Autor |
Beitrag |
gerd33
Beiträge: 21
|
Verfasst: Sa 31.12.22 09:29
Hallo,
als ich meinen Freund mein Programm gegeben habe, hat der Bitdefender einen Virus festgestellt. (Das Problem besteht schon seit längerm)
Beim erzeugen der exe Datei (ich habe wie empfohlen die Optimierung auf false gesetzt) besteht weiterhin der Virus, der bei virustotal von mehreren erkannt wird.
Nachdem ich den Virus nicht rausbekomme, obwohl ich auch schon GSA Delphi induc cleaner benutzt habe überlege ich mir alles auf lazarus umzuschreiben.
Aber ob ich das hinbekomme. (Kann mir da evt. jemand helfen?)
Als ehrlicher Programmierer steht man immer schlecht da, wenn ein Virus drin ist.
Gerd
Moderiert von Th69: Titel geändert (Großschreibung).
|
|
Gausi
Beiträge: 8541
Erhaltene Danke: 475
Windows 7, Windows 10
D7 PE, Delphi XE3 Prof, Delphi 10.3 CE
|
Verfasst: Sa 31.12.22 11:43
gerd33 hat folgendes geschrieben : | Beim erzeugen der exe Datei (ich habe wie empfohlen die Optimierung auf false gesetzt) besteht weiterhin der Virus, der bei virustotal von mehreren erkannt wird. |
Was heißt denn "von mehreren"? Bei VirusTotal kommen ja in der Regel 60-70 Virenscanner zum Einsatz. Wenn davon ein paar (sagen wir 5, 6, 7?) Alarm schlagen, kann man noch mit ziemlicher Sicherheit von einem Fehlalarm ausgehen. Die Dinger arbeiten praktisch alle mit irgendwelchen Heuristiken, und einige davon sind bekannt dafür, dass sie massiv False Positives ausgeben. Nur deswegen die Entwicklungsumgebung zu wechseln, wäre Unsinn in meinen Augen.
Wenn es deutlich mehr sind (20 und mehr?), dann hast du ggf. ein Problem auf deinem System und solltest das angehen. Und zwar nicht mit Antiviren-Software (dieses GSA-Dings ist für Berlin ja eh irrelevant, wenn ich das richtig überflogen habe), sondern mit einer kompletten Neuinstallation des Systems.
_________________ We are, we were and will not be.
Für diesen Beitrag haben gedankt: Th69
|
|
jaenicke
Beiträge: 19288
Erhaltene Danke: 1743
W11 x64 (Chrome, Edge)
Delphi 11 Pro, Oxygene, C# (VS 2022), JS/HTML, Java (NB), PHP, Lazarus
|
Verfasst: So 01.01.23 14:09
Du kannst hier auch einfach den Virustotal Link posten. Dann lässt sich das leichter beurteilen.
Welchen Virenscanner setzt du selbst denn ein?
Es besteht die Möglichkeit, False Positives zu melden. Das kannst du beim jeweiligen Hersteller tun, z.B. hier:
www.bitdefender.de/c...upport/answer/53382/
Wenn es ein echter Virus ist, bekommst du dann vom Support eine entsprechende Antwort.
|
|
gerd33
Beiträge: 21
|
Verfasst: So 01.01.23 16:23
Hallo,
Ich habe erstmal das System bereinigt wie Gausi es vorgeschlagen hat. Dabei START, dann Einstellungen
und Update und Sicherheit. Wiederherstellung und zurücksetzen.
Dann habe ich ein paar Virenscanner die ich temporär auf meiner Festplatte hatte drüber laufen lassen.
Anschliessend erlebte ich eine Überraschung mit dem Delphi 10.1, denn nach einer Neuinstallation erkannte er
das nicht an (abgelaufen). Ok, dann habe ich mir mehr oder weniger durch Zufall Delphi 10.4 geholt. (1 Jahr lang)
Dann habe ich alles noch mal compiliert und die Datei virustotal.com zum Prüfen gegeben. Wieder das gleiche Spiel:
16/71 Virenscanner sagen, dass "Gen:Variant.Zusy.357619" das Problem ist.
Jetzt ist die Frage, warum produziert er in meine exe Datei diesen Virus?
Wie kann ich das beheben?
Gerd
|
|
jaenicke
Beiträge: 19288
Erhaltene Danke: 1743
W11 x64 (Chrome, Edge)
Delphi 11 Pro, Oxygene, C# (VS 2022), JS/HTML, Java (NB), PHP, Lazarus
|
Verfasst: So 01.01.23 17:40
Dein Programm verbindet sich aber nicht zufällig zum Internet, oder? Denn das handelt sich um eine generische Erkennung, die das typische Verhalten eines bestimmten Trojaners erkannt hat.
Wie gesagt: Melde dein Programm einfach als False Positive bei den betroffenen Herstellern.
