Virenmeldung DVBViewer Recording und Norton Internet Security

[g.suess]

Hallo,

 

habe meinen Rechner neu aufgesetzt und bei dieser Gelegenheit die neueste Version des Recording Service (1.5.0.31) für DVBViewer installiert. Daraufhin findet Norton Internet Security 2009 den Virus Suspicious.MH690.A in der dvbvctrl.exe. Dies ist eine Heuristik-Meldung.

 

Habe mich im Forum, beim Support von Norton und anderswo schlau gemacht und die Datei zum Ausschluß aus den Virusdefinitionen an Symantec geschickt. Der Support rät zur Geduld, dann würde die Datei bei den nächsten Virendefinitionen ausgeschlossen. Jetzt die Überraschung: In einer Mail bestätigt Symantec, daß es sich um einen Virus handelt (siehe unten). Ich bin jetzt total verunsichert. Ist in der Beta wirklich ein Virus drin? Was kann man jetzt tun? Gibt es irgendwo eine alte Recording Service-Datei, die keine Alarme auslöst? Danke Euch und liebe Grüße,

 

G.

 

 

Dear ######,

 

We have analyzed your submission. The following is a report of our findings for each file you have submitted:

 

filename: dvbvctrl.exe

machine: Machine

result: This file is detected as Suspicious.MH690.

 

Customer notes:

I dont think that this is a virus. It is a regular file of the Recording Service of DVBViewer. Norton IS 2009 reports Suspicious.MH690.A. Please exclude the file from the virus list otherwise I can not use the TV application and Norton IS.

 

Developer notes:

dvbvctrl.exe applies to the 20 current Bloodhound detections in the engine

 

Symantec Security Response has determined that the sample(s) that you provided are infected with a virus, worm, or Trojan. We have created RapidRelease definitions that will detect this threat. Please follow the instruction at the end of this email message to download and install the latest RapidRelease definitions.

[hackbart]

Nein, das ist eher ein Problem des Scanners von Norton in Kombination mit UPX. Wenn Du mit "upx -d dvbvctrl.exe" die Datei entpackst, sollte Norton nicht mehr meckern. UPX gibts übrigens hier:

http://upx.sourceforge.net/

 

Christian

[g.suess]

Nein, das ist eher ein Problem des Scanners von Norton in Kombination mit UPX. Wenn Du mit "upx -d dvbvctrl.exe" die Datei entpackst, sollte Norton nicht mehr meckern. UPX gibts übrigens hier:

http://upx.sourceforge.net/

 

Christian

 

 

Danke, für die schnelle Antwort. Ich habe jetzt hier die Version 1.4.4 installiert (war noch auf dem Rechner). Damit wird kein Virus mehr gefunden. Allerdings gibt es da das alte Problem, dass das TVBrowser-Plugin und der Recording Service nicht so recht kommunizieren wollen bzw. erst nach einem Trick. Man muß den Recording Service kurz stoppen, dann die Aufnahme über TV Browser hinzufügen und dann den Recording Service wieder starten. Ist ein bißchen umständlich.

 

Deshalb eine kurzte Nachfrage zu Deinem Tipp. Ich entpacke UPX. Dann starte ist das über die Eingabeaufforderung und gebe dann das Kommando ein? Muß UPX dazu ins DVBViewer Verzeichnis? Wenn ich dies so mache, kommt "Permission denied".

 

Danke, G.

[mague]

Avira meldet das Recording Service Viren hat. Habs mir nicht aufgeschrieben. Waren zwei. Der Service oeffnete dann noch eine Konsdole und meldete eine illegale instruction. ->crash der app

 

Hab den Service deinstalliert und die Version von gestern (18.08) downgeloaded und installiert. Keine Meldungen von AVira mehr.

 

Nur zur Info, kam wohl mit dem letztn pattern mit.

Edited August 19, 2009 by mague

[Tjod]

Es gibt einen Virus in Recordings Service 1.5.0.31 siehe hier:

http://www.DVBViewer.info/forum/index.php?showtopic=35763

 

aber die Meldung hier "Suspicious.MH690" ist ziemlich sicher ein Fehlalarm der durch das entpacken verschwindet.

 

Zum entpacken, damit das so wie von Christian beschrieben geht muss sich die upx.exe in DVBViewer Verzeichnis befinden.

 

Ich würde das so machen Startmenü > Ausführen > cmd > dann mit cd C:\Programme\upx\ in das verzichnis wechseln wo die upx.exe ist

und da dann upx -d C:\Programme\DVBViewer\dvbvctrl.exe eingeben.

[g.suess]

Ich habe es genau so gemacht, wie Du es beschrieben hast. Einmal mit der upx.exe im DVBViewer-Verzeichnis (C:\Programme\DVBViewer\) und einmal mit der upx.exe in einem eigenen Verzeichnis (C:\Programme\upx\). Dann upx -d C:\Programme\DVBViewer\dvbvctrl.exe eingegeben.

