Heuristischer Fund - Ps2.bat (antivir)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
31.01.2007, 08:03
Member
Beiträge: 33 |
||
|
||
31.01.2007, 22:34
Ehrenmitglied
Beiträge: 29434 |
#2
Polygon
das Thema ist bestimmt gefundenes Fressen fuer das Antivirus-Forum - da bist du gleich an der Quelle - berichte dann, wenn moeglich hier . edit.... http://forum.antivir-pe.de/index.php __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.01.2007, 22:39
Moderator
Beiträge: 7805 |
#3
Das sollte ein Fehlalarm sein, der mit dem naechsten Engineupdate behoben sein wird. Die Datei sollte von HP sein.....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.02.2007, 07:32
Member
Themenstarter Beiträge: 33 |
#4
Habs probiert,
machs heute abend nochmal: Information Zur Zeit ist eine Registrierung neuer Benutzer nicht möglich - bitte versuchen Sie es später noch einmal. » Bitte benutzen Sie die ZURÜCK-Funktion Ihres Browsers. Danke aber für den Link, den Thread bitte noch stehen lassen, ich informiere dann, was sich getan hat.. Ich gehe auch davon aus, dass das treiberdateien waren, die antivir irgendwie missfallen haben Gegenteilige Meinungen bitte nicht verschweigen :'( |
|
|
||
01.02.2007, 08:19
Moderator
Beiträge: 7805 |
#5
Das von Sabina verlinkte Forum ist bereits seit einem Jahr geschlossen. Das neue Antivir Forum findest du hier http://forum.antivir-pe.de/index.php Nutze dort einmal die Boardsuche. Das Thema wurde dort schon behandelt...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.02.2007, 09:30
Member
Themenstarter Beiträge: 33 |
#6
Danke raman!
Das ist wirklich seltsam.. Der Fehler sollte laut Antivir (verlinktes Forum) behoben sein, und ich bin mir ziemlich sicher, dass die Daten clean sein sollten... Dennoch behauptet AntiVir seit dem Update (heute, 1.2.'07), dass alle Betroffenen Dateien "TR/Vapiniol.A" sind... (Trojaner..) Ich habe die gerade aus der Quarantäne entlassen und lasse die mit einem erneuten Scan gerade alle wieder reinstecken, vielleicht findet sich ja was Neues.. Sind wahrscheinlich aber alles nur Keyboard Treiber / Partitionsdateien.. Scheint nicht ganz behoben zu sein, denke ich.. Oder soll ich das jetzt einfach mal ernstnehmen? Es heisst ja nicht "Die Datei ist evtl. der Trojaner XYZ" sondern die Datei IST der Trojaner XYZ.... Oha, ich glaube bei Leuten die alles sofort löschen hat AntiVir jetzt richtig einen Stein im Brett?? Naja, ich freue mich immer über neue Kommentare, die Licht bringen... Gruß Polygon EDIT: In der AntiVir Datenbank gibt es für diesen Trojaner nicht einmal eine Beschreibung.. Ich habe den 2ten Suchlauf durchgezogen Er hat jetzt 15 Dateien in Quarantäne gesteckt... 8 Davon waren die wiederhergestellten alten Dateien.. Sobald ich verstanden habe, wie das funktionieren soll, werde ich die wohl einschicken .. gerade verständlich sind die Guides nicht, vielleicht schaffe ichs ja einen smtp: server einzutragen - wünscht mir glück, hier der report.. EDIT: Ist im AntiVir Konfigurationsmenü (Hauptprogramm | F8 | Expertenmodus | Allgemeines | Email) ein SMTP Server eingetragen, so kann der Fund über die Quarantänefunktion im Hauptprogramm gesendet werden. Hat das Folgen für mich, wenn ich da meine Emailadresse und meinen Server eintrage? Abgesehen davon, dass ich das alles verschicken kann Ist der Service für die Gratisversion PE-Classic zugänglich? Reicht es die alle per Button zu verschicken, oder wollen die eine Erklärung? Sorry, ist etwas Offtopic, aber wäre nett, wenn jemand, der gerade hier ist, einen kleinen Kommentar dazu abgäbe, oder mich auf eine Faq verweist, die ich gerade nicht sehe Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\ps2.EXE [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a3e1.qua' verschoben! C:\WINDOWS\system32\ps2.EXE [FUND] Ist das Trojanische Pferd TR/Vapiniol.A Die Registry wurde durchsucht ( 22 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HP_PAVILION> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hp\drivers\keyboard\PS2.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a4b0.qua' verschoben! C:\hp\drivers\keyboard\PS2.EXE [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a4b3.qua' verschoben! C:\WINDOWS\system32\ps2.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a8cc.qua' verschoben! C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\ps2.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a902.qua' verschoben! Beginne mit der Suche in 'D:\' <HP_RECOVERY> D:\I386\Drv\APP27185\pav_ps2\PS2.EXE [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a9f5.qua' verschoben! D:\I386\Drv\APP27185\pav_ps2\PS2.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a9f8.qua' verschoben! D:\I386\Drv\APP27185\pre_ps2\PS2.EXE [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a9fa.qua' verschoben! D:\I386\Drv\APP27185\pre_ps2\PS2.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a9fc.qua' verschoben! D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0066998.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9e5.qua' verschoben! D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0066999.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9e6.qua' verschoben! D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0067141.EXE [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9e8.qua' verschoben! D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0067142.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9ea.qua' verschoben! D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0067143.EXE [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9ec.qua' verschoben! D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0067144.bat [FUND] Ist das Trojanische Pferd TR/Vapiniol.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9ee.qua' verschoben! Ende des Suchlaufs: Donnerstag, 1. Februar 2007 09:50 Benötigte Zeit: 27:03 min Der Suchlauf wurde vollständig durchgeführt. 5855 Verzeichnisse wurden überprüft 357655 Dateien wurden geprüft 15 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 15 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 357640 Dateien ohne Befall 13605 Archive wurden durchsucht 2 Warnungen 1 Hinweise Dieser Beitrag wurde am 01.02.2007 um 10:28 Uhr von Polygon editiert.
