DNFrozen 0 Report post Posted January 7, 2016 Hallo ich benutze EAM und Comodo Firewall Seit ca 2 Wochen meldet mir EAM aber ständig einen Virus der sich entweder im "Windows\Temp" befindet oder in "\AppData\Local\Temp" befindet. Der übergeordnete Prozess gehört immer Comodo interessant ist das es auf virustotal auch von comodo als virus identifiziert wird. https://www.virustotal.com/de/file/f52f8e5ea5336b11519070ecc5ee27b8f8ce3272e56d1c4dd98b3e3312bcde8c/analysis/1452187456/ Der 2. Virus der heute zum ersten mal aufgetaucht ist ( anhang v2.png ) ist leider nie in der Quarantäne angekommen obwohl auch im Protokoll steht das er dorthin verschoben wurde. Wie kann ich das Problem lösen? bzw. wie soll ich mich jetzt verhalten? Download Image Download Image Download Image Download Image Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 9, 2016 und gerade kam die nächste MeldungWie immer "Gen:Trojan.Heur2.GZ.1oJfbmlhbonG (B)" mit einem übergeordneten Prozess von Comodo Download Image Share this post Link to post Share on other sites
Icewolf 8 Report post Posted January 9, 2016 Lösche die temporären Dateien und wiederhole den Scan. Ansonsten muss dieser Thread mal von einem Mod. in den "Hilfe, mein PC ist infiziert!" verschoben werden. Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 11, 2016 wenn ich die temp ordner manuel scanne finde ich ja nichts weil der dateiwächter die erstellten dateien sofort erkennt und ich sie sofort in die quarantäne sperre. Aber sie werden nach 1-2 Tagen unter einem anderen namen erneut erstellt Share this post Link to post Share on other sites
Icewolf 8 Report post Posted January 11, 2016 Aber sie werden nach 1-2 Tagen unter einem anderen namen erneut erstellt Das hört sich nicht so gut an, da empfehle ich die Hilfe von schrauber (Thomas Schröder). Share this post Link to post Share on other sites
schrauber 30 Report post Posted January 13, 2016 Hi und Herzlich Willkommen beim Emsisoft Support Forum! Systemscan mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften) Starte jetzt FRST. Ändere ungefragt keine der Checkboxen und klicke auf Scan. Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop. Bitte beide Logfiles in der nächsten Antwort anhängen. 1 Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 13, 2016 ok hier sind die beiden logfiles Addition.txt FRST.txt Share this post Link to post Share on other sites
schrauber 30 Report post Posted January 16, 2016 Sorry für die Verspätung. Bitte Comodo in die Ausnahmen bei EAM packen. Downloade Dir bitte AdwCleaner auf deinen Desktop. Starte die adwcleaner.exe mit einem Doppelklick. Klicke auf Suche, dann Löschen. Nach Ende des Suchlaufs öffnet sich eine Textdatei. Poste mir den Inhalt mit deiner nächsten Antwort. Die Logdatei findest du auch unter C:\AdwCleaner[C1].txt. Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 16, 2016 ich habe wie aus dem screenshot "ausnahmen.png" zu sehen ist CCE.exe, cis.exe und cmdagent.exe zu den ausnahmen hinzugefügt. adwcleaner.exe wollte nur eine datei löschen und das war das YoutubeAutoReplay addon von meinem Firefox. Da das Addon laut Firefox Signiert ist und die Datei laut Virustotal harmlos ist habe ich das Programm daran gehindert das Addon zu entfernen. AdwCleanerC1.txt Download Image Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 17, 2016 leider hat der Dateiwächter gerade wieder "Gen:Trojan.Heur2.GZ.1oJfbmlhbonG (B)" in einem unterordner von C:\Windows\TEMP entdeckt. Die ausführbare Datei des übergeordneten Prozesses war cmdagent.exe von Comodo. Ist das ein Virus oder ein Fehlalarm? Wenn es ein Virus ist: - welcher prozess erstellt ihn Wenn es ein Fehlalarm ist: - wie stecke ich eine noch nicht erstellte Datei in die Ausnahmen von EAM Es wär ja schonmal gut zu wissen ob ich die datei erlauben oder unter quarantäne stellen soll wenn sie auftaucht. und vielen Dank für die Hilfe Download Image Share this post Link to post Share on other sites
schrauber 30 Report post Posted January 18, 2016 EAM greift in dem Moment ein, wo Comodo versucht die Datei zu scannen, daher dann die Meldung mit Comodo als übergeordnetem Prozess. Bitte nochmal ein frisches FRST Log erstellen und anhängen. Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 18, 2016 ok Addition.txt FRST.txt Share this post Link to post Share on other sites
