virenmeldung durch clamav

[alwint]

ich bekomme die meldung generic 6629274-0 für total commander, frisch runtergeladen. ist das eine bekannte Fehlerkennung?

[alwint]

ich bekomme die meldung generic 6629274-0 für total commander, frisch runtergeladen. ist das eine bekannte Fehlerkennung?

Nicht das der total commander server möglicherweise einen virus hat.

[alwint]

ich bekomme die meldung generic 6629274-0 für total commander, frisch runtergeladen. ist das eine bekannte Fehlerkennung?

Nicht das der total commander server möglicherweise einen virus hat.
Es wäre schön wenn das einmal geprüft wird. Aussser man kennt bereits das als fehlmeldung, dann wäre es schön wenn man das mal hier im forum mitteilt.

[alwint]

ich bekomme die meldung generic 6629274-0 für total commander, frisch runtergeladen. ist das eine bekannte Fehlerkennung?

Nicht das der total commander server möglicherweise einen virus hat.
Es wäre schön wenn das einmal geprüft wird. Aussser man kennt bereits das als fehlmeldung, dann wäre es schön wenn man das mal hier im forum mitteilt.

Dankeschön.

[alwint]

ich habe eine alte 801 runtergeladen, dort kommt die virenmeldung nicht.

[gdpr deleted 6]

1. Gib den vollen und praezisen Download-Link der problematischen TC-Package an (um zu vermeiden, dass die URL hier im Forum geloescht/deaktiviert, entferne das http(s):// Prefix und platziere Leerzeichen vor/nach jedem Punkt im Servernamen; also z.B.: www . totalcommander . ch/some/path/file/blah/blah ).

2. Welche Dateien genau werden von deinem Virenscanner bemaekelt?


Solltest du direkt vom totalcommander.ch-Server geladen haben, wuerde ich zwar von einem "false positive" ausgehen, aber Vorsicht ist ja bekanntlich die Mutter der Porzellankiste...

[alwint]

https://totalcommander.ch/win/fixed/tcmd951x64.exe
direkt diese exe machte die virenmeldung, eine 801 die ich woanders runterlud, hatte keine meldung.

[Dalai]

Hast du deinen Scanner schärfer eingestellt? Laut VirusTotal findet kein einziger Scanner etwas problematisches in der Datei - auch nicht der dort geprüfte ClamAV.

Grüße
Dalai

[alwint]

clamav (in suselinux) findet zuverlässig viren die virustotal nie findet, auch das clamav dort nicht.

[Dalai]

Naja, ich hab da so meine Zweifel, dass da wirklich Viren gefunden werden. Etwas wird gefunden, in dem Fall "generic", also etwas generisches, nichtssagendes. Hatten wir auch vielfach mit Avast in den vergangenen Jahren. Insofern würde ich immer der Meinung der Mehrheit trauen, gerade bei Dateien, die schon lange bekannt sind (hier 8 Monate). Etwas anders sieht die Sache bei ganz frischen Dateien aus, dort würde ich eher Vorsicht walten lassen und abwarten.

Grüße
Dalai

[gdpr deleted 6]

Um sicherzugehen, ueberpruefe die Groesse und die SHA/MD5-Hashes deiner runtergeladenen tcmd951x64.exe und vergleiche sie mit den entsprechenden Daten, die bei Virustotal gelistet sind: https://www.virustotal.com/gui/file/b440ec35ea6c4ff7296b51c96e7bf55336a1cebaf211524e6caa2f4db3fe60b2/details

Obwohl auch ich eher denke, dass da die Linux-Variante von ClamAV in diesem Fall etwas hypersensibel ist, so ist die Moeglichkeit nicht auszuschliessen, dass die exe, die du da hast, tatsaechlich nicht astrein ist. Deshalb die Hashes und Dateigroesse deiner exe mit den bei VirusTotal gelisteten Werten vergleichen.

Sollte sich dann herausstellen, dass deine exe irgendwie "krumm" ist, so muss das jetzt nicht unbedingt heissen, dass der totalcommander.ch-Server eine verseuchte exe geliefert hat. Je nach Lage der Dinge gibt es verschiedenste Ansatzpunkte, um die exe waehrend bzw. kurz nach dem Download zu manipulieren. Irgendwelche windigen "freien" Proxies/VPNs koennten Daten im Transfer manipulieren, oder eine anderweitig infizierte oder boesartige Software oder Browser-Addon mag vielleicht die exe direkt nach dem Download manipuliert haben. Das sind jetzt natuerlich nur Beispiele. Aber sollte es sich tatsaechlich herausstellen, dass deine exe infiziert ist (wie bereits erwaehnt, ich tippe eher auf ein "false positive"), so solltest du wahrscheinlich mal gruendlich deine Systemkonfiguration und die in deinem System aktive Software ueberpruefen.

[alwint]

Ja meine sha1 ist identisch. Ich rate der Compiler baut irgendeinen mist ein, auf den man auch verzichten könnte. lieber wieder den compiler von 801 verwenden.

[Horst.Epp]

Ja meine sha1 ist identisch. Ich rate der Compiler baut irgendeinen mist ein, auf den man auch verzichten könnte. lieber wieder den compiler von 801 verwenden.

Die Erkennungsraten von Clamav sind laut Tests doch grottenschlecht.
Das Teil verwenden doch ernsthaft nur Linux Benutzer.

[Dalai]

Davon abgesehen, dass ein 32-bit Setup mit einem 64-bit Setup verglichen wird, und schon deshalb unterschiedliche Compiler zum Einsatz kommen, war es Absicht, das TC-Setup umzubauen. Wenn ich mich recht erinnere, stufte Google die TC-Homepage vor einigen Jahren als Seite ein, auf der es Schadsoftware zum Download gäbe. Da ein Großteil der Leute Google Chrome oder Firefox nutzen, bekamen viele Nutzer entsprechende Warnmeldungen beim Download-Versuch bzw. Besuch der Seite an sich. Deshalb wird seit TC 8.51a - also seit mehr als fünf Jahren - ein anderer Installer eingesetzt, an das die Nutzdaten als unkomprimiertes ZIP angehangen werden; vorher war das TC-Setup ein SFX-Archiv in komprimierter Form.

Oder kurz ausgedrückt: Ich bezweifle ganz stark, dass Ghisler den Installer nochmals umbauen wird. Wenn du dem Installer nicht vertraust, pack den TC einfach aus (ist ja weiterhin ein ZIP mit darin enthaltenem CAB) und scanne die darin enthaltenen Dateien. Dann kannst du immer noch entscheiden, wem du vertraust.

Grüße
Dalai

[ghisler(Author)]

Ich kenne mich mit Clamav leider nicht aus - bei anderen Scannern kann man eine falsch erkannte Datei an den Hersteller senden, damit dieser sie analysieren und auf eine weisse Liste stellen kann. Kennt jemand die Kontaktdaten von den Clamav-Entwicklern? Bei Open Source ist das immer schwierig den richtigen zu finden...