Plugin SynPlus komplett deinstallieren wegen Virenverdacht

m_vetdoc · Post by *m_vetdoc » 2006-02-13, 15:25 UTC

Hallo TC-User,

hier mal eine etwas dumme Frage.

Ich möchte das Lister-Plugin "SysPlus" entgültig deinstallieren.

Wenn ich aber über Konfigurieren/Plugins/Lister-Plugin-Konfig, das "SysPlus" entfernen, ist es zwar aus TC verschwunden. Leider kann sysplus.wlx auch nach einem TC-Neustart und auch PC-Neustart nicht gelöscht werden. Auch über cmd lässt sich die Datei nicht löschen. Meldung: Datei kann nicht gelöscht werden, da sie von einem anderen Prozess verwendet wird.

Von welchem Prozess wird denn die synplus.wlx sonst noch genutzt? Seltsamerweise wird mein Virenscanner beim Rechnerstart seit letzter Woche immer zum Absturz gebracht. Zeitgleich mit der Installation dieses Plugins "Synplus 2.7.1".
Nein, ich war auf keiner "Schmuddel-Webseite", keine neue Software installiert (außer TC und Plugins), nein keine emails-Att. geöffnet.

Wer weis Rat und kann mir helfen?

Gruss
Alex

Post by *ghisler(Author) » 2006-02-13, 15:47 UTC

Mir ist da kein Problem bekannt. Bitte mal mit dem Tool Unlocker testen, wer das File blockiert:
http://ccollomb.free.fr/unlocker

m_vetdoc · Post by *m_vetdoc » 2006-02-13, 16:05 UTC

Danke für die schnelle Antwort und diese Software.

Es ist mein Antivirenprogramm, der die Datei Synplus.wlx festnagelt.

Leider ist telefonisch ab 16:30 Uhr niemand mehr erreichbar

und so muss ich bis morgen früh warten. Denn ich weis nicht, für was diese exe zuständig ist. Herausgefunden habe ich nur, dass Diese als Dienst läuft.

Gruss
Alex

Sheepdog · Post by *Sheepdog » 2006-02-13, 18:06 UTC

Du kannst auch hier Dateien online auf Viren prüfen lasssen. Dabei werden die Dateien von mehreren Scannnern untersucht. Dies hat den Vorteil, dass ein eventueller Fehlalarm mit einiger Wahrscheinlichkeit aufgedeckt wird.

Ich schätze mal, dass Dein Virenscanner dieses Plugin nicht mag, weil es mit UPX gepackt ist, ein Format mit dem leider noch nicht alle Antivirenprogramme etwas anfangen können.

Du kannst übrigens mit Unlocker die Datei auch entsperren (unlock), so dass Du sie danach einfach löschen kannst.

sheepdog

m_vetdoc · Post by *m_vetdoc » 2006-02-13, 18:54 UTC

Deinem Tipp bin ich gefolgt.
unbedeutendes Ergebnis:

EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

Kein Antivirenprogramm meckert die Datei an. Auch Norman, mein Antivirenprog. scannt diese Datei anstandslos.
Es ist die Datei nvcoas.exe, die die .wlx klemmt und da weis ich nicht für was diese Datei zuständig ist. Dies werde ich morgen mit der Fa. Promus telefonisch abklären.

Gruss
Alex

Post by *Hacker » 2006-02-13, 20:09 UTC

http://www.liutilities.com/products/wintaskspro/processlibrary/NVCOAS/

HTH
Roman

Sheepdog · Post by *Sheepdog » 2006-02-13, 21:01 UTC

Hier wird erklärt, dass diese nvocas.exe für den 'on Access' scan zuständig ist. D.h. diese Datei (soll) anfangen zu scannen, sobald auf eine Datei im laufenden Betrieb zugegriffen wird.

Man kann SynUS.wlx auch mit UPX entpacken, dann läuft es trotzdem. Dein Antivirenprog sollte dann aber nichts mehr zu beanstanden haben (genau wie der Onlinescanner).
Es ist jhalt nur gepackt, damit es nicht soviel Platz einnimmt (Totalcmd.exe ist übrigens auch mit UPX gepackt.

Hast Du eigentlich den Total Commander nach der Deinsatllation von SynUs.wlx neu gestartet? Wenn nicht, dann kann es durchaus sein, dass das Plugin noch im Speicher ist, was erklärt, dass die NVOCAS.exe sie immer noch (erfolglos, weil UPX gepackt) zu scannen versucht. Auch ein Rechnerneustart könnte hilfreich sein, weil NVOCAS.exe evtl. vor lauter Scanversuchen gar nicht mitbekommen hat, dass die Datei gar nicht mehr ausgeführt werden soll.

sheepdog

Peter · Post by *Peter » 2009-12-15, 11:57 UTC

Sheepdog wrote:....Man kann SynUS.wlx auch mit UPX entpacken, dann läuft es trotzdem....

Habe ich jetzt prbiert - mit Synplus vom 1.6.2006 und der aktuellen UPX-Befehlszeilenversion vom September 2009:

UPX wrote:Not packed by UPX

ist das Ergebnis.

Warum?

Peter

Post by *ghisler(Author) » 2009-12-17, 16:46 UTC

Nur SynUs ist mit UPX gepackt, nicht das neuere SynPlus. Dieses scheint nicht mit einem EXE-Packer gepackt zu sein.

Peter · Post by *Peter » 2009-12-17, 18:20 UTC

Danke.

Peter