Einstein .exe mit Virus infiziert oder Fehlalarm???
- Ersteller DeathSucker
- Erstellt am
DeathSucker
Cadet
- Mitglied seit
- 23.01.2002
- Beiträge
- 31
- Renomée
- 0
Hallo zusammen,
eben hab meine Norton Internet Security Suite 2009 Alarm geschlagen als ich mein Boinc gestartet hab.
Suspicious.Lop wurde in ...\boinc\projects\einstein.phys.uwm.edu\einstein_s5r4_6.10_graphics_windows_intelx86.exe gefunden und erfolgreich gelöscht.
Laut NIS ist es nen Heuristikvirus, sobald der Scanner die .exe gelöscht hat, versucht BOINC ne neue Einstein- Version runterzuladen und das ganze geht von vorne los...
Hier hab ich mal nen Auszug von 3 Zyklen aus dem Boinc- Log:
10.04.2009 12:17:51||file projects/einstein.phys.uwm.edu/einstein_S5R5_3.01_graphics_windows_intelx86.exe not found
10.04.2009 12:17:53|Einstein@Home|Started download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:17:53|Einstein@Home|Computation for task h1_0858.40_S5R4__759_S5R5a_1 finished
10.04.2009 12:17:53|Einstein@Home|Output file h1_0858.40_S5R4__759_S5R5a_1_0 for task h1_0858.40_S5R4__759_S5R5a_1 absent
10.04.2009 12:17:55|Einstein@Home|Finished download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:17:55|Einstein@Home|[error] Signature verification error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:17:55|Einstein@Home|[error] Checksum or signature error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:23:52|Einstein@Home|Sending scheduler request: To fetch work. Requesting 15262 seconds of work, reporting 2 completed tasks
10.04.2009 12:23:57|Einstein@Home|Scheduler request succeeded: got 1 new tasks
10.04.2009 12:23:59|Einstein@Home|Started download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:24:01|Einstein@Home|Finished download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:24:01|Einstein@Home|[error] Signature verification error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:24:01|Einstein@Home|[error] Checksum or signature error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:53:18|Einstein@Home|Sending scheduler request: To fetch work. Requesting 30240 seconds of work, reporting 1 completed tasks
10.04.2009 12:53:23|Einstein@Home|Scheduler request succeeded: got 1 new tasks
10.04.2009 12:53:25|Einstein@Home|Started download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:53:28|Einstein@Home|Finished download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:53:28|Einstein@Home|[error] Signature verification error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:53:28|Einstein@Home|[error] Checksum or signature error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
Also was ist da los? Fehlalarm oder sollte ich mir wirklich Sorgen machen
VG Deathsucker
eben hab meine Norton Internet Security Suite 2009 Alarm geschlagen als ich mein Boinc gestartet hab.
Suspicious.Lop wurde in ...\boinc\projects\einstein.phys.uwm.edu\einstein_s5r4_6.10_graphics_windows_intelx86.exe gefunden und erfolgreich gelöscht.
Laut NIS ist es nen Heuristikvirus, sobald der Scanner die .exe gelöscht hat, versucht BOINC ne neue Einstein- Version runterzuladen und das ganze geht von vorne los...
