letzte Nacht hat auf unserem Homeserver F-Secure angeblich einen Virus entdeckt. Infiziert soll demnach die Datei ips.exe sein. Bei dem Virus soll es sich um den Trojan.Generic.1222510 handeln.
F-Secure hat diesen Virus „behandelt“ und in eliminert. Dumm nur, dass IPS danach out of service war.
Eine Neuinstallation war zunächt nicht erfolgreich, da F-Secure in der Datei 3520_ips.exe diesen Virus auch findet. Für eine erfolgreiche Neuinstallation muss der Virenscanner also abgeschaltet werden. Erst danach kann dieser wieder eingeschaltet werden. Allerdings muss bei den nicht zu scannenden Verzeichnissen bzw. Dateien zuvor das IPS-Verzeichnis und ips.exe eingetragen werden.
Übrigens läuft bei uns IPS 3.2 schon seit ein paar Wochen, bevor der Virus entdeckt wurde.
Hat sonst noch jemand das gleich Problem?
@paresy
Kannst Du bitte überprüfen, ob es wirklich einen Virus in der genannten Datei gibt oder ob das „nur“ ein Fehlalarm ist, weil in ips.exe bzw. 3520_ips.exe es ein Codemuster gibt, das diesem Virus gleich schaut?
Jepp kann ich bestätigen. Mein Virenscanner hat auch mein ips.exe als virenverseucht (und zwar auch mit dieser angeblichen Bedrohung) erkannt und entfernt Ich habe mich nur gewundert warum seit heute nichts mehr ging und der Dienst als nicht auffindbar gemeldet wird wenn ich versuche die Tray-Komponente zu starten.
Nein, es handelt sich mit sehr großer Wahrscheinlichkeit nicht um einen Virus in der IPS.exe.
Das sieht nach einem klassischen „false positive“ Fall aus.
Leider verwendet paresy immer noch kein gültiges Zertifikat.
Somit wäre die Integrität der Daten durch das Betriebssystem prüfbar und auch die Vierenscanner prüfen die Signaturen.
Es gibt ganz sicher keinen Virus in unserer ips.exe
@mws: War dies auch F-Secure oder ein anderer Virenscanner? @pberndro: Wir werden uns das mit den Zertifikaten einmal ansehen. Evtl. ist es eine gute Option, damit die Virenscanner uns nicht fälschlicher Weise als Virus erkennen.
Codesignatur hat keinen Einfluss auf Virusprogramme.
Codesignatur zeigt dem Anwender, dass das Compilat mit grosser Sicherheit tatsächlich vom Hersteller stammt und nicht nachträglich verändert wurde. Über den Inhalt, oder gar die Funktion des Compilats, sagt die Signatur nichts aus.
Was mich etwas verwundert ist der Umstand, dass es keine weiteren Meldungen seitens der Community zu diesem Problem gibt. Sind mws und ich die Einzigen, die ihre Systeme mit einem entsprechenden Tool absichern oder ist F-Secure an dieser Stelle zu zickig und damit das Problem?
Interessant ist, dass bei muckel der BitDefender nicht angeschlagen hat, dieser bei virustotal.com jedoch gelistet wird, dass er in ips.exe einen Virus findet.
Bei mir läuft aktuell der Build #3521 von IPS, bei muckel der Build #3533. Könnte das die Ursache für die unterschiedlichen Ergebnisse sein?
Der Scan ist älter als 24 Stunden. Mit welcher Virendefinition er durchgeführt wurde können wir von beiden Scans nicht sagen. Ob die selbe Engine dahinter stand ist nicht gewiss. Es ist ja nicht mal klar ob die selbe Dateiversion von IPS gescannt wurde. Mich würde ein anderes Ergebnis jetzt also nicht sonderlich wundern.
Ein false positiv ist weniger selten/seltsam als du jetzt vielleicht annimmst.
Ich denke das könne wir so stehen lassen. Dass nicht nur Browser sondern auch Scanner so handeln muss ich wohl nicht betonen.
[Edit]Dennoch geht die Diskussion etwas am Thema vorbei. false positive können immer und bei jedem Scanner auftreten. Meisst wird das Problem innerhalb eines Tages behoben. Wir können aber auch weiterhin Produktnamen und tagesaktuelle Stati durchs Netz posten. Aber ganz im ernst - Wem nützt das? Es ist ein „false positive“ oder „Fehlalarm“ zu gut deutsch. Wendet euch an den Hersteller eurer Antiviren-Software wenn das Problem weiter besteht.[/Edit]
GDATA meldet bei mir seit einigen Tage auch ständig einen Virus in IPS.exe und schiebt die Datei in Quarantäne.
Leider kann ich Ausbahmen definieren soviel ich will, GDATA schiebt die EXE trotzdem immer wieder weg.
Vermutlich hilft nur einen anderen Scanner zu installieren.:mad:
Gut, dass mein Kaspersky (bisher) noch keine Falsch-Meldung gebracht hat
Aber zur Sicherheit definiere ich solche Pfade/Dateien auch immer als Ausnahme, kann allgemein sonst seltsame Effekte geben… Nicht umsonst geben viele AntiViren-Software-Hersteller in ihren Produkten schon Ausnahmen mit (z.B. für MS Produkte) und andere Hersteller weißen in ihren Installationsanleitungen darauf hin, dass man Dateien/Pfade in die Virenscanner-Ausnahme eintragen soll/muss…
Zum Glück machen wir aber alle immer brav ein Backup :D, dann ist das alles nicht so schlimm
Aber dass dein Virenscanner keine Ausnahmen zulässt ist…naja…ein Grund zu wechseln. Wäre es für mich zumindest. Und schon hast du wieder Virenscanner und IPS am Start