Hallo,
ich möchte Euch gerne an meinen Erfahrungen teilhaben lassen:
Während meiner Arbeit mit "Total Commander" bekam ich plötzlich eine Warnung vom AntiViren-Programm "NOD32" vor einer vermeintlichen Bedrohung durch die Datei "wincmd.ini" angezeigt.
Das Modul "AMON" von "NOD32" zeigte dabei folgende Alarm Details an:
"Datei:
...\wincmd.ini
Threat:
möglicherweise eine Variante von JS/NoClose.A Trojaner
Kommentar:
Versuch Datei zu ändern durch: ...\TOTALCMD.EXE..."
Nach einigem Rumprobieren bin ich dann der Ursache des Problems auf die Schliche gekommen:
Die Datei "wincmd.ini" war - wodurch auch immer - so geändert worden, dass sie unter "Configuration" bei "Test" einen Wert enthielt, durch den die Datei nicht mehr geändert werden konnte. Sobald "Total Commander" einen Versuch unternahm, Einstellungen in ihr zu speichern, blockierte "NOD32" den Zugriff darauf und stellte sie unter "Quarantäne".
Die Lösung sah dann so aus:
1. "Total Commander"-Fenster schliessen
2. Sicherheitskopie von der Datei "wincmd.ini" aufspielen
3. im Editor überprüfen, dass "Test" keinen Wert enthält, gegebenenfalls entfernen, somit der Eintrag also "Test=" lautet
Vielleicht ist ja mein Tipp für Euch bei ähnlichen Schwierigkeiten ebenfalls hilfreich.
Mit freundlichen Grüßen
Mister Floppy
Fälschlicherweise entdeckte Bedrohung in "wincmd.ini&qu
Moderators: Hacker, Stefan2, white
-
Mister Floppy
- Junior Member
- Posts: 24
- Joined: 2004-02-13, 20:17 UTC
- Location: Erde
Fälschlicherweise entdeckte Bedrohung in "wincmd.ini&qu
Gib Spam keine Chance: www.sneakemail.com
-
sqa_wizard
- Power Member
- Posts: 3896
- Joined: 2003-02-06, 11:41 UTC
- Location: Germany
Das wird nicht viel nützen ...somit der Eintrag also "Test=" lautet
Dieser Eintrag dient dem TC nur zum "Test" ob die wincmd.ini Datei überhaupt beschreibbar ist.
Der Wert wird jedesmal ausgelesen, geändert und überprüft, ob der geänderte Wert gespeichert wurde.
Jetzt wird schon verhindert, dass ein Programm in seine eigene Einstellungsdatei schreiben darf ... tollDa fällt einem echt nichts mehr zu ein
Demnächst wird wohl schon ein Login erfolgreich geblockt um den Schädlingsimport durch den Benutzer zu verhindern ...
#5767 Personal license
Hm, mich wuerde interessieren, woran das lag. NOD wuerde ich nicht von vornherein ohne jegliches Ueberlegen als den einzig wahrhaftigen Uebeltaeter bezeichnen.
Roman
Roman
Mal angenommen, du drückst Strg+F, wählst die FTP-Verbindung (mit gespeichertem Passwort), klickst aber nicht auf Verbinden, sondern fällst tot um.
-
ghisler(Author)
- Site Admin
- Posts: 50830
- Joined: 2003-02-04, 09:46 UTC
- Location: Switzerland
- Contact:
Bei mir hat sich NOD32 noch nie über die wincmd.ini beklagt, dafür reklamiert er immer mal wieder, wenn ich über eine Batchdatei und w_g_e_t(!) ein Backup der Forendatenbank mache...
Ich würde die wincmd.ini einfach vom Scanvorgang ausschliessen. INI-Dateien können sowieso keine Viren enthalten...
Ich würde die wincmd.ini einfach vom Scanvorgang ausschliessen. INI-Dateien können sowieso keine Viren enthalten...
Author of Total Commander
https://www.ghisler.com
https://www.ghisler.com
-
Mister Floppy
- Junior Member
- Posts: 24
- Joined: 2004-02-13, 20:17 UTC
- Location: Erde
Hallo nochmal,
Habt Ihr Lust auf ein kleines Experiment? Aber bitte vorher unbedingt eine Sicherheitskopie Eurer "wincmd.ini" anlegen!
- öffnet "wincmd.ini" mit einem Editor
- tragt "firstmnu=2671" ein
- tragt "Test=59" ein
- speichert "wincmd.ini"
Das sind genau die ominösen Werte, die in meiner "wincmd.ini" aufgrund unbekannter Umstände zustande gekommen waren und "NOD32" in Aktion haben treten lassen. Eventuell müsst Ihr TC öfter mal hintereinander starten, Einstellungen ändern, damit er "wincmd.ini" updatet, und ihn dann schliessen, damit der Falschalarm ausgelöst wird.
Ich bin auf Euer Feedback gespannt!
