rainer_xxl Posted October 23, 2007 Share Posted October 23, 2007 Zur Zeit läuft DVBViewer Pro bei mir nicht, da F-Prot die regfilter.exe sofort löscht. Das System ist ein XP Pro mit einem Q6600 der Virenscanner ist auf dem aktuellsten Stand das ganze System ist frisch aufgesetzt. Daraufhin habe ich den Online Scanner von VirusTotal die Datei prüfen lassen drei Scanner finden Schadsoftware hier das Ergebnis im einzelnen: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.23.0 2007.10.22 - AntiVir 7.6.0.27 2007.10.22 - Authentium 4.93.8 2007.10.22 - Avast 4.7.1051.0 2007.10.22 - AVG 7.5.0.488 2007.10.22 - BitDefender 7.2 2007.10.22 - CAT-QuickHeal 9.00 2007.10.22 - ClamAV 0.91.2 2007.10.22 - DrWeb 4.44.0.09170 2007.10.22 - eSafe 7.0.15.0 2007.10.22 suspicious Trojan/Worm eTrust-Vet 31.2.5230 2007.10.22 - Ewido 4.0 2007.10.21 - FileAdvisor 1 2007.10.22 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.22 W32/NewMalware-Rootkit-PX-based!Maximus F-Secure 6.70.13030.0 2007.10.22 - Ikarus T3.1.1.12 2007.10.22 - Kaspersky 7.0.0.125 2007.10.22 - McAfee 5146 2007.10.22 - Microsoft 1.2908 2007.10.22 - NOD32v2 2607 2007.10.22 - Norman 5.80.02 2007.10.22 - Panda 9.0.0.4 2007.10.22 - Prevx1 V2 2007.10.22 Heuristic: Suspicious File With Persistence Rising 19.46.02.00 2007.10.22 - Sophos 4.22.0 2007.10.22 - Sunbelt 2.2.907.0 2007.10.20 - Symantec 10 2007.10.22 - TheHacker 6.2.9.104 2007.10.22 - VBA32 3.12.2.4 2007.10.22 - VirusBuster 4.3.26:9 2007.10.22 - Quote Link to comment
Griga Posted October 23, 2007 Share Posted October 23, 2007 Zur Zeit läuft DVBViewer Pro bei mir nicht, da F-Prot die regfilter.exe sofort löscht. regfilter.exe ist ein relativ unbedeutendes Utility, um DirectShow-Filter im Unterordner \Filters notfalls manuell registrieren zu können, und für den Betrieb des DVBViewer Pro nicht erforderlich. Deine Angaben sind nicht ausführlich genug, um erkennen zu können, wie das Problem entsteht. Es sind weitere Informationen nötig, insbesondere auch die Support.zip: http://www.DVBViewer.info/forum/index.php?showtopic=13160 Das Registrieren der Filter kann, falls erforderlich, auch auf andere Weise durchgeführt werden, z.B. mit dem RadLight Filter Manager. Da sich die Virenscanner offensichtlich nicht einig sind, ob hier etwas vorliegt und um was es sich handelt, ist von einem Irrtum auszugehen. Quote Link to comment
rainer_xxl Posted October 23, 2007 Author Share Posted October 23, 2007 regfilter.exe ist ein relativ unbedeutendes Utility, um DirectShow-Filter im Unterordner \Filters notfalls manuell registrieren zu können, und für den Betrieb des DVBViewer Pro nicht erforderlich. Deine Angaben sind nicht ausführlich genug, um erkennen zu können, wie das Problem entsteht. Es sind weitere Informationen nötig, insbesondere auch die Support.zip: http://www.DVBViewer.info/forum/index.php?showtopic=13160 Das Registrieren der Filter kann, falls erforderlich, auch auf andere Weise durchgeführt werden, z.B. mit dem RadLight Filter Manager. Da sich die Virenscanner offensichtlich nicht einig sind, ob hier etwas vorliegt und um was es sich handelt, ist von einem Irrtum auszugehen. Danke erst mal für die Antwort. Beim installieren von DVBViewer Pro erkennt F-Prot einen Virus und stellt das Programm regfilter.exe unter Quarantäne es verhindert also schon beim installieren die Ausführung. Leider konnte ich in der kürze der Zeit nur noch testen ob der DVBViewer überhaupt läuft. Dabei konnte ich nur noch feststellen, dass der Ton funktioniert, aber kein Bild erscheint. Leider bin ich jetzt beruflich bis zum Wochenende unterwegs, so das ich das Problem erst dann weiter verfolgen kann. Deshalb auch die zu kurze Beschreibung. Wichtig ist mir aber vor allem zu klären ob es sich wirklich um einen Virus bzw. Malware handelt, die dem Paket von DVBViewer Pro beiliegt und mit der Info wollte ich nicht warten. Quote Link to comment
Lars_MQ Posted October 23, 2007 Share Posted October 23, 2007 da alle das gleiche setup aus der membersarea haben und das schon seit ein paar wochen draussen ist, würde sicherlich das forum überlaufen mit virenmeldungen, wenn dem so wäre. Ich gehe von einer false positiv aus. Quote Link to comment
