Heuristischer Fund - Ps2.bat (antivir)

#1 Hi,
Ich hoffe ihr könnt mir ein wenig weiterhelfen.
Mein Antivir hat mir gerade während eines Updates
einen "heuristischen Fund" gemeldet, und zwar
C\windows\system32\ps2.bat
Ich habe die Datei in Quarantäne gesteckt und das
Netz durchsucht. Es gibt keine Einträge für die Datei,
mit Ausnahme eines englischen Forums, wo behauptet
wird, die Datei gehöre zu der HP (Hewlett Packard)
Installation, die in einem HP-Computer eben drauf ist.

EDIT: Beim Suchlauf mit Antivir wurde die Datei nochmals
gefunden, diesmal in C:\hp\drivers\keyboard\PS2.bat

Wenn ich das richtig verstehe, geht es in beiden Fällen
um Dateiendungen (verschleiert/doppelt/falsch/etc.)

EDIT:

Insgesamt 5 Treffer (!)

Nur in verschiedenen Ordnern...

Dazugesellt haben sich 2 weitere Bats in dem Ordner
System Volume Information auf Partition 2 mit der
Sicherungskopie von Windows :'(

A0066999.bat
A0066998.bat

Wisst ihr mehr?

Mfg Polygon

EDIT: Hier der wichtige Teil vom Log...

6 der Dateien sind im Report erwähnt, die erste Datei hatte der Guard gefunden..

REPORT (unterer Teil):

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hp\drivers\keyboard\PS2.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f2406d.qua' verschoben!
C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\ps2.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f244d8.qua' verschoben!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
D:\I386\Drv\APP27185\pav_ps2\PS2.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f245d9.qua' verschoben!
D:\I386\Drv\APP27185\pre_ps2\PS2.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f245dd.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0066998.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f045d3.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0066999.bat
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f045d6.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 31. Januar 2007 08:30
Benötigte Zeit: 27:26 min

Der Suchlauf wurde vollständig durchgeführt.

POPUP DES GUARD:

In der Datei 'C:\WINDOWS\system32\ps2.bat'
wurde ein Virus oder unerwünschtes Programm 'HEUR-DBLEXT/Crypted' [HEUR-DBLEXT/Crypted] gefunden.

#2 Polygon

das Thema ist bestimmt gefundenes Fressen fuer das Antivirus-Forum - da bist du gleich an der Quelle - berichte dann, wenn moeglich hier .

edit....
http://forum.antivir-pe.de/index.php
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Das sollte ein Fehlalarm sein, der mit dem naechsten Engineupdate behoben sein wird. Die Datei sollte von HP sein.....
__________
MfG Ralf
SEO-Spam Hunter

#4 Habs probiert,
machs heute abend nochmal:


Information
Zur Zeit ist eine Registrierung neuer Benutzer nicht möglich - bitte versuchen Sie es später noch einmal.

» Bitte benutzen Sie die ZURÜCK-Funktion Ihres Browsers.


Danke aber für den Link,
den Thread bitte noch stehen lassen,
ich informiere dann, was sich getan hat..

Ich gehe auch davon aus, dass das treiberdateien
waren, die antivir irgendwie missfallen haben

Gegenteilige Meinungen bitte nicht verschweigen :'(

#5 Das von Sabina verlinkte Forum ist bereits seit einem Jahr geschlossen. Das neue Antivir Forum findest du hier http://forum.antivir-pe.de/index.php Nutze dort einmal die Boardsuche. Das Thema wurde dort schon behandelt...
__________
MfG Ralf
SEO-Spam Hunter

#6 Danke raman!

Das ist wirklich seltsam..

Der Fehler sollte laut Antivir (verlinktes Forum) behoben sein, und ich bin mir ziemlich sicher, dass die Daten clean sein sollten...

Dennoch behauptet AntiVir seit dem Update (heute, 1.2.'07), dass alle Betroffenen Dateien

"TR/Vapiniol.A" sind... (Trojaner..)

Ich habe die gerade aus der Quarantäne entlassen und lasse die mit einem erneuten Scan gerade alle wieder reinstecken, vielleicht findet sich ja was
Neues..

Sind wahrscheinlich aber alles nur Keyboard Treiber / Partitionsdateien..

Scheint nicht ganz behoben zu sein, denke ich..

Oder soll ich das jetzt einfach mal ernstnehmen?