Wir können hier aus der Ferne kaum etwas konkret dazu sagen, es sei denn du möchtest mir z.B. den Quelltext schicken. Dann kann ich es gerne bei mir kompilieren und bei Virustotal testen, um auszuschließen, dass dein PC infiziert ist.
Für diesen Beitrag haben gedankt: Gausi
|
|
gerd33
Beiträge: 21
|
Verfasst: So 01.01.23 18:08
Hallo Jaenicke,
ich habe Deinen Link benutzt. Das kam raus:
Zitat: | Thank you for your file submission.
The file has been automatically sent to our laboratories for specialized analysis. If the file is indeed a False Positive, the detection will be removed in the next 72 hours and the modification will be implemented in the product through a Signature Update. Please keep your Bitdefender up-to-date.
Please be informed that this is an automated process. Reply to this email if you have any other issues regarding your Bitdefender product and one of our engineers will take over.
Have a nice day!
|
Die Datei ist 3.5 MB gross. Ich weiss nicht, wie ich die zuschicken sollte?
Gerd
Zuletzt bearbeitet von gerd33 am Mo 02.01.23 15:59, insgesamt 1-mal bearbeitet
|
|
jaenicke
Beiträge: 19288
Erhaltene Danke: 1743
W11 x64 (Chrome, Edge)
Delphi 11 Pro, Oxygene, C# (VS 2022), JS/HTML, Java (NB), PHP, Lazarus
|
Verfasst: Mo 02.01.23 15:04
gerd33 hat folgendes geschrieben : | Die Datei ist 3.5 MB gross. Ich weiss nicht, wie ich die zuschicken sollte? |
Der Quelltext alleine ist doch nicht so groß, oder? Die .res Dateien und die .dcu Dateien kannst du alle weglassen. Dann sollte das in eine PN passen.
|
|
jaenicke
Beiträge: 19288
Erhaltene Danke: 1743
W11 x64 (Chrome, Edge)
Delphi 11 Pro, Oxygene, C# (VS 2022), JS/HTML, Java (NB), PHP, Lazarus
|
Verfasst: Mo 02.01.23 17:41
(Ich habe Daten per PN bekommen.)
Zwischen der von dir und mir kompilierten Version gibt es bei Virustotal schon deutliche Unterschiede:
Deine: www.virustotal.com/g...a87a535787/detection
Meine mit 10.4 kompiliert: www.virustotal.com/g...2b50b08f0e/detection
Meine mit 10.1 Update 2 kompiliert: www.virustotal.com/g...dde70cde7e/detection
Man sieht, dass bei 10.1 Update 2 auch Meldungen kommen, aber nicht so massiv wie bei deiner Exe. Zwischen den beiden Exen gibt es auch große Unterschiede. Vielleicht hast du einen anderen Updatestand, aber die Unterschiede sehen teilweise komisch aus. Leider habe ich mir die Hände verletzt, so dass ich nur mit einer Hand ein wenig tippen und ansonsten diktieren kann, so dass ich nicht so viel analysieren kann. Es mag aber durchaus sein, dass mit 10.1 ohne Update oder mit Update 1 etwas anderes heraus kommt und auch, dass da so viele Virenscanner anspringen. Das kann ich leider nicht testen.
Ich würde dir raten, Update 2 für Delphi 10.1 zu installieren oder es mit Delphi 10.4 Community auszuprobieren. Wenn bei dir bei 10.1 Update 2 oder mit 10.4 auch so viele Virenmeldungen kommen, stimmt da etwas nicht.
|
|
gerd33
Beiträge: 21
|
Verfasst: Mo 02.01.23 19:15
Hallo Jaenicke,
am liebsten waere es mir auch gewesen, ich hätte meine Festplatte komplett gelöscht und Windows 10 drauf gespielt. Das Problem ich hatte mal Win7 (die CD finde ich auch nicht mehr) und danach kam automatisch win 10 (damals kostenlos) drauf.
Aber habe mir aber vorgenommen dieses Jahr wirklich einen neuen Laptop zu kaufen. Mein alter (wo ich gerade schreibe) ist auch schon 10 Jahre alt.
Vielleicht löst das alle Probleme.
Danke für die saubere Datei, die ich gleich an meinen Freund weitergeleitet habe.
Achso, wenn man den virustotal link kopiert ist er noch für andere ersichtlich. Das wusste ich nicht, ich dachte, dass er das löscht.
Ich habe mir alle 3 Dateien angesehen. Mit Berlin 10.1 waren aber auch ein paar Meldungen dabei.
Hoffentlich ist das mit Deiner Hand nicht so schlimm und gute Besserung.
Nochmals besten Dank für Deine Mühe.