Hier hab ich mal nen Auszug von 3 Zyklen aus dem Boinc- Log:
10.04.2009 12:17:51||file projects/einstein.phys.uwm.edu/einstein_S5R5_3.01_graphics_windows_intelx86.exe not found
10.04.2009 12:17:53|Einstein@Home|Started download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:17:53|Einstein@Home|Computation for task h1_0858.40_S5R4__759_S5R5a_1 finished
10.04.2009 12:17:53|Einstein@Home|Output file h1_0858.40_S5R4__759_S5R5a_1_0 for task h1_0858.40_S5R4__759_S5R5a_1 absent
10.04.2009 12:17:55|Einstein@Home|Finished download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:17:55|Einstein@Home|[error] Signature verification error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:17:55|Einstein@Home|[error] Checksum or signature error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:23:52|Einstein@Home|Sending scheduler request: To fetch work. Requesting 15262 seconds of work, reporting 2 completed tasks
10.04.2009 12:23:57|Einstein@Home|Scheduler request succeeded: got 1 new tasks
10.04.2009 12:23:59|Einstein@Home|Started download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:24:01|Einstein@Home|Finished download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:24:01|Einstein@Home|[error] Signature verification error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:24:01|Einstein@Home|[error] Checksum or signature error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:53:18|Einstein@Home|Sending scheduler request: To fetch work. Requesting 30240 seconds of work, reporting 1 completed tasks
10.04.2009 12:53:23|Einstein@Home|Scheduler request succeeded: got 1 new tasks
10.04.2009 12:53:25|Einstein@Home|Started download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:53:28|Einstein@Home|Finished download of einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:53:28|Einstein@Home|[error] Signature verification error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
10.04.2009 12:53:28|Einstein@Home|[error] Checksum or signature error for einstein_S5R5_3.01_graphics_windows_intelx86.exe
Also was ist da los? Fehlalarm oder sollte ich mir wirklich Sorgen machen
VG Deathsucker
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.608
- Renomée
- 422
- Standort
- Bayern, am Rande des Wahnsinns
Also Aviras AntiVir meldet bei mir nichts dergleichen (Heuristik auf "Hoch" bei OnDemand), ClamAV findet auch nichts. Wenn, dann ist der Virus auf deinem System, aber nicht in der Einstein-App.
Vermutlich ein Fehlalarm, kommt manchmal vor, grade bei der heuristischen Erkennung werden viele Fehlalarme ausgelöst, da hier meist nur "verdächtige Programmroutinen" abgefragt werden. Zur Sicherheit solltest du einen kompletten Systemcheck machen.
Versuch mal in den BOINC-Manager Einstellungen unter Netzwerk die Option "Image-Dateien nicht überprüfen" zu aktivieren, was dann passiert. Gehst du irgendwie über UMTS oder so online? Da sollen diese verification errors usw öfter vorkommen.
Vermutlich ein Fehlalarm, kommt manchmal vor, grade bei der heuristischen Erkennung werden viele Fehlalarme ausgelöst, da hier meist nur "verdächtige Programmroutinen" abgefragt werden. Zur Sicherheit solltest du einen kompletten Systemcheck machen.
Versuch mal in den BOINC-Manager Einstellungen unter Netzwerk die Option "Image-Dateien nicht überprüfen" zu aktivieren, was dann passiert. Gehst du irgendwie über UMTS oder so online? Da sollen diese verification errors usw öfter vorkommen.
DeathSucker
Cadet
- Mitglied seit
- 23.01.2002
- Beiträge
- 31
- Renomée
- 0
Selbes Problem, sobald der versucht die .exe runterzuladen, schlägt Autoprotect Alarm und löscht diese 
Ich lasse gerade nen kompletten Systemscan durchlaufen, mal sehn ob er was findet...
Ich lasse gerade nen kompletten Systemscan durchlaufen, mal sehn ob er was findet...
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.608
- Renomée
- 422
- Standort
- Bayern, am Rande des Wahnsinns
du könntest die datei natürlich in quarantäne stecken lassen und dann von einem onlinescanner wie zb dem von kaspersky http://www.kaspersky.com/de/virusscanner checken lassen, wenn du ne zweite meinung willst.
Ich tippe aber wie gesagt auf fehlalarm, gabs ja schon öfter, bei RC5-72 zb auch.
Ich tippe aber wie gesagt auf fehlalarm, gabs ja schon öfter, bei RC5-72 zb auch.
Bikeman
Captain Special
- Mitglied seit
- 07.06.2007
- Beiträge
- 247
- Renomée
- 31
Hallo!
Alle Online-Scans haben bisher Entwarnung gegeben. Die Gefahr, dass die apps auf dem Server infinizert sind, ist schon sehr gering, da inzwischen auch die Windows-Apps unter Linux durch einen cross-compiler gebaut werden. Das executable hat also, wenn es auf dem Webserver liegt, noch nie einen Windows-Rechner gesehen
.
