Melding te pakken van bekend bestand - Privacy en beveiliging

zaterdag 3 oktober 2009 20:46

Acties:

Verwijderd

Topicstarter

Een goede avond.

Systeeminformatie is even niet van toepassing, maar een ander lastig probleem.
Bij deze start ik een topic om te verifyeren of het een false positive betreft.

Zo'n 2 jaar terug heb ik een eigen mod gemaakt voor de game "The battle for midde-earth II".
Met deze mod is de opzet geweest om het realisme omhoog te schroeven.

Tijdens superfetch gaf mijn virusscanner alarm op het bestand game.dat. Dit bestand heb ik destijds aangepast en debugged.

Kan het zijn dat Avira AntiVir een routine herkent van een virus of ben ik al 2 jaar besmet zonder er ooit iets van gemerkt te hebben? En ik ben een straffe tegenstander voor ze

Het gaat om de volgende melding:

code:

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 
'D:\Program Files\Electronic Arts\The Battle for Middle-earth (tm) II\game.dat.
Action performed: Allow access

Na gekeken te hebben is dit een virus uit 2007 en ik ben sinds die tijd altijd beschermd geweest. Waarom komt hij er nu ineens mee aanzetten?
Dan is het ook vreemd dat ik absoluut geen klachten heb met het spel en ook niet met mijn systeem. Geen vreemde poorten of wat ook.

Wie kan mij verhelderen over dit gevalletje?

zaterdag 3 oktober 2009 20:54

Acties:

Verwijderd

Topicstarter

Voor het geval mensen zeggen van "dit komt door een update"

Deze versies herkennen het virus:

code:

 &#8226;  7.03.00.32   ( 25/01/2007 )
   &#8226;  7.03.01.46   ( 29/03/2007 )
   &#8226;  7.04.00.34   ( 19/06/2007 )
   &#8226;  7.04.00.37   ( 28/06/2007 )
   &#8226;  7.04.00.39   ( 05/07/2007 )
   &#8226;  7.04.00.44   ( 18/07/2007 )
   &#8226;  7.04.00.50   ( 25/07/2007 )
   &#8226;  7.04.00.60   ( 10/08/2007 )
   &#8226;  7.06.00.20   ( 04/10/2007 )
   &#8226;  7.06.00.27   ( 18/10/2007 )
   &#8226;  7.06.00.30   ( 26/10/2007 )
   &#8226;  7.06.00.34   ( 06/11/2007 )
   &#8226;  7.06.00.40   ( 07/12/2007 )
   &#8226;  7.06.00.45   ( 13/12/2007 )
   &#8226;  7.06.00.53   ( 24/01/2008 )
   &#8226;  7.06.00.67   ( 14/02/2008 )
   &#8226;  7.06.00.73   ( 29/02/2008 )
   &#8226;  7.06.00.78   ( 28/03/2008 )
   &#8226;  7.06.00.84   ( 10/04/2008 )
   &#8226;  7.08.00.10   ( 25/04/2008 )
   &#8226;  7.08.00.58   ( 19/06/2008 )
   &#8226;  7.08.00.64   ( 02/07/2008 )
   &#8226;  7.08.00.68   ( 15/07/2008 )
   &#8226;  7.08.01.34   ( 18/09/2008 )
   &#8226;  7.09.00.07   ( 23/10/2008 )
   &#8226;  7.09.00.29   ( 07/11/2008 )
   &#8226;  7.09.00.41   ( 04/12/2008 )
   &#8226;  7.09.00.45   ( 11/12/2008 )
   &#8226;  7.09.00.54   ( 09/01/2009 )
   &#8226;  7.09.00.57   ( 16/01/2009 )
   &#8226;  7.09.00.60   ( 22/01/2009 )
   &#8226;  7.09.00.70   ( 30/01/2009 )
   &#8226;  7.09.00.79   ( 13/02/2009 )
   &#8226;  7.09.00.83   ( 17/02/2009 )
   &#8226;  7.09.00.93   ( 26/02/2009 )
   &#8226;  7.09.00.105   ( 05/03/2009 )
   &#8226;  7.09.00.120   ( 18/03/2009 )
   &#8226;  7.09.00.126   ( 24/03/2009 )
   &#8226;  7.09.00.138   ( 03/04/2009 )
   &#8226;  7.09.00.148   ( 17/04/2009 )
   &#8226;  7.09.00.156   ( 24/04/2009 )
   &#8226;  7.09.00.166   ( 08/05/2009 )
   &#8226;  7.09.00.187   ( 11/06/2009 )

Heel bizar.

zaterdag 3 oktober 2009 20:58

Acties:

djexplo

Komt vaak door de GoAsm, niks om je druk over te maken...

It seems that they (Avira Antivir and McAfee-GW-Edition according to www.virustotal.com) has built in a quick and dirty exception rule. They check the manufacturer label in the msdos stub for the string "GoLink, GoAsm www.GoDevTool". Anything else produces "TR/Crypt.XPACK.Gen". For me assembling with Nasm this is not a very good solution because I get only "GoLink www.GoDevTool.com".

[ Voor 77% gewijzigd door djexplo op 03-10-2009 21:00 ]

'if it looks like a duck, walks like a duck and quacks like a duck it's probably a duck'

zaterdag 3 oktober 2009 22:23

Acties:

Verwijderd

Topicstarter

Dank je

DevTooltje idd

zondag 4 oktober 2009 14:03

Acties:

Verwijderd

Je zou de game.dat eventjes door http://virusscan.jotti.org/nl kunnen gooien.
Wellicht dat alleen Antivir hem herkent?

maandag 5 oktober 2009 11:38

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Wat ik wel vreemd vind is dat de actie " allowed access is " terwijl je wel een melding krijgt dat een trojan zou zijn gevonden. Is dit een user interacted actie of is het de default actie van de virusscanner? In dat laatste geval zou ik het erg slordig vinden namelijk.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum