Virus in IPS Version 3.2 ?

Hallo zusammen,

letzte Nacht hat auf unserem Homeserver F-Secure angeblich einen Virus entdeckt. Infiziert soll demnach die Datei ips.exe sein. Bei dem Virus soll es sich um den Trojan.Generic.1222510 handeln.

F-Secure hat diesen Virus „behandelt“ und in eliminert. Dumm nur, dass IPS danach out of service war.

Eine Neuinstallation war zunächt nicht erfolgreich, da F-Secure in der Datei 3520_ips.exe diesen Virus auch findet. Für eine erfolgreiche Neuinstallation muss der Virenscanner also abgeschaltet werden. Erst danach kann dieser wieder eingeschaltet werden. Allerdings muss bei den nicht zu scannenden Verzeichnissen bzw. Dateien zuvor das IPS-Verzeichnis und ips.exe eingetragen werden.

Übrigens läuft bei uns IPS 3.2 schon seit ein paar Wochen, bevor der Virus entdeckt wurde.

Hat sonst noch jemand das gleich Problem?

@paresy
Kannst Du bitte überprüfen, ob es wirklich einen Virus in der genannten Datei gibt oder ob das „nur“ ein Fehlalarm ist, weil in ips.exe bzw. 3520_ips.exe es ein Codemuster gibt, das diesem Virus gleich schaut?

Vielen Dank!

wolkensurfer

Jepp kann ich bestätigen. Mein Virenscanner hat auch mein ips.exe als virenverseucht (und zwar auch mit dieser angeblichen Bedrohung) erkannt und entfernt :frowning: Ich habe mich nur gewundert warum seit heute nichts mehr ging und der Dienst als nicht auffindbar gemeldet wird wenn ich versuche die Tray-Komponente zu starten.

Hallo Zusammen!

Nein, es handelt sich mit sehr großer Wahrscheinlichkeit nicht um einen Virus in der IPS.exe.
Das sieht nach einem klassischen „false positive“ Fall aus.

https://www.virustotal.com/de/file/9954bd0d90b631178072894a570d349b8dfaced4f6c05ecf3ae1880891797d5a/analysis/1417354496/

Leider verwendet paresy immer noch kein gültiges Zertifikat.
Somit wäre die Integrität der Daten durch das Betriebssystem prüfbar und auch die Vierenscanner prüfen die Signaturen.

Hier gibt es einen schönen Blog-Post zu dem Thema.
http://blogs.msdn.com/b/ieinternals/archive/2011/03/22/authenticode-code-signing-for-developers-for-file-downloads-building-smartscreen-application-reputation.aspx

Gruß,
Philip

Es gibt ganz sicher keinen Virus in unserer ips.exe :slight_smile:

@mws: War dies auch F-Secure oder ein anderer Virenscanner?
@pberndro: Wir werden uns das mit den Zertifikaten einmal ansehen. Evtl. ist es eine gute Option, damit die Virenscanner uns nicht fälschlicher Weise als Virus erkennen.

paresy

Codesignatur hat keinen Einfluss auf Virusprogramme.
Codesignatur zeigt dem Anwender, dass das Compilat mit grosser Sicherheit tatsächlich vom Hersteller stammt und nicht nachträglich verändert wurde. Über den Inhalt, oder gar die Funktion des Compilats, sagt die Signatur nichts aus.

Danke paresy für die Info.

Was mich etwas verwundert ist der Umstand, dass es keine weiteren Meldungen seitens der Community zu diesem Problem gibt. Sind mws und ich die Einzigen, die ihre Systeme mit einem entsprechenden Tool absichern oder ist F-Secure an dieser Stelle zu zickig :wink: und damit das Problem?

Gruß

wolkensurfer

Brauchst dich nicht wundern. Brauchst nur den Links von pberndro folgen. :wink:

Gruß,

Toni

Hmm, also mein Bitdefender 2015 hat NICHT angeschlagen !