Es heisst ja nicht "Die Datei ist evtl. der Trojaner XYZ" sondern die Datei IST der Trojaner XYZ.... Oha, ich glaube bei Leuten die alles sofort löschen hat AntiVir jetzt richtig einen Stein im Brett??

Naja, ich freue mich immer über neue Kommentare, die Licht bringen...

Gruß Polygon

EDIT: In der AntiVir Datenbank gibt es für diesen Trojaner nicht einmal eine Beschreibung..

Ich habe den 2ten Suchlauf durchgezogen

Er hat jetzt 15 Dateien in Quarantäne gesteckt...
8 Davon waren die wiederhergestellten alten Dateien..

Sobald ich verstanden habe, wie das funktionieren soll, werde ich die wohl einschicken .. gerade verständlich sind die Guides nicht, vielleicht schaffe ichs ja einen smtp: server einzutragen - wünscht mir glück, hier der report..

EDIT: Ist im AntiVir Konfigurationsmenü (Hauptprogramm | F8 | Expertenmodus | Allgemeines | Email) ein SMTP Server eingetragen, so kann der Fund über die Quarantänefunktion im Hauptprogramm gesendet werden.

Hat das Folgen für mich, wenn ich da meine Emailadresse und meinen Server eintrage? Abgesehen davon, dass ich das alles verschicken kann
Ist der Service für die Gratisversion PE-Classic zugänglich?
Reicht es die alle per Button zu verschicken, oder wollen die eine Erklärung?

Sorry, ist etwas Offtopic, aber wäre nett, wenn jemand, der gerade hier ist, einen kleinen Kommentar dazu abgäbe, oder mich auf eine Faq verweist, die ich gerade nicht sehe

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\ps2.EXE
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a3e1.qua' verschoben!
C:\WINDOWS\system32\ps2.EXE
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A

Die Registry wurde durchsucht ( 22 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hp\drivers\keyboard\PS2.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a4b0.qua' verschoben!
C:\hp\drivers\keyboard\PS2.EXE
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a4b3.qua' verschoben!
C:\WINDOWS\system32\ps2.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a8cc.qua' verschoben!
C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\ps2.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a902.qua' verschoben!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
D:\I386\Drv\APP27185\pav_ps2\PS2.EXE
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a9f5.qua' verschoben!
D:\I386\Drv\APP27185\pav_ps2\PS2.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a9f8.qua' verschoben!
D:\I386\Drv\APP27185\pre_ps2\PS2.EXE
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a9fa.qua' verschoben!
D:\I386\Drv\APP27185\pre_ps2\PS2.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f3a9fc.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0066998.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9e5.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0066999.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9e6.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0067141.EXE
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9e8.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0067142.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9ea.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0067143.EXE
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9ec.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP120\A0067144.bat
[FUND] Ist das Trojanische Pferd TR/Vapiniol.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1a9ee.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 1. Februar 2007 09:50
Benötigte Zeit: 27:03 min

Der Suchlauf wurde vollständig durchgeführt.

5855 Verzeichnisse wurden überprüft
357655 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
15 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
357640 Dateien ohne Befall
13605 Archive wurden durchsucht
2 Warnungen
1 Hinweise

#7 Polygon

es ist kein Problem, wenn du email und server angibst.
dau kannst die dateien auch hier pruefen lassen

--------------------------

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html


sandbox.norman
http://sandbox.norman.no/live_4.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 War auf der Seite, nun frage ich mich aber:
Reicht es wenn ich die quarantänedateien da einfüge, oder muss ich für den test restaurieren?

Die *.qua sind nämlich sauber (habe ein paar getestet)

Des weiteren habe ich meine Emailadresse bei Antivir eingetragen und frage mich nun, ob ich denen alle 15 Meldungen schicken soll Ist das mit der gratisversion von Antivir drin?

Grüße Polygon

EDIT: Bin einigermaßen ratlos..
Habe eine Datei restauriert.. Auf Gefahr..
Habe sie hochgeladen bei virus total..

was ist?

nichts ist..

Selbst AntiVir (!) beklagt sich nicht..

Ich bin etwas verwirrt..


EDIT: Heute abend ein neues Update gezogen..

Damit hat sich das von eben auch wieder geklärt

Kann man das direkt verlinken?

http://forum.antivir-pe.de/thread.php?threadid=17915

Danke an euch alle, ohne euch wäre ich wohl immer noch am verzweifeln