Gerd
|
|
Sinspin
Beiträge: 1334
Erhaltene Danke: 118
Win 10
RIO, CE, Lazarus
|
Verfasst: Mo 09.01.23 08:39
Hallo,
ich frage mich wie Du darauf kommst das dein System daran schuld sein könnte dass die exe von einigen Scannern als Virus erkannt wird. Solange da nicht 3/4 aller Scanner was sagen, würde ich mir da keinen Kopf machen.
Ich hatte schon einige Progamme die direkt beim compilieren von Avira als Virus erkannt wurden. Früher waren es oft die Indy Internet Komponenten. Jetzt sind es oft Komponenten die eingebetteten Binärcode haben.
Verwendest du Fremdkomponenten die nicht bei Delphi dabei sind?
_________________ Wir zerstören die Natur und Wälder der Erde. Wir töten wilde Tiere für Trophäen. Wir produzieren Lebewesen als Massenware um sie nach wenigen Monaten zu töten. Warum sollte unser aller Mutter, die Natur, nicht die gleichen Rechte haben?
|
|
gerd33
Beiträge: 21
|
Verfasst: Mo 09.01.23 09:11
Das mit dem System hat Gausi gesagt und vielleicht hat er auch recht ?
Zitat: |
Wenn es deutlich mehr sind (20 und mehr?), dann hast du ggf. ein Problem auf deinem System und solltest das angehen
|
Nein, ich neheme keine Fremdkomponenten her.
Ich nehme das web und den mediaplayer her.
Delphi-Quelltext 1: 2: 3: 4:
| uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, ExtCtrls, StdCtrls, Menus, MMSystem, buttons, ComCtrls, shellapi, MPlayer, jpeg, OleCtrls, SHDocVw; |
Gerd
|
|
jaenicke
Beiträge: 19288
Erhaltene Danke: 1743
W11 x64 (Chrome, Edge)
Delphi 11 Pro, Oxygene, C# (VS 2022), JS/HTML, Java (NB), PHP, Lazarus
|
Verfasst: Mo 09.01.23 12:36
|
|
Ralf Jansen
Beiträge: 4706
Erhaltene Danke: 991
VS2010 Pro, VS2012 Pro, VS2013 Pro, VS2015 Pro, Delphi 7 Pro
|
Verfasst: Mo 09.01.23 12:51
jaenicke hat folgendes geschrieben : | Avira bzw. Antivir war früher ein zuverlässiger False Positive Generator. Ich habe da früher ständig False Positives gemeldet. Heute ist es deutlich besser geworden, taucht aber trotzdem häufig in dem Zusammenhang auf. |
Das betraff vor ~ einer Dekade fast alle AVs. Da wurde jede bisher unbekannte Signatur als ein potentielles Problem gemeldet. Wenn man ein neues Kompilat hatte mußte man warten bis eine gewisse Verbreitung erreicht war(oder allen AVs Bescheid sagen was eher aufwendig war) und das beim AV Hersteller dann unter "bekannt" läuft und nicht nur aus diesem Grund als potentielles Problem gemeldet wurde. Das konnte man eine zeitlang durch Code Signing umgehen aber irgendwann ist denen wohl aufgefallen das bezüglich dieser Probleme Code Signing auch nur Schlangenöl ist und kein guter Indikator und haben dieses Verhalten dann weitestgehend gestrichen.
|
|
Gausi
Beiträge: 8541
Erhaltene Danke: 475
Windows 7, Windows 10
D7 PE, Delphi XE3 Prof, Delphi 10.3 CE
|
Verfasst: Mo 09.01.23 13:09
Da schlagen mittlerweile auch 32 Scanner Alarm. Von daher wird das eine Kombination der verwendeten (ggf. veralteten?) Komponenten sein, die die Probleme verursachen. Ein Problem auf Gerd's System würde ich damit trotz der sehr vielen Meldungen für eher unwahrscheinlich halten, wenn das auch bei deinem Kompilat auftritt.
Oder ist der Quellcode vielleicht wirklich bösartig?
_________________ We are, we were and will not be.
|
|
Sinspin
Beiträge: 1334
Erhaltene Danke: 118
Win 10
RIO, CE, Lazarus
|
Verfasst: Mo 09.01.23 17:15
jaenicke hat folgendes geschrieben : | Sinspin hat folgendes geschrieben : | ich frage mich wie Du darauf kommst das dein System daran schuld sein könnte dass die exe von einigen Scannern als Virus erkannt wird. Solange da nicht 3/4 aller Scanner was sagen, würde ich mir da keinen Kopf machen. | Dass (aktuell) 38 von 70 Scannern einen Virus anzeigen (nicht nur Heuristik!!), ist aber nicht normal für False Positives, ebenso wenig dass diverse namhafte Anbieter darunter sind. |
Du hast recht, das ist beachtlich. Auch die von dir erzeugte Version haut ordentlich rein. Was dann aber bedeutet das es nicht sein Rechner sein kann.
