Probleme mit Trayutil DVBVCtrl.exe vom Recording Service

[ostbey]

Ich habe regelmäßig Probleme mit dem Trayutil "DVBVCtrl.exe" vom Recording Service (aktuelle Version "svc_setup_1.5.0.31.exe"):

 

Beim Installieren meckert der Virenscanner und will die Ausführung von "DVBVCtrl.exe" nicht freigeben, und wenn ich sie dann doch freigebe, meckert die Setup.exe trotzdem, daß diese Datei nicht ausgeführt werden konnte.

 

Siehe dazu auch die beiden Screenshots "DVBVCtrl_exe_1.jpg" und "DVBVCtrl_exe_2.jpg" in der hier angehängten Datei "support.zip".

 

Trotzdem funktioniert (zumindest anscheinend) danach zunächst alles normal.

 

Viel störender ist jedoch der Umstand, daß sowohl die Datei "DVBVCtrl.exe" aus dem Ordner "C:\Programme\DVBViewer\" als auch die Datei "Server Control" aus "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVBViewer\DVBViewer Recording Service\" mitten im Betrieb sowohl aus der Taskleiste rechts unten in Windows (XP Media Center Edition SP3) als auch aus den beiden genannten Verzeichnissen verschwindet; genauer: sich selbst löscht (oder vielleicht tut das der Virenscanner? Der ist aber so eingestellt, daß er erst nachfragen soll, bevor er was-auch-immer macht!).

 

Ich hatte die Option "Trayutil automatisch starten" eingeschaltet, so daß es nach dem Booten automatisch in der Taskleiste rechts unten erscheint.

 

Und dann das:

 

Eben hatte ich das Trayutil noch bedient, und als ich ein weiteres Mal darauf zugreifen wollte, war es plötzlich weg. Und die EXE- sowie die LNK-Dateien auch!

 

Habe dann "svc_setup_1.5.0.31.exe" einfach noch einmal ausgeführt, dann waren die Dateien wieder da. Leider auch wieder nicht für lange.

 

Und immer so fort, schon drei- oder viermal.

 

Kann mir jemand sagen, was da schief läuft, und was man dagegen unternehmen kann?

 

(Außer den Virenscanner abzuschalten, natürlich - obwohl ich das testweise vielleicht doch mal machen sollte, um herauszufinden ob er's mit schuld ist. Ich glaube aber offengestanden nicht daran, weil er sowas noch nie getan hat sondern immer brav vorher nachfragt bevor was in Quarantäne gesetzt oder gelöscht werden soll)

 

Danke!!

Edited March 2, 2010 by ostbey

[Lars_MQ]

Weder das trayutil noch der service können sich selbst löschen und es gäbe auch keinerlei grund dafür.

Ich gehe davon aus, das der virenscanner überfleissig ist.

[ostbey]

Weder das trayutil noch der service können sich selbst löschen und es gäbe auch keinerlei grund dafür.

Ich gehe davon aus, das der virenscanner überfleissig ist.

Ich glaube das zwar wie gesagt nicht, aber alles ist möglich, der Teufel steckt bekanntlich immer im Detail...

 

Ist es dann statthaft, wenn ich F-Secure vorübergehend meinen Lizenzschlüssel für den DVBViewer gebe, so daß sie das Problem nachvollziehen und evtl. beheben können?

 

Natürlich würde ich mir von Ihnen vorher schriftlich versichern lassen, daß sie den Schlüssel hinterher nicht weiter verwenden und alle Kopien löschen werden.

Edited March 2, 2010 by ostbey

[ostbey]

Bitte diesen Thread hier verschieben nach DVBViewer community forum > Betatest > Deutsch > Recording Service und den dortigen gleichnamigen Thread ersetzen - Danke!

(Der Link "support.zip" im anderen Thread geht in Wahrheit auf diesen Thread hier!)

 

Sorry - ich hatte zu spät gesehen, daß es für den Recording Service ein eigenes Unterforum gibt!

Edited March 3, 2010 by ostbey

[ostbey]

In der Zwischenzeit habe ich mir als Workaround die folgende Batch-Datei geschrieben:

 

attrib -r "C:\Programme\DVBViewer\DVBVCtrl.exe"

attrib -r "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVBViewer\DVBViewer Recording Service\Service Control.lnk"

del "C:\Programme\DVBViewer\DVBVCtrl.exe"

del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVBViewer\DVBViewer Recording Service\Service Control.lnk"

copy "D:\InstallationSoftware\DVBViewerPro\DVBVCtrl.exe" "C:\Programme\DVBViewer\"

copy "D:\InstallationSoftware\DVBViewerPro\Service Control.lnk" "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVBViewer\DVBViewer Recording Service\"

attrib +r "C:\Programme\DVBViewer\DVBVCtrl.exe"

attrib +r "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVBViewer\DVBViewer Recording Service\Service Control.lnk"

@pause

F-Secure hat sich schon gemeldet und arbeitet dran.