schrauber 30 Report post Posted January 19, 2016 C:\Software\paq8 Kennst Du das und läuft das mit Absicht? Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 19, 2016 ja das ist ein Kompressionsprogramm für die Komandozeile und läuft mit absicht http://dhost.info/paq8/ Ursprünglich habe ich gedacht das Comodo eine Datei erstellt und die von Emsisoft fälschlicherweise als Virus erkannt wird. Da das offenbar falsch war und ich wirklich irgendwo einen Virus habe läuft es jetzt darauf hinaus das ich -aktive prozesse -autostart einträge -treiber -neu erstellte dateien usw... durchsuchen muss bis ich was finde was dort nicht hingehört Vielen Dank für die Hilfe und das Programm FRST ich denke den Rest schaffe ich alleine Share this post Link to post Share on other sites
schrauber 30 Report post Posted January 21, 2016 Wenn nicht einfach melden Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 21, 2016 Ich habe jetzt mit Online Armor im "File Shield" die Regel erstellt das nur vertrauenswürdige Programme in " C\Windows\Temp\* " sofort dateien erstellen dürfen. unbekannte Programme und nicht vertrauenswürdige programme muss ich einzeln bestätigen. C:\Windows\SysWOW64\Werfault.exe C:\Windows\System32\drvinst.exe C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe und ich habe a2service.exe zu den sicheren Programmen hinzugefügt weil online armor mich bei dieser exe datei nicht gefragt hat sondern jeden schreibversuch sofort verboten hat. nur leider schafft es der virus immer noch in C\Windows\Temp\ Also entweder funktioniert die File Shield funktion nicht zuverlässig oder das Programm was den Virus erstellt ist in der Liste der sicheren Programme. Addition.txt FRST.txt Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 21, 2016 ähm die Dateien die Emsisoft ( a2sevice.exe ) in C\Windows\Temp erstellen wollte entsprechen dem Namens-schema der Dateien die von Emsisoft als Virus erkannt werden Download Image Download Image Share this post Link to post Share on other sites
schrauber 30 Report post Posted January 22, 2016 Ich bin noch was am schauen und melde mich, sobald ich Info habe. Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 25, 2016 Emsisoft Anti-Maleware hat mir gerade Mitgeteilt das: "Nachdem die in Quarantäne befindlichen Objekte mit den neu heruntergeladenen Signaturen erneut gescannt wurden hat sich herausgestellt das einige von ihnen Fäschlicherweise erkannt wurden..." also damit hat sich die sache wohl erledigt. https://www.virustotal.com/de/file/f52f8e5ea5336b11519070ecc5ee27b8f8ce3272e56d1c4dd98b3e3312bcde8c/analysis/1453681187/ auf Virustotal wird die datei auch "nur" noch von 16 Scannern als virus erkannt (vorher 20) Damit ist das Thema jetzt wohl erledigt Share this post Link to post Share on other sites
schrauber 30 Report post Posted January 25, 2016 ok Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 29, 2016 ..... jetzt bin ich wieder am anfang. EAM hat es sich gerade wieder anders überlegt und stuft die Datei jetzt wieder als virus ein. virustotal ist von 16 treffern zurück auf 22 Download Image Download Image Download Image Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted January 31, 2016 so da ist der Beweis EAM hat die Dateien selbst erstellt die es als Virus erkennt Scheinbar wird der Virus von Emsisoft dort immer wieder erstellt weil Comodo jedel mal so neugierig ist und die Datei lesen will die Emsisoft erstellt und das ganze beginnt von vorne. Naja irgendwie auch meine schuld mann sollte ja nicht mehrere antivieren-programme kombinieren weil genau solche blöden situationen dabei entstehen können. Download Image Share this post Link to post Share on other sites
schrauber 30 Report post Posted February 2, 2016 Naja irgendwie auch meine schuld mann sollte ja nicht mehrere antivieren-programme kombinieren weil genau solche blöden situationen dabei entstehen können. Jap, und ich würde auch mal Online Armor deinstallieren. Dann saubere Ausnahmen setzen und nochmal testen. Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted February 2, 2016 Leider habe ich noch kein Programm mit HIPS gefunden das Online Armor wirklich ersetzen kann :/ Außerdem verursacht OA ja keine Probleme sondern macht genau das was es soll. wenn das Problem jetzt weiterhin auftaucht deinstaliere ich einfach comodo. Share this post Link to post Share on other sites
schrauber 30 Report post Posted February 3, 2016 Auch eine Idee Share this post Link to post Share on other sites
DNFrozen 0 Report post Posted February 14, 2016 Das Problem ist nicht mehr aufgetaucht und ich kann es auch nicht mehr absichtlich auslösen. Ich schätze das Problem wurde durch das Update auf version 11.0.0.6131 gelöst Share this post Link to post Share on other sites
schrauber 30 Report post Posted February 15, 2016 Danke für die Rückmeldung Share this post Link to post Share on other sites
