Patrick: Verdacht: letzte MäcAffe DAT-File selbst ein Virus?

Hallo!

Als "Latest-Feature-Junkie" würde ich mich zwar nicht bezeichnen, aber ich besuche regelmässig die Windows-Update-Seite und vor allem, nachdem Bio mit liebevoller Gleichmässigkeit auf Sicherheitsmängel des IE hinweist, hole ich mir, wenn vorhanden, alle mögliche Service Packs und Patches herunter ;-)

So auch beim Antivirusprogramme MäcAffe. Er erinnert alle 30 Tage daran, die letzte Virendefinitionsdateien (DAT-Files) herunterzuladen und zu installieren - wenn es mir einfällt, rufe ich diese sogar zwischendurch auf.

Nun wissen einige Leser hier, dass ich vor 2 Tagen mächtige Probleme mit Blue Screens hatte, die mich sogar veranlassten, zur radikalster aller Lösung zurückzugreifen: format c: und Reinstallation.

Als erster Schritt danach wurde natürlich die Fritz!-Software wieder installiert - um so schnell wie möglich ins Inet gehen zu können - dann wurde alles von Windows-Update wieder heruntergeladen, was durch die Plattenformatierung verloren ging (SP1 für IE, diverse Sicherheits"pakete", etc...), und zuletzt den MäcAffe installiert und gleich die neueste DAT-File aus dem Internet geholt und installiert.

Und unsere Blue Screens sind wieder da, die Schutzverletzungen lassen auch nicht locker. Da sowas nach einer frischen Installation eigentlich nicht sein darf, zumal eine Vielzahl der Programme, die ich sonst nutze, noch nicht installiert sind, mussten wir unsere grauen Zellen etwas einstrengen, was nach einer gestrigen Betriebsfeier etwas schwer fiel, und dabei den den Fokus auf Fakten, Fakten, Fakten setzen ;-)

Fakte sind:

  • die Kiste lief 8 Monate ohne (diese) Probleme
  • die Probleme (ständige Blue Screens) traten in
      diesem Ausmass erst seit 3 Tagen auf
  • die Blue Screens traten nur beim Surfen auf, vor
      allem dann, wenn man eine Seite wechselt
  • dieses dann zu 99% wenn die neue Seite in einem
      neuen Fenster geöffnet wird (target=_blank)
  • die Probleme treten nach der Neuinstalltion auch auf

Was war also los vor 3 Tagen? Da habe ich die neueste DAT-File von MäcAffe installiert, sie trägt den Zeitstempel 08/15/2001 (das allein hätte mich stutzig machen müssen und das sehe ich erst jetzt, wo ich es hier geschrieben habe: 08/15 *g*). Und eben diese
DAT-File holte sich die Update-Routine von MäcAffe nach der Reinstallation wieder.

Also, MäcAffe deaktiviert und maguckewaspassiert. Im Moment surfe ich bereits 2 Stunden ohne Blue Screen (tolle Leistung, hey). Es reicht vielleicht nicht, um den Verdacht zu festigen, aber man muss doch zugeben, das dieser nahe liegt, oder?

Daher meine Frage an die hiesige Surfgemeinde: wer hat auf einem System mit Win ME, IE 5.5 SP1 den MäcAffe 5 installiert (Scan Engine: 4.1.40, DAT-File 4.0.4154 vom 15.08.2001, Webscan aktiviert) und hat seitdem Probleme beim Aufruf von Webseiten?

Sollte es tatsächlich mit der DAT-File zusammenhängen, so müsste man, meine ich, die von MäcAffe informieren...

Auf den Schutz eines Virenscanners im Hintergrund möchte ich auf Dauer nicht verzichten, denn während ich dieses Posting schrieb, kam eine Mail von unbekanntem Absender ohne Betreff mit einer .exe als Attachment (KGKEEFKG.exe)...

Patrick
<hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash>

  1. Hi Patrick,

    Nun wissen einige Leser hier, dass ich vor 2 Tagen mächtige Probleme mit Blue Screens hatte, die mich sogar veranlassten, zur radikalster aller Lösung zurückzugreifen: format c: und Reinstallation.

    Ich kenne mich zwar mir Viren nicht so aus, aber mir sieht das von dir beschriebene Problem nicht so sehr nach einem Virus aus. Sondern einfach nach einer merkwürdigen Inkompatibilität. Bei mir stürzt der IE auch manchmal ab ohne, dass es dafür einen Grund gibt. Merkwürdigerweise lässt sich dieses Verhalten dann sogar reproduzieren oder eben auch gezielt umgehen.

    Daher meine Frage an die hiesige Surfgemeinde: wer hat auf einem System mit Win ME, IE 5.5 SP1 den MäcAffe 5 installiert (Scan Engine: 4.1.40, DAT-File 4.0.4154 vom 15.08.2001, Webscan aktiviert) und hat seitdem Probleme beim Aufruf von Webseiten?