 

In beiden Fällen: permission denied und I/O exception. Datei nicht entpackt. Habe jetzt von Norton Internet Security 2009 Version 16.0 auf 16.5 upgedated: das selbe Ergebnis: Suspicious.MH690.A in der dvbvctrl.exe. Ich installiere jetzt wieder den DVBViewer Recording Service 1.4.4.

 

Mit solchen Sachen kann man echt den ganzen Tag verbringen und das geht bei mir zeitlich gerade gar nicht...

 

LG, G.

 

Vielleicht bringen neue Signaturen in ein paar Tagen Abhilfe.

[g.suess]

Sorry, jetzt noch 'ne ganz doofe Frage: Soll das DVBViewer Plugin im TV Browser eigentlich mit dem 'laufenden' Recording Service zusammen funktionieren oder nicht? Vielleicht versuche ich ja eine Funktion hinzubekommen, die es so gar nicht gibt?

[Scrape]

Nein, das ist eher ein Problem des Scanners von Norton in Kombination mit UPX. Wenn Du mit "upx -d dvbvctrl.exe" die Datei entpackst, sollte Norton nicht mehr meckern. UPX gibts übrigens hier:

http://upx.sourceforge.net/

 

Christian

 

Hallo Christian!

 

Danke! Das war der Tipp auf den ich seit Wochen (Monaten?) gewartet habe!

Das viele weg klicken der NIS-Meldung ging mir langsam auf den Keks. Scanausschluss des DVBViewer-Verzeichnisses brachte keine Erfolg. Ebensowenig die Meldung eines false positive an Symantec.

Aber das Entpacken mit UPX hat jetzt echt geholfen. NIS 2009 meckert nicht mehr und auch bei Virustotal.com gibt es keine negative Meldung. Super.

 

Mal ne blöde Frage:

warum wird die DVBVCtrl.exe überhaupt mit UPX gepackt? Wegen den 25 KB Platzersparnis auf der Festplatte ja wohl nicht.

Wäre es da nicht besser, die Datei in zukünftigen Versionen immer ungepackt zu lassen?

 

Grüße

 

Scrape

 

Edit:

@g.suess: ich vermute das hängt mit den Schreibrechten für das DVBViewer-Verzeichnis zusammen. Hast Du dafür Admin-Rechte?

Edited August 28, 2009 by Scrape

[Scrape]

Hallo nochmal,

 

ich habe mich leider zu früh gefreut.

NIS 2009 hat zwar beim manuellen Scannen der entpackten Datei nicht angeschlagen, aber nun nach ein paar Minuten bei der Autosuche.

So'n Dreck. Wie kann man NIS nur dazu überreden, bei der Datei nicht mehr anzuschlagen?

Symantec glaubt ja scheinbar standfest an eine echte Infektion.

Kann die Datei in der nächsten Version irgendwie anders kompiliert werden, damit die Heuristik nicht mehr anschlägt?

 

Grüße

 

Scrape

[omnium]

hi,

Sorry, jetzt noch 'ne ganz doofe Frage: Soll das DVBViewer Plugin im TV Browser eigentlich mit dem 'laufenden' Recording Service zusammen funktionieren oder nicht? Vielleicht versuche ich ja eine Funktion hinzubekommen, die es so gar nicht gibt?

genau die Frage habe ich auch. Hab' das Plugin installiert aber leider werden die im TV-Browser erstellten Timer nicht vom Recording Service übernommen.

 

cu,

omnium

Edited September 11, 2009 by omnium

[Tjod]

@omnium

Bitte keine Crosspostings

http://www.DVBViewer.info/forum/index.php?...c=36201&hl=

[omnium]

@omnium

Bitte keine Crosspostings

http://www.DVBViewer.info/forum/index.php?...c=36201&hl=

?? unter 'Crosspostings' verstehe ich was anderes. Die Frage von g.suess wurde hier im dafür 'falschen' Thread nicht beantwortet. Ich habe die Frage/Problematik noch mal präzisiert und im 'richtigen' Unterforum gestellt. Was ist daran falsch?

[Tjod]

Ganz einfach wenn in unterschiedlichen Topics das gleiche Theman diskutiert wird, wird es schnell unübersichtlich.

Vor allem weil kaum einer alle Ergebnissen die sich ergeben haben nachher in allen Toopics postet.

 

Das heißt jemand der nur dieses Topic hier liest denk die Fragen wurde noch nicht beantwortet und verschwendet Zeit um eine Antwort zu schreiben ob wohl das Problem längst geklärt ist. Oder jemand findet das Topic mit der Suche aber keine Antwort, beides ist schlecht.