BodoG Posted November 1, 2007 Share Posted November 1, 2007 da alle das gleiche setup aus der membersarea haben und das schon seit ein paar wochen draussen ist, würde sicherlich das forum überlaufen mit virenmeldungen, wenn dem so wäre. Ich gehe von einer false positiv aus. Leider meint F-Prot Antivirus v.6.0.8.0 auch auf meinem System, dass regfilter.exe "W32/NewMalware-Rootkit-PX-based!Maximus" enthält und stellt die Datei unter Quarantäne. Wenn ich richtig verstanden habe, greift DVBViewer selbst *nicht* auf regfilter.exe zu? Nach den beruhigenden Meinungen hier hatte ich die Datei nämlich aus der Quarantäne herausgenommen und F-Prot angewiesen, sie bei zukünftigen Scans auszuschliessen. Am 30.10. habe ich das update CoreAVC pro 1.6 runtergeladen und installiert. Kurze Zeit später meldete F-Prot, dass in der Systemwiederherstellung C:\System Volume\_restore{... eine Datei A0006425.exe gefunden worden sei, die ebenfalls W32/NewMalware-Rootkit-PX-based!Maximus enthalten soll. Ich habe regfilter.exe mal durch http://virusscan.jotti.org/de/ scannen lassen: dort wurde sie zumindest als verdächtig erkannt, vor allem, weil sie durch einen ungewöhnlichen Packer gepackt sei! Ich will hier nicht unnötig Pferde scheu machen, habe mich aber nach längerer Überlegung doch entschlossen, meine Erfahrung hier zu posten. Zugegebenermassen habe ich von Malware, Rootkits usw. kaum Ahnung. Die Viren der 90er Jahre waren jedenfalls einfacher zu bekämpfen. support.zip Quote Link to comment
Moses Posted November 1, 2007 Share Posted November 1, 2007 *g* die Systemwiederherstellung speichert alle möglichen Dateien.. die "A0006425.exe" ist sehr wahrscheinlich nichts anderes als die (aus welchen Gründen auch immer) von der Systemwiederherstellung unkenntlich gemachte regfilter.exe... Wenn du einen echten Virus hast und die Systemwiederherstellung an ist, dann musst du erstmal sehen, was da los ist... auf einem Rechner hatte ich dadurch mal über 2Millionen Funde.. *g* Ist halt klar, wenn einfach alles x-mal auf der Festplatte liegt.. Laufzeit-Packer werden von manchen Sicherheitstools leider unter Generalverdacht gestellt, da es für Viren/Würmer/Trojaner der einfachste Weg ist nicht mehr gefunden zu werden... das bekannte böse Tool muss man einfach nur packen lassen und schon wird es von dem meisten Kram nicht mehr gefunden. Daher behilft man sich mit solchen Methoden... das spricht allerdings eher gegen die Qualität der Scanner als für die Gefährlichkeit solcher Packer die eigentlich durchaus sinnvoll sind, besonders wenn man Sachen über das Internet vertreibt. Auch wenn es einem die Brandbreite-Schlacht der Provider so aussehen lässt, ist Traffic halt immer noch nicht kostenlos. Quote Link to comment
BodoG Posted November 1, 2007 Share Posted November 1, 2007 O.k., danke für Deine Antwort. Ich werde das mal beobachten. Sollte wieder der "Maximus" in der Systemwiederherstellung gemeldet werden, werde ich versuchen, den mit der regfilter.exe zu vergleichen. Möglicherweise wird die von F-Prot unter Quarantäne gestellte regfilter.exe ja vom System in die Systemwiederherstellung gelegt. Quote Link to comment
Lars_MQ Posted November 1, 2007 Share Posted November 1, 2007 weil sie durch einen ungewöhnlichen Packer gepackt sei! Soso. Die webseite scheinen nicht sehr kompetent zu sein. UPX ist anerkannt, quelloffen und weit verbreitet als laufzeitpacker. Ich habe eher den verdacht, das die scanner mit dem neuen manifest in der regfilter nicht zurecht kommen. das sorgt NUR bei Vista dafür, das die elevationsnachfrage kommt, bei der der user bestätigt, dass das programm mit angehobenen rechten laufen darf. Anders lassen sich filter nicht registrieren (->Adminrechte). Die gesamten programme werden bei uns immer auf zwei unabhängingen rechnern (räumlich ca. 700 km getrennt ) und mit verschiedenen aktuellen virenscannern erstellt bzw zusammengestellt. Die wahrscheinlichkeit ist sehr gering, das sich dort etwas einschleicht. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.