Norton selbst schätzt das Riskio bei solchen Alarmen als sehr gering ("very low") ein, offenbar hat man selbst nicht viel Vertrauen in die Treffsicherheit der Heuristik.
http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2009-032722-5015-99&tabid=2
CU
Bikeman
Alle Online-Scans haben bisher Entwarnung gegeben. Die Gefahr, dass die apps auf dem Server infinizert sind, ist schon sehr gering, da inzwischen auch die Windows-Apps unter Linux durch einen cross-compiler gebaut werden. Das executable hat also, wenn es auf dem Webserver liegt, noch nie einen Windows-Rechner gesehen
.Norton selbst schätzt das Riskio bei solchen Alarmen als sehr gering ("very low") ein, offenbar hat man selbst nicht viel Vertrauen in die Treffsicherheit der Heuristik.
http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2009-032722-5015-99&tabid=2
CU
Bikeman
DeathSucker
Cadet
- Mitglied seit
- 23.01.2002
- Beiträge
- 31
- Renomée
- 0
Ok, dann erst mal danke... bis jetze hat der Scan noch nichts ergeben, wenn der wieder Alarm schlagen sollte schließe ich das File aus...
Aber mal noch ne andere Frage, ich habe in meinem Einstein- Ordner mehrere Dateien dieser Art:
einstein_S5R4_6.10_windows_intelx86.exe
einstein_S5R4_6.10_windows_intelx86_0.exe
einstein_S5R4_6.10_windows_intelx86_1.exe oder
einstein_S5R5_3.01_windows_intelx86.exe
einstein_S5R5_3.01_windows_intelx86_0.exe
einstein_S5R5_3.01_windows_intelx86_1.exe und dann noch
einstein_S5R3_4.26_windows_intelx86.exe
einstein_S5R3_4.26_windows_intelx86.pdb
normal so, oder was kann davon weg?
VG Deathsucker
Aber mal noch ne andere Frage, ich habe in meinem Einstein- Ordner mehrere Dateien dieser Art:
einstein_S5R4_6.10_windows_intelx86.exe
einstein_S5R4_6.10_windows_intelx86_0.exe
einstein_S5R4_6.10_windows_intelx86_1.exe oder
einstein_S5R5_3.01_windows_intelx86.exe
einstein_S5R5_3.01_windows_intelx86_0.exe
einstein_S5R5_3.01_windows_intelx86_1.exe und dann noch
einstein_S5R3_4.26_windows_intelx86.exe
einstein_S5R3_4.26_windows_intelx86.pdb
normal so, oder was kann davon weg?
VG Deathsucker
Bikeman
Captain Special
- Mitglied seit
- 07.06.2007
- Beiträge
- 247
- Renomée
- 31
Hallo!
Alle Executables mit S5R3 und S5R4 im Namen werden nicht mehr gebraucht. Es kann aber sein dass die noch in der client_state.xml Datei angegeben sind und automatisch nachgeladen werden, wenn man sie händisch löscht. In dem Fall muss man BOINC anhalten, den entsprechenden Eintrag aus der client_state.xml löschen, die überflüssigen Daten löschen und BOINC wieder starten.
CU
Bikeman
Alle Executables mit S5R3 und S5R4 im Namen werden nicht mehr gebraucht. Es kann aber sein dass die noch in der client_state.xml Datei angegeben sind und automatisch nachgeladen werden, wenn man sie händisch löscht. In dem Fall muss man BOINC anhalten, den entsprechenden Eintrag aus der client_state.xml löschen, die überflüssigen Daten löschen und BOINC wieder starten.
CU
Bikeman
DeathSucker
Cadet
- Mitglied seit
- 23.01.2002
- Beiträge
- 31
- Renomée
- 0
Was mich zu nächsten Frage führt, was muss ich da alles aus der client_state.xml rauslöschen?
Hab da 1314 Zeilen Code drin, die ich hier ungern posten will
bzw. wie muss so nen Eintrag aussehn
VG Deathsucker...
Hab da 1314 Zeilen Code drin, die ich hier ungern posten will
bzw. wie muss so nen Eintrag aussehn
VG Deathsucker...