    Sollte es tatsächlich mit der DAT-File zusammenhängen, so müsste man, meine ich, die von MäcAffe informieren...

    Auf den Schutz eines Virenscanners im Hintergrund möchte ich auf Dauer nicht verzichten, denn während ich dieses Posting schrieb, kam eine Mail von unbekanntem Absender ohne Betreff mit einer .exe als Attachment (KGKEEFKG.exe)...

    Solange du die KGKEEFKG.exe nicht ausführst bist du ja nicht in Gefahr. Ich habe auch schon öfters solchhe .exe-Dateien gekriegt immer ohne Betreff immer ohne mir bekanntem Absender.
    Viele Grüße
    MoM

  2. Hallo!

    Nun wissen einige Leser hier, dass ich vor 2 Tagen mächtige Probleme mit Blue Screens hatte, die mich sogar veranlassten, zur radikalster aller Lösung zurückzugreifen: format c: und Reinstallation.

    Tja.. sowas kennt man.

    Als erster Schritt danach wurde natürlich die Fritz!-Software wieder installiert - um so schnell wie möglich ins Inet gehen zu können - dann wurde alles von Windows-Update wieder heruntergeladen, was durch die Plattenformatierung verloren ging (SP1 für IE, diverse Sicherheits"pakete", etc...), und zuletzt den MäcAffe installiert und gleich die neueste DAT-File aus dem Internet geholt und installiert.

    nene.. ich glaube, dass hat n anderes Problem. Eine Speichertechnische. Irgendwas ist vielleicht doppelt belegt oder der Speicher ist voll.
    Frage: Was sagen dir denn die blue-Screnns genau?

    Fakte sind:

    • die Kiste lief 8 Monate ohne (diese) Probleme
    • die Probleme (ständige Blue Screens) traten in
        diesem Ausmass erst seit 3 Tagen auf
    • die Blue Screens traten nur beim Surfen auf, vor
        allem dann, wenn man eine Seite wechselt
    • dieses dann zu 99% wenn die neue Seite in einem
        neuen Fenster geöffnet wird (target=_blank)
    • die Probleme treten nach der Neuinstalltion auch auf

    kann auch n anderes Problem hamm. wird wohl auch.

    Was war also los vor 3 Tagen? Da habe ich die neueste DAT-File von MäcAffe installiert, sie trägt den Zeitstempel 08/15/2001 (das allein hätte mich stutzig machen müssen und das sehe ich erst jetzt, wo ich es hier geschrieben habe: 08/15 *g*). Und eben diese
    DAT-File holte sich die Update-Routine von MäcAffe nach der Reinstallation wieder.

    Also, MäcAffe deaktiviert und maguckewaspassiert. Im Moment surfe ich bereits 2 Stunden ohne Blue Screen (tolle Leistung, hey). Es reicht vielleicht nicht, um den Verdacht zu festigen, aber man muss doch zugeben, das dieser nahe liegt, oder?

    Daher meine Frage an die hiesige Surfgemeinde: wer hat auf einem System mit Win ME, IE 5.5 SP1 den MäcAffe 5 installiert (Scan Engine: 4.1.40, DAT-File 4.0.4154 vom 15.08.2001, Webscan aktiviert) und hat seitdem Probleme beim Aufruf von Webseiten?

    Auf den Schutz eines Virenscanners im Hintergrund möchte ich auf Dauer nicht verzichten, denn während ich dieses Posting schrieb, kam eine Mail von unbekanntem Absender ohne Betreff mit einer .exe als Attachment (KGKEEFKG.exe)...

    "You have sent a message!
    Hi! How are you?
    I send you this file in order to have your advice
    See you later. Thanks

    .... irgendwas.doc.exe
    oder irgendwas.txt.pif"

    sowas darste sowieso nich öffnen..! und wenn dus geöffnet hast hilft dir dein Virenscanner mitunter auch nicht weiter!
    Viel Glück noch (ich weiß wie sche... eine reinstalltion ist), cu, der Danny

    1. Hallo Danny und MoM!

      Zur Mail mit der .exe: natuerlich habe ich sie sofort geloescht! Zu MoM: es war aber nicht der typische SIRCAM-Text drin, auch war kein Absender feststellbar. Wahrscheinlich etwas anderes.

      Zu den Seicherprobleme: die Blue Screens sagen, das wenige Ressourcen frei sind. Aber dennoch tippe ich auf MacAfee, denn nun bin ich etwa 3 Stunden ohne Probleme herumgesurft. Ich werde heute nachmittag (jetzt nicht, weil ich endlich etwas in Ruhe tun will) den Virenscanner wieder im Hintergrund aktivieren und Dir naeheres berichten!

