forums.wsusoffline.net

[aker]

Sagt Euch das was?

Beim Downloadversuch bekomme ich diese Infoseite (Virus auf der Seite?) angezeigt. ???

_____________________________________________________________________________
VIRUS DETECTION
_____________________________________________________________________________
Computer virus was detected from the contents of this web page.
This page is not displayed to prevent computer virus from infecting your computer.
This message inform that the connected web server may be infected with virus.
And this message does not inform that your computer is infected.

DETECTION NAME: Gen:Variant.Symmi.37376
_____________________________________________________________________________

Danke für alle Infos!

[aker]

Genau diese Meldung wird mir auch angezeigt.
Es handelt sich bei der Meldung eindeutig um einen Fehlalarm. Manche Virenscanner erkennen alle mit der Scriptsprache AutoIt geschriebenen Programme als Virus. Dies ist auch hier der Fall (UpdateInstaller.exe).
Bitte wsusou mit deaktiviertem Webschutz herunterladen (danach natürlich wieder einschalten) / oder eine Ausnahme für http://download.wsusoffline.net/ definieren und auch den Ordner von wsusou vom Scan ausschließen (Alternativ reicht hier auch eine Ausnahme auf .\client\UpdateInstaller.exe).

@WSUSUpdateAdmin
Wäre es möglich wieder den AutoIt-Compiler 3.3.8.1 zu verwenden, da dort kein False Positive gemeldet wird?

Viele Grüße

[WSUSUpdateAdmin]

Moin!

F-Secure hat auf Anfrage eines WOU-Benutzers bereits bestätigt, dass es sich um ein "false positive" handelt und aktualisierte AV-Signaturen angekündigt.
Bleiben laut https://www.virustotal.com/de/file/3a6d ... /analysis/ (bzw. http://download.wsusoffline.net/wsusoff ... stotal.pdf) noch:

• Ad-Aware
• Antiy-AVL
• BitDefender
• Emsisoft
• GData
• Ikarus
• Jiangmin
• McAfee
• MicroWorld-eScan
• Panda
• TrendMicro-HouseCall

Ich bitte Euch, die Hersteller zu kontaktieren, um die Unbedenklichkeit von http://download.wsusoffline.net/wsusoffline89.zip attestieren zu lassen.

@WSUSUpdateAdmin
Wäre es möglich wieder den AutoIt-Compiler 3.3.8.1 zu verwenden, da dort kein False Positive gemeldet wird?

Nein, das geht wegen "@OSVersion" eigentlich nicht mehr.
Ich denke aber darüber nach, die Kompilate aus den Release-Archiven zu entfernen und die Skripte erst "vor Ort" zu übersetzen - allerdings würden die Virenwarnungen dann auch nicht verschwinden, sondern eben beim Kompilieren auftreten...

Gruß
Torsten

[WSUSUpdateAdmin]

Hab' auch noch einen Startseiteneintrag gemacht.
GT

[skate7]

Vielen Dank Euch!!!

Mit dem neuen Signaturupdate heute ist alles wieder normal (und damit super gut) gelaufen.

Macht weiter so! Danke!

[aker]

Update:
Laut aktualisierter Analyse fehlen noch:

• Antiy-AVL
• Ikarus
• Jiangmin
• Norman
• TrendMicro-HouseCall

Viele Grüße

[boco]

Versucht mal die Skripte mit "/comp 0" statt "/comp 4" zu übersetzen. Das Resultat ist zwar größer, aber zumindest mein avast hält die Füße jetzt still.

Soweit ich weiß verwendet AutoIt ein eigenes Verfahren (Jon) zur Komprimierung (zusätzlich zu UPX, einem seit je her "problematischen" Packer). Die Komprimierung mögen viele AVs nicht.

[WSUSUpdateAdmin]

Moin!

Versucht mal die Skripte mit "/comp 0" statt "/comp 4" zu übersetzen. Das Resultat ist zwar größer, aber zumindest mein avast hält die Füße jetzt still.

Eine sehr gute Idee.
http://trac.wsusoffline.net/browser/trunk (r555).

Soweit ich weiß verwendet AutoIt ein eigenes Verfahren (Jon) zur Komprimierung (zusätzlich zu UPX, einem seit je her "problematischen" Packer). Die Komprimierung mögen viele AVs nicht.

Aus demselben Grund hatte ich UPX für die Kompilate nie eingesetzt...

Danke & Gruß
Torsten

[harry]

Leider wohl auch kein "Allheilmittel".

Denn jetzt meldet sich Avira wieder (r555)
https://www.virustotal.com/en/file/b398 ... 390312597/
https://www.virustotal.com/en/file/ebfb ... 390313396/

Ich habe die beiden EXE-Dateien (Verdacht false positive) aber schon eingeschickt, sollte also bald geklärt sein (Antwortzeit bei früheren Versionen ca. 4 Stunden + Update der Signaturen).

[edit] 17:15
Thank you for your email to Avira's virus lab.
Tracking number: INC01607371.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
27977482 UpdateGenerator.exe 932 KB FALSE POSITIVE
27977483 UpdateInstaller.exe 907.5 KB FALSE POSITIVE
[/edit]
[edit 2] 21:19
Mit aevdf.dat, v 7.11.126.16 findet keine Erkennung als TR/Dropper.Gen mehr statt.
[/edit]