Norton insight meldet Bedohung SONAR.AM.C!g24

[Blade]

Macht der bei der Neuesten Version
totalcmd64.exe Version 9.0a

_________________
Dateiname: totalcmd64.exe
Name der Bedrohung: SONAR.AM.C!g24Vollständiger Pfad: c:\program files (x86)\totalcmd\totalcmd64.exe

____________________________

____________________________


Auf Computern ab 
17.12.2016 um 08:32:11

Zuletzt genutzt 
17.12.2016 um 08:32:11

Startobjekt 
Nein

Gestartet 
Ja

SONAR-Schutz überwacht Ihren Computer auf verdächtige Programmaktivitäten.

____________________________


totalcmd64.exe Name der Bedrohung: SONAR.AM.C!g24
Suchen


Wenige Benutzer
Weniger als 100 Benutzer in der Norton Community haben diese Datei verwendet.

Sehr neu
Diese Datei wurde vor weniger als 1 Woche veröffentlicht.

Hoch
Das Risiko dieser Datei ist hoch.


____________________________


Quelle: Externer Datenträger

Quelldatei:
totalcmd64.exe

____________________________

Systemeinstellungsaktionen

Ereignis: Prozessstart (Ausgeführt von c:\program files (x86)\totalcmd\totalcmd64.exe, PID:5408) Reparatur nicht versucht
\REGISTRY\USER\S-1-5-21-3233348498-1545500274-3641201586-1000\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\Endpoints (Ausgeführt von c:\program files (x86)\totalcmd\totalcmd64.exe, PID:5408) Reparatur nicht versucht
\REGISTRY\USER\S-1-5-21-3233348498-1545500274-3641201586-1000\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\Endpoints:{9C01BFA2-1528-447C-856B-A7530086EA79} (Ausgeführt von c:\program files (x86)\totalcmd\totalcmd64.exe, PID:5408) Reparatur nicht versucht
\REGISTRY\USER\S-1-5-21-3233348498-1545500274-3641201586-1000_CLASSES\Local Settings\MuiCache\159\46693477:LanguageList (Ausgeführt von c:\program files (x86)\totalcmd\totalcmd64.exe, PID:5408) Reparatur nicht versucht
Ereignis: Prozessstart (Ausgeführt von c:\program files (x86)\totalcmd\totalcmd64.exe, PID:8032) Reparatur nicht versucht
\REGISTRY\USER\S-1-5-21-3233348498-1545500274-3641201586-1000\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\Endpoints (Ausgeführt von c:\program files (x86)\totalcmd\totalcmd64.exe, PID:8032) Reparatur nicht versucht
\REGISTRY\USER\S-1-5-21-3233348498-1545500274-3641201586-1000\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\Endpoints:{B4049DB5-2750-4A76-B35E-E0ED75CC58A7} (Ausgeführt von c:\program files (x86)\totalcmd\totalcmd64.exe, PID:8032) Reparatur nicht versucht
____________________________


Dateiabdruck - SHA:
6a465b60e26b51e7c33ed5a2771dd2ed4ef9ddec6ae6257d0d8042ea29889771
Dateiabdruck - MD5:
Nicht verfügbar

[Horst.Epp]

Und was willst du uns damit sagen ?
Es wird Zeit Norton zu deinstallieren, ansonsten ignorieren.
Schon mal was von VirusTotal gehört ?
Detection 0/55
https://www.virustotal.com/en/file/6a465b60e26b51e7c33ed5a2771dd2ed4ef9ddec6ae6257d0d8042ea29889771/analysis/

[JMS]

Es ist offensichtliche in Fehlalarm des "Norton", der wohl mit dem Nachfolger des alten "Norton Commander" nicht klarkommt (klarkommen will)

[karlchen]

Halo, Blade.

Da veranstaltet Symantec Antivirus nun mit der aktuellen Total Commander 9.0a Programmdatei den gleichen völlig sinnfreien Zirkus, den wir vor nur gut einem Monat bei einem T.C. Plugin erlebt haben: Virus Warning: Plugin 'Expander'

Kurz und schlecht:
Symantec überprüft "den guten Ruf" einer Programmdatei. Wenn (noch) zu wenige Symantec Benutzer die betroffene Programmdatei benutzen, dann bescheinigt Symantec der Programmdatei einfach schon mal vorsorglich einen "schlechten Ruf", weil noch nicht genügend Daten vorliegen, und interniert sie kurzerhand in Guantanamo.
Motto: "Ich kenn dich nicht, darum mag ich dich nicht und sperr dich ein."

Fazit:
Das ist kein Fehlalarm; Symantecs Reputationsprüfung ist schlicht und ergreifend eine in Programmcode gegossene Fehlkonstruktion. Genauso sinnvoll und zuverlässig wie Kaffeesatzlesen.

Grüße,
Karl

[HolgerK]

Wenige Benutzer
Weniger als 100 Benutzer in der Norton Community haben diese Datei verwendet.

Sehr neu
Diese Datei wurde vor weniger als 1 Woche veröffentlicht.

Hoch
Das Risiko dieser Datei ist hoch.

Das ist kein Fehlalarm; Symantecs Reputationsprüfung ist schlicht und ergreifend eine in Programmcode gegossene Fehlkonstruktion. Genauso sinnvoll und zuverlässig wie Kaffeesatzlesen.

Jo. Schlangenöl eben.
Wenn's wenigstens noch eine mehrheitliche Beurteilung wäre: Reputationsprüfung.
Aber nein, was der Bauer nicht kennt, frisst ist er nicht.


Holger

[matixx]

Danke Blade, lieber einmal zuviel gewarnt als zu wenig.

Schon interessant wie übertrieben sensibel Virendefinitionen mittlerweile entstehen.