CU
Mister Floppy
Besser als das sch**** "Norton AntiVirus" von Symantec ist es alle mal... aber ich wollte mit meinem Beitrag jetzt keinen Streit zum Thema "Welches ist das beste/schlechteste AntiViren-Tool" vom Zaun brechenDa fällt einem echt nichts mehr zu ein. Unfassbar wie scheisse nod32 ist
Also, ich habe TC versuchsweise etliche Male hintereinander gestartet, einige Einstellungen geändert, damit "wincmd.ini" neu geschrieben wird, TC beendet und wieder gestartet... bei mir bleibt der Eintrag "Test=" stets gleich!Das wird nicht viel nützen ...
Dieser Eintrag dient dem TC nur zum "Test" ob die wincmd.ini Datei überhaupt beschreibbar ist.
Der Wert wird jedesmal ausgelesen, geändert und überprüft, ob der geänderte Wert gespeichert wurde.
Das kann ich nicht genau nachvollziehen... ich könnte mir aber vorstellen, dass ich vielleicht eine weitere Instanz von TC gestartet hatte, während die erste noch lief, und beim Beenden der "verhängnisvolle" Wert unter "Test=" zustande gekommen ist.Hm, mich wuerde interessieren, woran das lag. NOD wuerde ich nicht von vornherein ohne jegliches Ueberlegen als den einzig wahrhaftigen Uebeltaeter bezeichnen.
Die Konfiguration habe ich auch auf meinem System. Inzwischen habe ich herausgefunden, dass wohl der Wert unter "firstmnu" ebenfalls eine Rolle für den Falschalarm von "NOD32" spielt.Ich habe auch NOD32 und keinerlei Probleme damit.
Der Eintrag in der Wincmd.ini lautet bei mir zur Zeit
Test=104
TC Version 7.0 XP Home SP2 alle Patches
Habt Ihr Lust auf ein kleines Experiment? Aber bitte vorher unbedingt eine Sicherheitskopie Eurer "wincmd.ini" anlegen!
- öffnet "wincmd.ini" mit einem Editor
- tragt "firstmnu=2671" ein
- tragt "Test=59" ein
- speichert "wincmd.ini"
Das sind genau die ominösen Werte, die in meiner "wincmd.ini" aufgrund unbekannter Umstände zustande gekommen waren und "NOD32" in Aktion haben treten lassen. Eventuell müsst Ihr TC öfter mal hintereinander starten, Einstellungen ändern, damit er "wincmd.ini" updatet, und ihn dann schliessen, damit der Falschalarm ausgelöst wird.
Ich bin auf Euer Feedback gespannt!
CU
Mister Floppy
Gib Spam keine Chance: www.sneakemail.com
Me too.ghisler(Author) wrote:Ich würde die wincmd.ini einfach vom Scanvorgang ausschliessen.
Das würde ich so pauschal nicht sagen. Wenn BAT/CMD als mögliche Gefahrenquelle gelten, dann theoretisch auch jede andere Datei:ghisler(Author) wrote:INI-Dateien können sowieso keine Viren enthalten...
Schadcode schreiben in *.INI, dazu eine Batch, die diese *.INI zeilenweise einliest und ausführt (habe ich gerade in der Praxis getestet - funktioniert).
Ziemlich unwahrscheinlich, dass dafür ausgerechnet die wincmd.ini missbraucht wird, aber möglich...
Who the hell is General Failure, and why is he reading my disk?
-- TC starter menu: Fast yet descriptive command access!
-- TC starter menu: Fast yet descriptive command access!
unter vista mit heutigem aktuellen nod kein thema. xp probier ich noch aus!Mister Floppy wrote: Habt Ihr Lust auf ein kleines Experiment? Aber bitte vorher unbedingt eine Sicherheitskopie Eurer "wincmd.ini" anlegen!
- öffnet "wincmd.ini" mit einem Editor
- tragt "firstmnu=2671" ein
- tragt "Test=59" ein
- speichert "wincmd.ini"
Ich bin auf Euer Feedback gespannt!
Da passiert bei mir nichts. Kann den TC starten und der updated auch seine ini. Kann ihn wieder starten usw. Kein Problem mit NOD32Mister Floppy wrote:Hallo nochmal,
Habt Ihr Lust auf ein kleines Experiment? Aber bitte vorher unbedingt eine Sicherheitskopie Eurer "wincmd.ini" anlegen!
- öffnet "wincmd.ini" mit einem Editor
- tragt "firstmnu=2671" ein
- tragt "Test=59" ein
- speichert "wincmd.ini"
http://www.heise.de/newsticker/meldung/92016Lefteous wrote:Da fällt einem echt nichts mehr zu ein. Unfassbar wie scheisse nod32 ist
Nicht mal zwei Stunden vom Report uber einen False positive bis zum Fix.
Dann noch, zugegeben, 17 Stunden fur einen Fix, der alle eventuellen False positives diesbezuglich korrigiert.
Roman
Dann noch, zugegeben, 17 Stunden fur einen Fix, der alle eventuellen False positives diesbezuglich korrigiert.
Roman
Mal angenommen, du drückst Strg+F, wählst die FTP-Verbindung (mit gespeichertem Passwort), klickst aber nicht auf Verbinden, sondern fällst tot um.