Bikeman
Captain Special
- Mitglied seit
- 07.06.2007
- Beiträge
- 247
- Renomée
- 31
Am besten so vorgehen:
1) Netzwerkzugriffe im BOINC manager auf "niemals" setzen (Netzwerkzugriffe erstmal abschalten
2) BOINC stoppen
3) Backup des Datenverzeichnisses anlegen (da wo client_state.xml steht und alle Unterverzeichnisse)
4) client_state.xml editieren (siehe unten)
5) BOINC wieder starten. Wenn man alles richtig gemacht hat: wunderbar...ansonsten passiert nicht viel weil man Netzwerkzugriffe vorher abgeschaltet hat. Bei Problemem: BOINC_anhalten, das backup wieder einspielen und von vorne beginnen.
6) wenn alles wieder läuft Netzwerkzugriffe ium BOINC manager wieder einschalten
Die zu löschenenden Einträge sollten so aussehen (hier für Linux, bei Windows mit entsprechend anderen Dateinamen)
<app>
<name>einstein_S5R4</name>
<user_friendly_name>Hierarchical all-sky pulsar search</user_friendly_name>
</app>
und einige Einträge der Form
<file_info>
<name>einstein_S5R4_6.02_i686-pc-linux-gnu_0</name>
<nbytes>0.000000</nbytes>
<max_nbytes>0.000000</max_nbytes>
<status>1</status>
<executable/>
<signature_required/>
<file_signature>
73687b0425deaadf0a5f6592328b6685da5420e1fdae855ea2377d2d7cf4f38f
7ff1393e214dca01aae3f599ff064f391b4cd23f1f73819d7b186c4b29b3faa9
cf1ee72e5fcc63e854cea7094261624e915245660d13668ec09ffe25c8c8f894
9532ae99234b385d8de47aa80778e918a0fdf2e764c07d90c020e0a9ac4360c5
.
</file_signature>
<url>http://einstein.aei.mpg.de/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.astro.gla.ac.uk/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.phys.uwm.edu/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.ligo.caltech.edu/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.aei.mpg.de/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.astro.gla.ac.uk/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.phys.uwm.edu/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.ligo.caltech.edu/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
</file_info>
Niemals nie etwas löschen was S5R5 im Namen hat, ebenfalls tabu sind Dateien der Form h1_xxxx.xx_S5R4 und l1_xxxx.xx_S5R4 , obwohl sie S5R4 im Namen haben (das sind Datenfiles die auch in S5R5 gebraucht haben.
Alles auf eigene Gefahr, beschwert euch nachher nicht ich hätte euch nicht gewarnt. Von dem client_state.xml lässt man normalerweise die Finger.
CU
Bikeman
1) Netzwerkzugriffe im BOINC manager auf "niemals" setzen (Netzwerkzugriffe erstmal abschalten
2) BOINC stoppen
3) Backup des Datenverzeichnisses anlegen (da wo client_state.xml steht und alle Unterverzeichnisse)
4) client_state.xml editieren (siehe unten)
5) BOINC wieder starten. Wenn man alles richtig gemacht hat: wunderbar...ansonsten passiert nicht viel weil man Netzwerkzugriffe vorher abgeschaltet hat. Bei Problemem: BOINC_anhalten, das backup wieder einspielen und von vorne beginnen.
6) wenn alles wieder läuft Netzwerkzugriffe ium BOINC manager wieder einschalten
Die zu löschenenden Einträge sollten so aussehen (hier für Linux, bei Windows mit entsprechend anderen Dateinamen)
<app>
<name>einstein_S5R4</name>
<user_friendly_name>Hierarchical all-sky pulsar search</user_friendly_name>
</app>
und einige Einträge der Form
<file_info>
<name>einstein_S5R4_6.02_i686-pc-linux-gnu_0</name>
<nbytes>0.000000</nbytes>
<max_nbytes>0.000000</max_nbytes>
<status>1</status>
<executable/>
<signature_required/>
<file_signature>
73687b0425deaadf0a5f6592328b6685da5420e1fdae855ea2377d2d7cf4f38f
7ff1393e214dca01aae3f599ff064f391b4cd23f1f73819d7b186c4b29b3faa9
cf1ee72e5fcc63e854cea7094261624e915245660d13668ec09ffe25c8c8f894
9532ae99234b385d8de47aa80778e918a0fdf2e764c07d90c020e0a9ac4360c5
.