Das kann aber erfahrungsgemäß manchmal Monate dauern bis da eine Lösung gefunden wird.

[ostbey]

Inzwischen habe ich durch weitere Nachforschungen herausbekommen, daß "F-Secure Internet Security 2010" tatsächlich ein Problem mit der "DVBVCtrl.exe" aus dem Paket des "Recording Service" hat; wenn ich manuell das Verzeichnis "C:\Programme\DVBViewer" mit dem Antivirus scanne, gibt es bei der "DVBVCtrl.exe" einen Alarm "Suspicious:W32/Malware!Gemini"; siehe dazu auch http://www.f-secure.com/v-descs/suspicious...33;gemini.shtml.

 

Obwohl ich überall in "F-Secure Internet Security 2010" bei "Actions: When virus or spyware is found: Always ask me" (bzw. "Actions: When a harmful program is found: Always ask me") eingestellt habe, schickt er die "DVBVCtrl.exe" ohne Rückfrage in Quarantäne und ändert den Eintrag dafür in der Liste der überwachten Programme von "Allow" auf "Block".

 

Mittlerweile habe ich auch herausgefunden wo man die Dateien findet, die sich in Quarantäne befinden. Die kann man dann auf ausdrücklichen Wunsch wiederherstellen lassen, und prompt ist die "DVBVCtrl.exe" wieder da!

 

Höchstwahrscheinlich handelt es sich hier um einen Fehlalarm des Antivirus-Scanners (vor allem wenn Antivirus-Scanner anderer Hersteller keinen solchen Alarm melden); aber nur für den Fall daß der Server mit der DVBViewer-Software kompromittiert worden sein sollte und "DVBVCtrl.exe" tatsächlich Schadsoftware enthalten sollte, möchte ich eine Überprüfung anregen, daß der Server nicht etwa gehackt wurde.

 

Bevor aber so eine aufwendige Aktion unternommen wird, wüsste ich gerne, ob Antivirus-Software von anderen Herstellern (welche?) hier auch eine Warnung melden oder absolut gar nichts - auch dann nicht, wenn man die Datei "DVBVCtrl.exe" explizit manuell scannt?

 

Im voraus vielen Dank für Eure Mithilfe!

 

EDIT: Und an die Autoren des Programms gerichtet: Was macht diese Datei bloß, daß sie für die Heuristik des Antivirus-Scanners wie ein verdächtiges Virus aussieht?! Danke!!!

Edited March 7, 2010 by ostbey

[Tjod]

Bevor aber so eine aufwendige Aktion unternommen wird, wüsste ich gerne, ob Antivirus-Software von anderen Herstellern (welche?) hier auch eine Warnung melden oder absolut gar nichts - auch dann nicht, wenn man die Datei "DVBVCtrl.exe" explizit manuell scannt?

Teste die Datei einfach bei http://www.virustotal.com/de/ dann weißt du welche Virenscanner was melden.

 

Und an die Autoren des Programms gerichtet: Was macht diese Datei bloß, daß sie für die Heuristik des Antivirus-Scanners wie ein verdächtiges Virus aussieht?! Danke!!!

Das müsstest du eher den Hersteller der Antivirensoftware Fragen Die müssten wissen auf was

ihre Heuristik anspringt.

[ostbey]

Vielen Dank für den Tip und den Link!!

 

Datei DVBVCtrl.exe empfangen 2010.03.07 12:59:48 (UTC)

Status: Beendet

Ergebnis: 3/42 (7.15%)

 

Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.50 2010.03.07 -

AhnLab-V3 5.0.0.2 2010.03.07 -

AntiVir 8.2.1.180 2010.03.05 -

Antiy-AVL 2.0.3.7 2010.03.05 -

Authentium 5.2.0.5 2010.03.06 -

Avast 4.8.1351.0 2010.03.06 -

Avast5 5.0.332.0 2010.03.06 -

AVG 9.0.0.787 2010.03.07 -

BitDefender 7.2 2010.03.07 -

CAT-QuickHeal 10.00 2010.03.06 -

ClamAV 0.96.0.0-git 2010.03.06 -

Comodo 4091 2010.02.28 Heur.Packed.Unknown

DrWeb 5.0.1.12222 2010.03.07 -

eSafe 7.0.17.0 2010.03.04 -

eTrust-Vet 35.2.7342 2010.03.05 -

F-Prot 4.5.1.85 2010.03.06 -

F-Secure 9.0.15370.0 2010.03.07 Suspicious:W32/Malware!Gemini

Fortinet 4.0.14.0 2010.03.07 -

GData 19 2010.03.07 -

Ikarus T3.1.1.80.0 2010.03.07 -

Jiangmin 13.0.900 2010.03.07 -

K7AntiVirus 7.10.990 2010.03.04 -

Kaspersky 7.0.0.125 2010.03.07 -

McAfee 5912 2010.03.06 -

McAfee+Artemis 5912 2010.03.06 -

McAfee-GW-Edition 6.8.5 2010.03.07 -

Microsoft 1.5502 2010.03.07 -

NOD32 4922 2010.03.07 -

Norman 6.04.08 2010.03.07 -

nProtect 2009.1.8.0 2010.03.07 -

Panda 10.0.2.2 2010.03.07 -

PCTools 7.0.3.5 2010.03.04 -

Prevx 3.0 2010.03.07 -

Rising 22.37.06.04 2010.03.07 -

Sophos 4.51.0 2010.03.07 -

Sunbelt 5779 2010.03.07 -

Symantec 20091.2.0.41 2010.03.07 Suspicious.Insight

TheHacker 6.5.1.9.223 2010.03.07 -

TrendMicro 9.120.0.1004 2010.03.07 -

VBA32 3.12.12.2 2010.03.05 -

ViRobot 2010.3.5.2214 2010.03.05 -

VirusBuster 5.0.27.0 2010.03.06 -

weitere Informationen

File size: 56423 bytes

MD5...: 081b6660b08d0a5ee05f8981302beeb6

SHA1..: 34ac0fe4c8f3df3d91ec067ee5d066616587aa76

SHA256: 78adedf50eef394da2a1075574909ebdf4bc7b142acf760d0bb0be4b9d730b05

ssdeep: 768:rJHGrXq2LOtgm7pDvQttDSfHMq097e0DpbuJUV4qM+bo6vyHEtccsLsfEJq6

Et32:rNGr0gm79vCGvMq09aUbPV2KIsfEN

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x1a870

timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype.......: 0x14c (I386)

 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x14000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x15000 0x6000 0x5c00 7.84 0b2c9022cc7f9247e43fcb5e1020f2e5

.rsrc 0x1b000 0x8000 0x7c00 3.10 efb72fa917b3088888d0d55033bb109f

 

( 7 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> advapi32.dll: RegCloseKey

> comctl32.dll: ImageList_Create

> gdi32.dll: SetBkMode

> oleaut32.dll: SysFreeString

> shell32.dll: ShellExecuteA

> user32.dll: SetMenu

 

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: UPX compressed Win32 Executable (38.5%)

Win32 EXE Yoda's Crypter (33.4%)

Win32 Executable Generic (10.7%)

Win32 Dynamic Link Library (generic) (9.5%)

Win16/32 Executable Delphi generic (2.6%)

sigcheck:

publisher....: CM_V Hackbart

copyright....: written by Lars Gehre (lars@DVBViewer.com)

product......:

description..: DVBViewer Recording Service Tray Application

original name:

internal name:

file version.: 1.5.0.30

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

Also gibt es drei Antivirus-Scanner, die darauf anschlagen:

Comodo 4091 2010.02.28 Heur.Packed.Unknown

F-Secure 9.0.15370.0 2010.03.07 Suspicious:W32/Malware!Gemini

Symantec 20091.2.0.41 2010.03.07 Suspicious.Insight

Irgendetwas, was den Heuristiken verdächtig vorkommt, scheint das Programm also zu machen.

Vielleicht wissen ja die Autoren des Programms, ob sie darin irgendetwas ungewöhnliches tun?!

[Tjod]

Es gibt sicher nicht viel Programme die einen Routine haben um einen Windows Dienst stoppen können.

 

Aber ich würde mir da nicht so viele Gedanken machen. Bei jeder Heuristik muss man mit Fehlalarmen rechnen (meist kann man im Antiviereinprogramm einstellen wie Aggressiv die Heuristik sein soll, je Aggressiver je mehr Fehlalarme, je weniger aggressiv desto unwahrscheinlicher wird es das die Heuristik einen Virus findet).

 

Bei Scans über Signaturen gibt es Fehlalarme z.B. bei AutoCAD wo Fast alle Virenscanner meinten dass da sicher ein Virus drin ist.

 

Und es gab sogar schon ein paar fälle wo Virenscanner sich selbst entfernt haben weil sie meinten einen Virus gefunden zu haben.

 

PS: Du hättest nicht das ganze hier rein kopieren müssen der Link hätte gereicht.

http://www.virustotal.com/de/analisis/f328...e691-1267971030

[ostbey]

Meist sind solche Links nur kurze Zeit gueltig, darum habe ich es gar nicht erst probiert! Sorry!

Auf jeden Fall vielen Dank fuer Deine Muehe und Infos!!!!

[ostbey]

Das Problem wurde übrigens in der Zwischenzeit durch einen Update der Heuristik-Engine durch den Hersteller der Antiviren-Software F-Secure behoben.

Das hat so lange gedauert, weil meine Installation aus unerfindlichen Gründen den Update nicht automatisch eingespielt hat (obwohl sie so eingestellt war, dies automatisch zu tun), und erst eine Suche der Fehlerursache erfolgen musste.