Ich denke Gausi liegt da schon näher dran.
Was mich ein bisschen wundert, Virustotal zeigt da unter Details was an was nicht kommen sollte wenn Du das erzeugt hast. Du hast sicher keinen Packer verwendet?
Zitat: | PEiD packer BobSoft Mini Delphi -> BoB / BobSoft |
Oder kommt das durch dich? Ist ja nur bei den beiden Uploads von dir.
_________________ Wir zerstören die Natur und Wälder der Erde. Wir töten wilde Tiere für Trophäen. Wir produzieren Lebewesen als Massenware um sie nach wenigen Monaten zu töten. Warum sollte unser aller Mutter, die Natur, nicht die gleichen Rechte haben?
|
|
jaenicke
Beiträge: 19288
Erhaltene Danke: 1743
W11 x64 (Chrome, Edge)
Delphi 11 Pro, Oxygene, C# (VS 2022), JS/HTML, Java (NB), PHP, Lazarus
|
Verfasst: Mo 09.01.23 22:22
Traurig daran:
Neu kompiliert erkennen es nur noch 10 Scanner, obwohl kaum Unterschiede existieren...
Da bleibt wirklich nur, die Exe überall als False Positive zu melden.
|
|
gerd33
Beiträge: 21
|
Verfasst: Di 10.01.23 13:55
Warum das bei mir so viele Fehler auslöst würde ich auch gerne wissen.
Bei jaenicke hat es mit Berlin 4.1 fehlerfrei funktioniert.
Ich kaufe mir bald einen neuen Laptop dann probiere ich es nochmal aus.
Erschreckend gross finde ich auch die exe Datei. Aber mir hat mal jemand gesagt, dass es dafür keine dll Dateien wie bei C gibt.
Einmal ist die exe Datei etwas groesser beim compilieren (nicht nur ein paar bytes sondern schon ordentlich) manchmal bisschen weniger.
Bei 2 Unterschiedlichen Delphi Versionen.
Gerd
|
|
Sinspin
Beiträge: 1334
Erhaltene Danke: 118
Win 10
RIO, CE, Lazarus
|
Verfasst: Di 10.01.23 17:24
gerd33 hat folgendes geschrieben : | Warum das bei mir so viele Fehler auslöst würde ich auch gerne wissen.
Bei jaenicke hat es mit Berlin 4.1 fehlerfrei funktioniert. |
Sach mal, bist du blind oder schwer von begriff???
Es ist ganz klar und deutlich in den Links zu sehen dass auch die Version die jaenicke erzeugt hat eine große Anzahl von Virus Erkennungen bekommen hat. Es liegt also NICHT AN DEINEM RECHNER.
Es ist nunmal so dass unterschiedliche Versionen von Delphi unterschiedlich große exe'en erzeugen.
Da du aber offensichtlich Informationsresistent bist, bringt es nichts da jetzt näher drauf einzugehen.
_________________ Wir zerstören die Natur und Wälder der Erde. Wir töten wilde Tiere für Trophäen. Wir produzieren Lebewesen als Massenware um sie nach wenigen Monaten zu töten. Warum sollte unser aller Mutter, die Natur, nicht die gleichen Rechte haben?
|
|
gerd33
Beiträge: 21
|
Verfasst: Di 10.01.23 17:43
Hallo Sinspin,
da war ich wohl blind.
Ich sehe gerade, dass die mit 10.4 kompilierten source Dateien von jaenicke auch Fehler haben. Dachte wirklich, die sei i. O.
Puh, das ist ja wirklich ärgerlich. Besonders für die Delphi-Fans.
Aber trotzdem kaufe ich mir einen neuen Laptop, der alte ist schon 10 Jahre alt.
Vielleicht mal den embacadero Firma auf das Problem aufmerksam machen, statt die ganzen Virencanner das Problem melden.
Schönen Abend
Gerd
|
|
Sinspin
Beiträge: 1334
Erhaltene Danke: 118
Win 10
RIO, CE, Lazarus
|
Verfasst: Di 10.01.23 21:41
Das ist ja kein neues Problem. Delphi scheint bei Vierenschreibern schon lange sehr beliebt zu sein.
Somit landen Programme die die gleichen Biblioteken benutzen halt auch unter Viren, auch wenn es keine sind.
Unit MPlayer scheint in vielen Viren verwendet zu werden. Haste die drinne gibt es überdurchschnittlich oft Probleme.
_________________ Wir zerstören die Natur und Wälder der Erde. Wir töten wilde Tiere für Trophäen. Wir produzieren Lebewesen als Massenware um sie nach wenigen Monaten zu töten. Warum sollte unser aller Mutter, die Natur, nicht die gleichen Rechte haben?
|
|
|