</file_signature>
<url>http://einstein.aei.mpg.de/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.astro.gla.ac.uk/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.phys.uwm.edu/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.ligo.caltech.edu/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.aei.mpg.de/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.astro.gla.ac.uk/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.phys.uwm.edu/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
<url>http://einstein.ligo.caltech.edu/download/einstein_S5R4_6.02_i686-pc-linux-gnu_0</url>
</file_info>
Niemals nie etwas löschen was S5R5 im Namen hat, ebenfalls tabu sind Dateien der Form h1_xxxx.xx_S5R4 und l1_xxxx.xx_S5R4 , obwohl sie S5R4 im Namen haben (das sind Datenfiles die auch in S5R5 gebraucht haben.
Alles auf eigene Gefahr, beschwert euch nachher nicht ich hätte euch nicht gewarnt
. Von dem client_state.xml lässt man normalerweise die Finger.CU
Bikeman
DeathSucker
Cadet
- Mitglied seit
- 23.01.2002
- Beiträge
- 31
- Renomée
- 0
K... dann werd ich das mal austesten, momentan rechnet ne Arecibo Binary Pulsar - WU, die läuft noch ~12h, dann werd ich sehn obs gefunzt hat...
Hier werden Sie geholfen
VG Deathsucker
Hier werden Sie geholfen
VG Deathsucker
TAL9000
Grand Admiral Special
Tja, etwas spät, aber wie währe die Methode:
Einstein auf keine neue Aufgaben
Leerlaufen lassen
wenn leer und alle WU zurückgemeldet -> zurücksetzten
Boinc komplett beenden
alles in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BOINC\projects\einstein.phys.uwm.edu löschen
Boinc starten
Einstein wieder Aufgaben erlauben
Laufen lassen
Etwas mehr Traffic (Datafiles und Anwendungen werden wieder geladen) aber sollte "etwas" einfacher sein als in der xml rumzulöschen...
TAL9000
Einstein auf keine neue Aufgaben
Leerlaufen lassen
wenn leer und alle WU zurückgemeldet -> zurücksetzten
Boinc komplett beenden
alles in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BOINC\projects\einstein.phys.uwm.edu löschen
Boinc starten
Einstein wieder Aufgaben erlauben
Laufen lassen
Etwas mehr Traffic (Datafiles und Anwendungen werden wieder geladen) aber sollte "etwas" einfacher sein als in der xml rumzulöschen...
TAL9000
Bikeman
Captain Special
- Mitglied seit
- 07.06.2007
- Beiträge
- 247
- Renomée
- 31
SETI@HOME bleibt davon auch nicht verschont :
http://setiathome.berkeley.edu/forum_thread.php?id=53058
Möglicherweise ist es irgendwas in den BOINC libs die zu den Screensavern dazugelinkt werden was dem NAV nicht koscher vorkommt.
CU
Bikeman
EDIT: Blödsinn, in dem Thread bei SETI geht's auch um die Einstein EXE, sorry,
http://setiathome.berkeley.edu/forum_thread.php?id=53058
Möglicherweise ist es irgendwas in den BOINC libs die zu den Screensavern dazugelinkt werden was dem NAV nicht koscher vorkommt.
CU
Bikeman
EDIT: Blödsinn, in dem Thread bei SETI geht's auch um die Einstein EXE, sorry,
Zuletzt bearbeitet:
Bikeman
Captain Special
- Mitglied seit
- 07.06.2007
- Beiträge
- 247
- Renomée
- 31
Da es vermutlich etwas dauert bis Norton (wenn überhaupt) die Signaturen und Heuristiken ändert um den False-Positive Alarm zu verhindern, wurde eine neue Windows App (3.04) mit einem anderen Screensaver released. Ich hoffe mal NAV hat nichts gegen die neuen EXEs
CU
Bikeman
CU
Bikeman
Ähnliche Themen
