DNFrozen

Emsisoft + Comodo -.-'

Recommended Posts

Hallo ich benutze EAM und Comodo Firewall

 

Seit ca 2 Wochen meldet mir EAM aber ständig einen Virus der sich entweder im "Windows\Temp" befindet oder in "\AppData\Local\Temp" befindet.

Der übergeordnete Prozess gehört immer Comodo

 

interessant ist das es auf virustotal auch von comodo als virus identifiziert wird.

https://www.virustotal.com/de/file/f52f8e5ea5336b11519070ecc5ee27b8f8ce3272e56d1c4dd98b3e3312bcde8c/analysis/1452187456/

Der 2. Virus der heute zum ersten mal aufgetaucht ist ( anhang v2.png ) ist leider nie in der Quarantäne angekommen obwohl auch im Protokoll steht das er dorthin verschoben wurde.

 

Wie kann ich das Problem lösen? bzw. wie soll ich mich jetzt verhalten?

 

 

post-24083-0-38873100-1452187200_thumb.png
Download Image

post-24083-0-00878800-1452187201_thumb.png
Download Image

post-24083-0-33256900-1452187201_thumb.png
Download Image

post-24083-0-98186500-1452187376_thumb.png
Download Image

Share this post


Link to post
Share on other sites

Lösche die temporären Dateien und wiederhole den Scan. Ansonsten muss dieser Thread mal von einem Mod. in den "Hilfe, mein PC ist infiziert!" verschoben werden.

Share this post


Link to post
Share on other sites

wenn ich die temp ordner manuel scanne finde ich ja nichts weil der dateiwächter die erstellten dateien sofort erkennt und ich sie sofort in die quarantäne sperre.

Aber sie werden nach 1-2 Tagen unter einem anderen namen erneut erstellt

Share this post


Link to post
Share on other sites

Aber sie werden nach 1-2 Tagen unter einem anderen namen erneut erstellt

 

Das hört sich nicht so gut an, da empfehle ich die Hilfe von schrauber (Thomas Schröder).

Share this post


Link to post
Share on other sites

Hi und Herzlich Willkommen beim Emsisoft Support Forum!

Systemscan mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Bitte beide Logfiles in der nächsten Antwort anhängen.
  • Upvote 1

Share this post


Link to post
Share on other sites

Sorry für die Verspätung. Bitte Comodo in die Ausnahmen bei EAM packen.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche, dann Löschen.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[C1].txt.

Share this post


Link to post
Share on other sites

ich habe wie aus dem screenshot "ausnahmen.png" zu sehen ist  CCE.exe, cis.exe und cmdagent.exe zu den ausnahmen hinzugefügt.

 

adwcleaner.exe wollte nur eine datei löschen und das war das YoutubeAutoReplay addon von meinem Firefox.

Da das Addon laut Firefox Signiert ist und die Datei laut Virustotal harmlos ist habe ich das Programm daran gehindert das Addon zu entfernen.

AdwCleanerC1.txt

post-24083-0-46411800-1452955576_thumb.png
Download Image

Share this post


Link to post
Share on other sites

leider hat der Dateiwächter gerade wieder "Gen:Trojan.Heur2.GZ.1oJfbmlhbonG (B)" in einem unterordner von C:\Windows\TEMP entdeckt. Die ausführbare Datei des übergeordneten Prozesses war cmdagent.exe von Comodo.

 

Ist das ein Virus oder ein Fehlalarm?

Wenn es ein Virus ist:

- welcher prozess erstellt ihn

Wenn es ein Fehlalarm ist:

- wie stecke ich eine noch nicht erstellte Datei in die Ausnahmen von EAM

 

Es wär ja schonmal gut zu wissen ob ich die datei erlauben oder unter quarantäne stellen soll wenn sie auftaucht.

 

und vielen Dank für die Hilfe :)

 

 

 

post-24083-0-68660200-1453034849_thumb.png
Download Image

Share this post


Link to post
Share on other sites

EAM greift in dem Moment ein, wo Comodo versucht die Datei zu scannen, daher dann die Meldung mit Comodo als übergeordnetem Prozess.