Interessant ist, dass bei muckel der BitDefender nicht angeschlagen hat, dieser bei virustotal.com jedoch gelistet wird, dass er in ips.exe einen Virus findet.

Bei mir läuft aktuell der Build #3521 von IPS, bei muckel der Build #3533. Könnte das die Ursache für die unterschiedlichen Ergebnisse sein?

Gruß,

wolkensurfer

Nö, eher nicht.

Der Scan ist älter als 24 Stunden. Mit welcher Virendefinition er durchgeführt wurde können wir von beiden Scans nicht sagen. Ob die selbe Engine dahinter stand ist nicht gewiss. Es ist ja nicht mal klar ob die selbe Dateiversion von IPS gescannt wurde. Mich würde ein anderes Ergebnis jetzt also nicht sonderlich wundern.

Ein false positiv ist weniger selten/seltsam als du jetzt vielleicht annimmst.

Toni

Ich nutze AD Adware, der einzige mir bekannte Anbieter der eine Freeware Version anbietet, die man auf einem WHS einsetzen kann.

Gesendet von meinem Xperia Z2 Tablet mit Tapatalk.

Moin Moin,

wir verwenden Sophos Antivirus , ein echt gutes Programm , das erkennt in der ips.exe „KEINEN VIRUS“.

Ich benutze ESET NOD32. Kein Virus.

Das sehe ich nicht so.

Ich denke das könne wir so stehen lassen. Dass nicht nur Browser sondern auch Scanner so handeln muss ich wohl nicht betonen.

[Edit]Dennoch geht die Diskussion etwas am Thema vorbei. false positive können immer und bei jedem Scanner auftreten. Meisst wird das Problem innerhalb eines Tages behoben. Wir können aber auch weiterhin Produktnamen und tagesaktuelle Stati durchs Netz posten. Aber ganz im ernst - Wem nützt das? Es ist ein „false positive“ oder „Fehlalarm“ zu gut deutsch. Wendet euch an den Hersteller eurer Antiviren-Software wenn das Problem weiter besteht.[/Edit]

Toni

hast Du evtl. „nicht“ vergessen?
:confused: Verwirrt ich bin. :confused: Das Zitat von Symantec widerspricht doch dem ersten Zitat im Posting - oder bin ich falsch?

Richtig. Ich bin nicht robis Meinung und wollte es mit einem Zitat von Symantec wiederlegen. Gut aufgepasst Schulterklopf :wink:

Habs mal deutlicher gemacht.

GDATA meldet bei mir seit einigen Tage auch ständig einen Virus in IPS.exe und schiebt die Datei in Quarantäne.
Leider kann ich Ausbahmen definieren soviel ich will, GDATA schiebt die EXE trotzdem immer wieder weg.

Vermutlich hilft nur einen anderen Scanner zu installieren.:mad:

Gut, dass mein Kaspersky (bisher) noch keine Falsch-Meldung gebracht hat :cool:

Aber zur Sicherheit definiere ich solche Pfade/Dateien auch immer als Ausnahme, kann allgemein sonst seltsame Effekte geben… Nicht umsonst geben viele AntiViren-Software-Hersteller in ihren Produkten schon Ausnahmen mit (z.B. für MS Produkte) und andere Hersteller weißen in ihren Installationsanleitungen darauf hin, dass man Dateien/Pfade in die Virenscanner-Ausnahme eintragen soll/muss…

Zum Glück machen wir aber alle immer brav ein Backup :D, dann ist das alles nicht so schlimm :smiley: :wink:

Grüße,
Chris

Zum Glück machen wir aber alle immer brav ein Backup :D, dann ist das alles nicht so schlimm

Naja, so toll finde ich es nicht, daß ich meinen Scanner und IPS aktuell nicht gleichzeitig betreiben kann.:cool:

Aber dass dein Virenscanner keine Ausnahmen zulässt ist…naja…ein Grund zu wechseln. Wäre es für mich zumindest. Und schon hast du wieder Virenscanner und IPS am Start :slight_smile:

MfG,
Chris