieder über UPX und/oder Yoda's Crypter stolpert. Aber warum jetzt nur F-Secure auf die eine Datei anspringt, kann ich auch nicht sagen. Eigentlich müsst er bei allen Updates anspringen. Sobald man aber die Datei mit UPX wieder entpackt, ist die Datei sauber.

Zitat

Warum haben die Patches im Update-Pack überhaupt andere Dateieigenschaften als die Original-Datei? (Digitale Signatur etc.)

Das liegt daran, das die Originalarchive entpackt wurden und als selbstentpackende 7z Archive ohne Kompression neu erstellt wurden. Das ganze soll dann am Ende das Gesamtpaket kleiner machen.

Aber ob das jetzt wirklich eine gute Idee ist, alle Updates zu modifizieren, um Platz zu sparen, weiß ich da nicht. Ich würde es vorziehen, wenn die Updates unangetastet bleiben und im Original in das Updatepack kommen, selbst wenn es dadurch dann größer wird. Bin der Meinung, das war auch mal so. Keine Ahnung, wann das umgestellt wurde.

Dieser Beitrag wurde von DK2000 bearbeitet: 05. Februar 2010 - 13:16

[N3XT]

Mittlerweile habe ich den PC nochmal mit Trend Micro Housecall gescannt. Nun erkennt er den Trojaner nicht mehr. Sieht so aus als ob das mal wieder ein FP war.

[ganymed1610]

Bisher hatte ich nie Virenalarm bei einem der Updatepacks, doch heute beim WinFuture XP SP3 Update Pack 3.22 (Upgrade) meinte NOD32 plötzlich etwas ganz gefährliches erkannt zu haben

Ich gehen mal davon aus, dass wie bisher auch, kein Trojaner als besondere Zugabe eingebaut wurde, sondern, dass wieder irgendwas an der Komprimierung geändert wurde uns sich somit diese Falscherkennung ergibt. Ist allerdings schon etwas nervig.

[tobiasndw]

Hinweis: Der Virenscanner NOD32 meldet eine evtl. Infektion dieses Update Packs. Wir versichern jedoch, dass mit unseren Update Packs alles in Ordnung ist und diese 100% Virenfrei sind. Bei einem Test mit 40 aktuellen Virenscannern meldet kein anderer einen Hinweis.