Gruss maat

[HolgerK]

Schon interessant wie übertrieben sensibel Virendefinitionen mittlerweile entstehen.

Früher(tm) war eine Virendefinition dadurch gekennzeichnet, das bestimmte Codefragmente in ausführbaren Dateien eine grosse Ähnlichkeit zu bekanntem Schadcode enthielten.
Heutzutage scheint es als ausreichend anerkannt zu sein, das das Datum einer Datei und der Verbreitungsgrad einer Datei einen Indiz für schädlichen Code darstellt
Eigentlich eine Armuts(Kapitulations-)erklärung der Hersteller von Virenscanner, die weder anhand von Programmverhalten noch anhand einer Signatur erkennen können, ob ein Programm schädlich ist oder nicht (Mal ganz davon abgesehen, das verseuchte Softwareinstallationen auch aufgrund von Fake-Beurteilung ganz schnell als unverdächtige Software eingestuft werden könnten).
Cloud -Intelligenz eben.

Wenn ich so einen Virenwächter als Entwickler einsetzen würde, dann wäre jeder Programmstart einer gerade neu übersetzten Programmversion eine Infektion

lieber einmal zuviel gewarnt als zu wenig.

Schon mal etwas von Desensibilisierung gehört?
Wer einmal lügt, dem glaubt man nicht, und wenn er auch die Wahrheit spricht.

Gruss
Holger

[milo1012]

Wurde übrigens schon am Donnerstag hier im Forum als Bug gemeldet.

[Blade]

Das der TCM selbst keine kein Virus/Schadsoftware ist, ist klar. Trotzdem hätte die Datei befallen sein können,... bei so etwas ist Virustotal immer meine erste Wahl.

Was mich nur wunderte, Norton hat bisher ehr keine Fehlalarme gegeben. und dann ausgerechnet bei diesem Programm.

Nun, bin halt bei der Ganzen Verschlüsselungsscheiße die hier überall rumfliegt ehr skeptischer und misstrauischer geworden, als abzustumpfen. und solche Meldungen zu ignorieren.


im englischen Teil hatte ich derweilen nicht gesucht,....sorry

[Dalai]

Trotzdem hätte die Datei befallen sein können,...

Das kannst du ganz leicht selbst ermitteln, indem du in den Eigenschaften der totalcnd(64).exe die digitale Signatur im gleichnamigen Register überprüfst. Unter anderem dazu ist die nämlich da.

Grüße
Dalai

[karlchen]

Hi, Blade.

Du hast nichts falsch gemacht. Ist schon richtig, lieber einmal zu viel nachzufragen, als zu wenig.
Es ist Norton Insight / Symantec, das hier grundlose Panikmache betreibt.
Wenn alles, was gegen eine Programmdatei vorliegt, die Tatsache ist, dass Symantec Benutzer es bisher nur selten heruntergeladen haben, so ist das alle Mögliche, aber kein fundierter Grund dafür, zu unterstellen, die Programmdatei sei Schadsoftware.
Diese ganze Leumundsprüfung ist ein Haufen Blödsinn.

Grüße,
Karl

[HolgerK]

Das der TCM selbst keine kein Virus/Schadsoftware ist, ist klar. Trotzdem hätte die Datei befallen sein können,... bei so etwas ist Virustotal immer meine erste Wahl.

Wenn ein Virus auch nur ein Byte im TC-Code ändert, würde folgender Dialog beim Start des modifizierten TC angezeigt:

Code: Select all

---------------------------
Total Commander
---------------------------
WARNING The TOTALCMD executable file is corrupted, possible VIRUS!
Totalcmd will close. Please run a virus scanner as soon as possible!
---------------------------
OK   
---------------------------

und das alles ohne einen laufenden Virenscanner oder eine manuelle Überprüfung der digitalen Signierung (lustigerweise ist das Zertifikat anscheinend auch noch von Symantec selbst ausgestellt worden).

Nicht falsch verstehen.
Virenscanner haben schon ihre Berechtigung.
Aber ein zu scharf eingestellter Virenscanner (z.B. höchste heuristische Erkennung) ist imho mehr schädlich als nützlich.

Gruss
Holger

[JMS]

Das der TCM selbst keine kein Virus/Schadsoftware ist, ist klar. Trotzdem hätte die Datei befallen sein können,...

Ich lade Dateien immer aus bekannten Quellen.
Wenn man den TC aus irgendeinem "Crackz" - Downloadbereich lädt, dann kann man sicher nicht sicher sein, aber bei direktem Download von gishler.com würde mich in Virenbefall schon sehr wundern.

Unmöglich ist aber natürlich nichts.

[JMS]

Wenn ein Virus auch nur ein Byte im TC-Code ändert, würde folgender Dialog beim Start des modifizierten TC angezeigt:

Code: Select all

---------------------------
Total Commander
---------------------------
WARNING The TOTALCMD executable file is corrupted, possible VIRUS!
Totalcmd will close. Please run a virus scanner as soon as possible!
---------------------------
OK   
---------------------------

Eine diesbezüglich präparierte EXE würde diese Meldung aber auch nicht anzeigen bzw. diese käme dann eh zu spät....

[ghisler(Author)]

Bitte machen Sie folgendes, wenn so eine ähnlich Warnung auftritt:
1. In den Quarantänebereich des Scanners gehen
2. Die Datei an den Scannerhersteller zur Analyse schicken
3. Warten, dass der Scannerhersteller die Datei in den Signaturen als unbedenklich markiert.

Wahrscheinlich ist das inzwischen schon geschehen, d.h. Sie können die Datei aus ser Quarantäne holen oder erneut herunterladen, ohne dass es eine weiter Virenmeldung gibt.