|
|
|
||
01.02.2007, 11:29
Ehrenmitglied
Beiträge: 29434 |
#7
Polygon
es ist kein Problem, wenn du email und server angibst. dau kannst die dateien auch hier pruefen lassen -------------------------- virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html sandbox.norman http://sandbox.norman.no/live_4.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2007, 20:45
Member
Themenstarter Beiträge: 33 |
#8
War auf der Seite, nun frage ich mich aber:
Reicht es wenn ich die quarantänedateien da einfüge, oder muss ich für den test restaurieren? Die *.qua sind nämlich sauber (habe ein paar getestet) Des weiteren habe ich meine Emailadresse bei Antivir eingetragen und frage mich nun, ob ich denen alle 15 Meldungen schicken soll Ist das mit der gratisversion von Antivir drin? Grüße Polygon EDIT: Bin einigermaßen ratlos.. Habe eine Datei restauriert.. Auf Gefahr.. Habe sie hochgeladen bei virus total.. was ist? nichts ist.. Selbst AntiVir (!) beklagt sich nicht.. Ich bin etwas verwirrt.. EDIT: Heute abend ein neues Update gezogen.. Damit hat sich das von eben auch wieder geklärt Kann man das direkt verlinken? http://forum.antivir-pe.de/thread.php?threadid=17915 Danke an euch alle, ohne euch wäre ich wohl immer noch am verzweifeln Dieser Beitrag wurde am 01.02.2007 um 22:47 Uhr von Polygon editiert.
|
|
|
||
Ich hoffe ihr könnt mir ein wenig weiterhelfen.
Mein Antivir hat mir gerade während eines Updates
einen "heuristischen Fund" gemeldet, und zwar
C\windows\system32\ps2.bat
Ich habe die Datei in Quarantäne gesteckt und das
Netz durchsucht. Es gibt keine Einträge für die Datei,
mit Ausnahme eines englischen Forums, wo behauptet
wird, die Datei gehöre zu der HP (Hewlett Packard)
Installation, die in einem HP-Computer eben drauf ist.
EDIT: Beim Suchlauf mit Antivir wurde die Datei nochmals
gefunden, diesmal in C:\hp\drivers\keyboard\PS2.bat
Wenn ich das richtig verstehe, geht es in beiden Fällen
um Dateiendungen (verschleiert/doppelt/falsch/etc.)
EDIT:
Insgesamt 5 Treffer (!)
Nur in verschiedenen Ordnern...
Dazugesellt haben sich 2 weitere Bats in dem Ordner
System Volume Information auf Partition 2 mit der
Sicherungskopie von Windows :'(
A0066999.bat
A0066998.bat
Wisst ihr mehr?
Mfg Polygon
EDIT: Hier der wichtige Teil vom Log...
6 der Dateien sind im Report erwähnt, die erste Datei hatte der Guard gefunden..
REPORT (unterer Teil):
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hp\drivers\keyboard\PS2.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f2406d.qua' verschoben!
C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\ps2.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f244d8.qua' verschoben!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
D:\I386\Drv\APP27185\pav_ps2\PS2.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f245d9.qua' verschoben!
D:\I386\Drv\APP27185\pre_ps2\PS2.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f245dd.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0066998.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f045d3.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0066999.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f045d6.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 31. Januar 2007 08:30
Benötigte Zeit: 27:26 min
Der Suchlauf wurde vollständig durchgeführt.
POPUP DES GUARD:
In der Datei 'C:\WINDOWS\system32\ps2.bat'
wurde ein Virus oder unerwünschtes Programm 'HEUR-DBLEXT/Crypted' [HEUR-DBLEXT/Crypted] gefunden.