Discussion:
Desinfect 2022 (Eset) findet was - Was ist eure Meinung dazu?
(zu alt für eine Antwort)
Helge Adler
2022-07-06 19:23:36 UTC
Permalink
Hallo Auskenner,

kürzlich ließ ich das neueste 'Desinfect' über einen Windows-10-
Rechner laufen. Allerdings nur den ESET-Virenscanner mit heutigen
Viren-Signaturen.

In der Log-Datei werden nun insgesamt vier Dateien als verdächtig
genannt. Sämtliche Verdächtigen befinden sich im Systemlaufwerk C:,
Subverzeichnis Windows/SysWOW64/....

Hier mal die Pfade der betr. Dateien inkl. Meinung des
Virenscanners dazu:

A)
Windows/SysWOW64/Com/dmp/L-1-39-11-/AppleVersions.dll
Der Scanner sagt dazu: "Win32/Agent.AAWO(Trojan)"

B)
Windows/SysWOW64/az-Latn-AZ/S-1-5-61/Riched32.dll
Angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"

C)
Windows/SysWOW64/es-ES/S-1-5-66/Riched32.dll
Angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"

D)
Windows/SysWOW64/tt-RU/S-1-5-77/Riched32.dll
angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"


Was ist denn die Meinung der Auskenner dazu? Würdet ihr das eher als
Falsch-Positiv-Meldungen auffassen oder als was Ernstes?

Der Scanner bietet an, die Verdachtsfälle mit Endung .VIRUS zu
versehen. Mir scheint das zu riskant, nachher startet Windows nicht
mehr oder irgendwas anderes funktioniert nicht mehr. Hat/hatte jemand
hier Vergleichbares?

Danke für ein paar Meinungen!


Ggf. umleiten in eine besser passende Gruppe, 'dcsv' ist ja nun
abgeschossen.
Marco Moock
2022-07-06 19:54:35 UTC
Permalink
Post by Helge Adler
Danke für ein paar Meinungen!
Installiere mal ein Windows in gleicher Version (auf Build achten!) auf
einem andern Rechner/VM und vergleiche die Prüfsummen der Dateien.
Takvorian
2022-07-07 07:50:52 UTC
Permalink
Post by Helge Adler
kürzlich ließ ich das neueste 'Desinfect' über einen Windows-10-
Rechner laufen. Allerdings nur den ESET-Virenscanner mit heutigen
Viren-Signaturen.
In der Log-Datei werden nun insgesamt vier Dateien als verdächtig
genannt. Sämtliche Verdächtigen befinden sich im Systemlaufwerk C:,
Subverzeichnis Windows/SysWOW64/....
Hier mal die Pfade der betr. Dateien inkl. Meinung des
Windows/SysWOW64/Com/dmp/L-1-39-11-/AppleVersions.dll
Keine Standard-Systemdatei. Könnte also zu einer installierten Software
gehören, die irgendwas mit Apple zu tun hat. Ist sowas installiert?

Zu riched32.dll:
gibt es hier nur in:

C:\Windows\SysWOW64\riched32.dll
C:\Windows\System32\riched32.dll

Beide Dateien sind Hardlinks zu WinSxS

Diese hier
Post by Helge Adler
Windows/SysWOW64/az-Latn-AZ/S-1-5-61/Riched32.dll
Windows/SysWOW64/es-ES/S-1-5-66/Riched32.dll
Windows/SysWOW64/tt-RU/S-1-5-77/Riched32.dll
könnte man also mal mit den beiden obigen vergleichen und genauer
analysieren.
Post by Helge Adler
angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"
Was ist denn die Meinung der Auskenner dazu? Würdet ihr das eher als
Falsch-Positiv-Meldungen auffassen oder als was Ernstes?
Tja, solche Meldungen bekommt man eben, wenn man Schlangenöl wie
ESET-Virenscanner ausführt und diese Frage kann man ohne Glaskugel aus der
Ferne nicht seriös beantworten. Wer Schlangenöl ausführt, muss sich dann
eben auch um die Meldungen kümmern, die es auswirft, netter Zeitvertreib.
Der Windows-Defender meckert nicht bei diesen Dateien?
Post by Helge Adler
Der Scanner bietet an, die Verdachtsfälle mit Endung .VIRUS zu
versehen. Mir scheint das zu riskant, nachher startet Windows nicht
mehr oder irgendwas anderes funktioniert nicht mehr.
Na und? Man macht die Änderung dann eben offline wieder rückgängig oder
schreibt einfach seine letzte Sicherung wieder zurück, fertig.
Post by Helge Adler
Hat/hatte jemand hier Vergleichbares?
Lustige Frage, solche Meldungen sind Schlangenöl-Alltag. Deshalb hat
Schlangenöl auf meinen Systemen keinen Zutritt. Sicherheit geht völlig
anders.
Arno Welzel
2022-07-07 13:06:56 UTC
Permalink
Post by Helge Adler
kürzlich ließ ich das neueste 'Desinfect' über einen Windows-10-
Rechner laufen. Allerdings nur den ESET-Virenscanner mit heutigen
Viren-Signaturen.
In der Log-Datei werden nun insgesamt vier Dateien als verdächtig
genannt. Sämtliche Verdächtigen befinden sich im Systemlaufwerk C:,
Subverzeichnis Windows/SysWOW64/....
Hier mal die Pfade der betr. Dateien inkl. Meinung des
A)
Windows/SysWOW64/Com/dmp/L-1-39-11-/AppleVersions.dll
Der Scanner sagt dazu: "Win32/Agent.AAWO(Trojan)"
Hast Du Software von Apple installiert?
Post by Helge Adler
B)
Windows/SysWOW64/az-Latn-AZ/S-1-5-61/Riched32.dll
Angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"
C)
Windows/SysWOW64/es-ES/S-1-5-66/Riched32.dll
Angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"
D)
Windows/SysWOW64/tt-RU/S-1-5-77/Riched32.dll
angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"
Was ist denn die Meinung der Auskenner dazu? Würdet ihr das eher als
Falsch-Positiv-Meldungen auffassen oder als was Ernstes?
riched32.dll (alles klein geschrieben!) gibt es normalerweise nur in
C:\Windows\SysWOW64. Die Sprachvarianten könnten aber wegen der von Dir
zusätzlich eingerichteten Sprachen existieren (die ich hier nicht habe).

Du kannst die fraglichen Dateien auch nochmal bei
<https://www.virustotal.com/gui/home/upload> prüfen lassen.
--
Arno Welzel
https://arnowelzel.de
Stefan Kanthak
2022-07-07 17:02:01 UTC
Permalink
Post by Helge Adler
Hallo Auskenner,
kürzlich ließ ich das neueste 'Desinfect' über einen Windows-10-
Rechner laufen. Allerdings nur den ESET-Virenscanner mit heutigen
Viren-Signaturen.
In der Log-Datei werden nun insgesamt vier Dateien als verdächtig
genannt. Sämtliche Verdächtigen befinden sich im Systemlaufwerk C:,
Subverzeichnis Windows/SysWOW64/....
Hier mal die Pfade der betr. Dateien inkl. Meinung des
A)
Windows/SysWOW64/Com/dmp/L-1-39-11-/AppleVersions.dll
Der Scanner sagt dazu: "Win32/Agent.AAWO(Trojan)"
C:\Windows\SysWOW64\Com\dmp\ ist (wie der Name deutlich sagt) ein
fuer Dumps von COM-Komponenten vorgesehendes, von UNPRIVILEGIERTEN
Benutzern schreibbares Verzeichnis.
Dort installiert NIEMAND irgendwelche DLLs!
Hat Dein Administrator "Ausfuehren" dort nicht verboten?

PLATTMACHEN, NEU AUFSETZEN, und den Administrator entlassen!
Post by Helge Adler
B)
Windows/SysWOW64/az-Latn-AZ/S-1-5-61/Riched32.dll
Angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"
C)
Windows/SysWOW64/es-ES/S-1-5-66/Riched32.dll
Angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"
D)
Windows/SysWOW64/tt-RU/S-1-5-77/Riched32.dll
angeblich: "Win32/Packed.VMProtect.ACR(Trojan)"
Die Verzeichnisse C:\Windows\SysWoW64\<country code>\ (siehe
<https://www.iso.org/iso/home/standards/country_codes.htm>) sind
fuer NICHT-ausfuehrbare Ressourcen-DLLs (mit Endung *.mui) vorgesehen
und von unprivilegierten Benutzern NICHT schreibbar, d.h das System
wurde VOELLIG kompromittiert -> PLATTMACHEN und NEU AUFSETZEN!
Post by Helge Adler
Was ist denn die Meinung der Auskenner dazu? Würdet ihr das eher als
Falsch-Positiv-Meldungen auffassen oder als was Ernstes?
Letzteres: das System wurde kompromittiert!

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Loading...