Bitte nochmal ein frisches FRST Log erstellen und anhängen.

Share this post


Link to post
Share on other sites

ja das ist ein Kompressionsprogramm für die Komandozeile und läuft mit absicht

http://dhost.info/paq8/

 

Ursprünglich habe ich gedacht das Comodo eine Datei erstellt und die von Emsisoft fälschlicherweise als Virus erkannt wird.

Da das offenbar falsch war und ich wirklich irgendwo einen Virus habe läuft es jetzt darauf hinaus das ich

-aktive prozesse

-autostart einträge

-treiber

-neu erstellte dateien

usw...

durchsuchen muss bis ich was finde was dort nicht hingehört

 

Vielen Dank für die Hilfe und das Programm FRST :)

ich denke den Rest schaffe ich alleine

Share this post


Link to post
Share on other sites

Ich habe jetzt mit Online Armor im "File Shield" die Regel erstellt das nur vertrauenswürdige Programme in " C\Windows\Temp\* " sofort dateien erstellen dürfen.

unbekannte Programme und nicht vertrauenswürdige programme muss ich einzeln bestätigen.

 

C:\Windows\SysWOW64\Werfault.exe

C:\Windows\System32\drvinst.exe

C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe

und ich habe a2service.exe zu den sicheren Programmen hinzugefügt weil online armor mich bei dieser exe datei nicht gefragt hat sondern jeden schreibversuch sofort verboten hat.

 

nur leider schafft es der virus immer noch in C\Windows\Temp\

Also entweder funktioniert die File Shield funktion nicht zuverlässig

oder das Programm was den Virus erstellt ist in der Liste der sicheren Programme.

:mellow:

 

Addition.txt

FRST.txt

Share this post


Link to post
Share on other sites

Emsisoft Anti-Maleware hat mir gerade Mitgeteilt das:

"Nachdem die in Quarantäne befindlichen Objekte mit den neu heruntergeladenen Signaturen erneut gescannt wurden hat sich herausgestellt das einige von ihnen Fäschlicherweise erkannt wurden..."

 

also damit hat sich die sache wohl erledigt.

https://www.virustotal.com/de/file/f52f8e5ea5336b11519070ecc5ee27b8f8ce3272e56d1c4dd98b3e3312bcde8c/analysis/1453681187/

auf Virustotal wird die datei auch "nur" noch von 16 Scannern als virus erkannt (vorher 20)

 

Damit ist das Thema jetzt wohl erledigt :)

Share this post


Link to post
Share on other sites

so da ist der Beweis EAM hat die Dateien selbst erstellt die es als Virus erkennt <_<

Scheinbar wird der Virus von Emsisoft dort immer wieder erstellt weil Comodo jedel mal so neugierig ist und die Datei lesen will die Emsisoft erstellt und das ganze beginnt von vorne.

 

Naja irgendwie auch meine schuld mann sollte ja nicht mehrere antivieren-programme kombinieren weil genau solche blöden situationen dabei entstehen können.

Unbenannt.png

post-24083-0-34773700-1454208817_thumb.png
Download Image

Share this post


Link to post
Share on other sites

 

Naja irgendwie auch meine schuld mann sollte ja nicht mehrere antivieren-programme kombinieren weil genau solche blöden situationen dabei entstehen können.

Jap, und ich würde auch mal Online Armor deinstallieren. Dann saubere Ausnahmen setzen und nochmal testen.

Share this post


Link to post
Share on other sites

Leider habe ich noch kein Programm mit HIPS gefunden das Online Armor wirklich ersetzen kann :/

Außerdem verursacht OA ja keine Probleme sondern macht genau das was es soll.

 

wenn das Problem jetzt weiterhin auftaucht deinstaliere ich einfach comodo.

Share this post


Link to post
Share on other sites

Das Problem ist nicht mehr aufgetaucht und ich kann es auch nicht mehr absichtlich auslösen.

Ich schätze das Problem wurde durch das Update auf version 11.0.0.6131 gelöst

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.