 

Und wenn in zwei Toics gleichzeitig nach einer Lösung gesucht wird wird es noch schlimmer. Machen lesen beide Topics und beziehen sich bei den antworten auf den Stand in beiden Topics andere lesen nur eins und beziehen ihre Antworten auch nur auf das.

 

Also immer mit einem Problem in einem Topic bleiben. Und wenn man aus irgendwelchen gründen doch besser in einem anderen weiter diskontiere möchte, im ersten klar sagen das die Diskussion im neuen Topic weitergeht und einen Link auf das neue Topic setzen.

 

Ich verstehe unter Crosspostings Beiträge zum gleichen Theman von einer Person auch wenn sie sich im Wortlaut leicht unterscheiden.

[Scrape]

Hallo zusammen!

 

Vielleicht mal kurz zurück zum eigentlichen Thema:

ich habe mittlerweile NIS 2010 drauf (kostenlose Upgrade ist ja bei gültigen Abo möglich).

Und nun habe ich endlich keine "Security Risk"-Meldungen wegen der dvbvctrl.exe mehr! Juhu!

 

Entweder wurde in NIS 2010 die Heurisktik verändert oder Symantec hat sich endlich den vielen "false positive"-Meldungen angenommen.

 

Probiert doch auch NIS 2010 aus!

 

Grüße

 

Scrape

[Scrape]

Aktualisierung:

Mittlerweile meldet auch NIS2010 "Suspicous.MH690.A".

Sind die bei Symantec völlig bescheuert?

[tribun]

Hallo,

ich nutze seit ca. einer Woche DVBViewer Pro V4.5.0.0 mit einer TechniSat Sky Star HD2 und bin bei Hard- und Software mit Installation und Funktionsumfang voll zufireden.

Als langjähriger Nutzer von Virenscanneren aus dem Hause Symantec, aktuell mit NIS 2011, gibt es mir jedoch zu denken, dass seit Installation von DVBViewer mittlerweile 2 Meldungen mit Risko = Hoch eingestuft und die entsprechenden Dateien von NIS 2011 entfernt wurden.

Der erste Alarm kam am zu DVBViewer/dvbctrl.exe mit dem "Suspicious.MH690.A", erkannt über Heuristik. Dies habe ich nach Suche in diesem Forum und den Meldungen über die vermeintlichen Fehler bei der Software von Norton rückgängig gemacht.

Der zweite Alarm dann heute zu DVBViewer/vthumbs.exe mit "Suspicious.Graybird.1" (siehe Bild).

 

Muß ich mir jetzt ernsthaft Sorgen machen und ggf. auf dieses sehr gute Programm verzichten oder kann jemand diese Bedrohungen begründet entkräften??

 

Gruß

 

tribun

[Tjod]

Norten geht davon aus das Dateien die nur wenige Nutzer auf ihrem PC haben schon mal potenziell gefährlich sind.

 

Außerdem scheinen die nicht in der Lage z sein mit upx gepackte Dateien intern einfach zu entpacken und das nochmal zu testen. Wenn denen jemand mal eine eMail schreibt könnte man ihnen ja mal den Tipp geben.

http://upx.sourceforge.net/

http://de.wikipedia.org/wiki/UPX

 

Und Suspicious.Graybird.1 ist auch eine automatische Erkennungs-Routine.

http://www.symantec.com/security_response/writeup.jsp?docid=2009-062522-3121-99&tabid=2

However, given the sensitive nature of this detection technology, it may occasionally identify non-malicious, legitimate software programs that also share these behavioral characteristics. Therefore, it is recommended that users manually check all files detected as Suspicious.Graybird.1 by Symantec antivirus products for potential misidentification, and submit any suspect files to Symantec Security Response for further analysis. For instructions on how to do this, read Submit Virus Samples.

Soll heißen das ist recht sicher ein Fehlalarm.

[Frust69]

Hallo,

habe bei mir DVBViewer Pro 4.6 drauf und Norton findet im Supporttool einen Virus.

Norton nennt den Heuristikvirus "Suspicious.Cloud.2".

 

Wird dieses Problem vom Antivirusprogramm verursacht, oder hat sich auf der Downloadseite etwas eingeschlichen.

Haben ja einige im Forum ein Virusproblem.

 

Bild im Anhang

 

Gruß Frust69

[Tjod]

Also beim aktuellen Supporttool findet bei virustotal.com keiner der Virenscanner was.

http://www.DVBViewer.com/download/supporttool.zip

(das Supporttool wird nicht vom DVBViewer mitinstalliert)

 

http://www.virustotal.com/file-scan/report.html?id=12c08b967e88e5f50116761968dc99ae31cc567685361967af71becc7c9e6ff8-1297968973