      Patrick
      <hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash>

  3. Moin PAF,

    als Nachtrag zu den anderen. Ich glaube nicht, daß McAffee Virenverseuchte DAT's rausgibt (Image, Image... oder halt dessen Verlust). Versuche mal den OnlineScan von Symantec auf dieses DAT-File. Mußt zwar nen ActiveX zulassen, habe ich aber auch schon gemacht und den Sircam-Virus bei mir gefunden (Verdacht von mir war schon da, aber AntiVir hat nicht gecheckt).

    Ansonsten Viel Glück
    SteBu

    1. Hallo SteBu (noch ein Stefan? *g*)!

      als Nachtrag zu den anderen. Ich glaube nicht, daß McAffee Virenverseuchte DAT's rausgibt (Image, Image... oder halt dessen Verlust).

      Sicher, mein Beitragstitel wollte auch auffallen! Tatsache ist, dass das Webseitenscannen beim Aufruf seit dieser DAT-File nicht mehr richtig zu funktionieren scheint, wie ich zu Danny schon sagte, ich werde es heute nachmittag zu reproduzieren versuchen.

      Patrick
      <hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash>

  4. Hallo Patrick,

    Mal was ganz ketzerisches :) Versuch doch mal, ob bei laufendem Hintergrundvirenscan surfen mit Netscape oder einem anderen Nicht-IE-Browser die selben Probleme bereitet (nur mal zum testen).

    Gruß Alex

    1. Hallo Alex!

      Mal was ganz ketzerisches :) Versuch doch mal, ob bei laufendem Hintergrundvirenscan surfen mit Netscape oder einem anderen Nicht-IE-Browser die selben Probleme bereitet (nur mal zum testen).

      Das kann ich nur dann probieren, wenn diese andere Browser reinstalliert sind, was ich noch nicht geschafft habe. Ich mache heute am spaeten Nachmittag mit der Weiterinstallation weiter...

      Patrick
      <hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash>

  5. Hallo PAF,

    auch ich habe mir vorgestern das 08/15-DAT-File runtergeladen, nachdem die Warn-Meldung beim Hochfahren nun schon bei 6 Monaten angelangt war. ;-)

    Und soll ich Dir mal was sagen? Blue-Screens hatte ich deswegen zwar nicht (habe auch keinen Webseiten-Scan aktiviert (falls es so etwas überhaupt gibt...)), aber beim Booten ist SCAN.EXE plötztlich jedesmal hängengeblieben. »'n schwarzen Bildschirm hatt' ich!« (Insiderwitz *g*) - Nur ein einsames C: oben links sah man noch. Mit ^C konnte man abbrechen, dann ging's normal weiter -  d.h. so normal eigentlich nicht, denn es erfolgte keine weitere Textausgabe mehr, bis schließlich (*aufatme!*) der Windows-Deskop erschien...

    So etwas hat es bei dieser mittlerweile 4 1/2 Jahre alten Windows-95B-Installation noch nicht gegeben. Seit ausREMmen der "C:\PROGRA~1\NETWOR~1\MCAFEE~1\SCAN.EXE C:"-Zeile in der AUTOEXEC.BAT ist wieder alles ok. Da ich ja unmittelbar zuvor auch die DAT-Files upgedatet hatte, fiel mein Verdacht natürlich auch gleich darauf. Umso erstaunter bin ich jetzt, daß Du auch Probleme damit vermutest... mal sehen, ob es auf der Mäc-Affe-Website dazu inzwischen schon Hinweise gibt...

    Habe momentan alle Scan-Einstellungen deaktiviert. Eigentlich brauche ich ja sowieso keinen Virenscanner, bisher habe ich jedenfalls noch nie einen aktiven Virus auf meinem System gehabt. (Natürlich schon einige dieser "gewissen Mail-Attachments", aber die öffnet man bei noch funktionierendem Gehirn ja sowieso nicht...)

    Gruß,
    Stefan

    1. Hallo Stefan!

      http://forum.mcafee.com:8080/~clinic/read?15670,40
      Scheinbar sind wir nicht die Einzigen, und der Verdacht verschaerft sich!
      Allerdings die Empehlung, SP2 herunterzuladen mag ich nicht so recht folgen...

      Patrick
      <hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash>

      1. Hi PAF,

        http://forum.mcafee.com:8080/~clinic/read?15670,40

        Sehe da nur 'ne leere weiße Seite. Und wenn ich direkt auf http://forum.mcafee.com/ gehe und mich anmelden will, bekomme ich einen

        JavaScript Error:
            http://forum.mcafee.com/clinic_interface/wbloginCheck.asp?Plugin=no,
            line 156:

        form1 is not defined.

        Scheinbar sind wir nicht die Einzigen, und der Verdacht verschaerft sich!
        Allerdings die Empehlung, SP2 herunterzuladen mag ich nicht so recht folgen...

        Um was für ein SP geht es denn da? SP2 hört sich so nach Windows NT an (aber da ging's doch schon bis SP6, oder?). Irgendwie habe ich wenig Lust, nur wegen dem Mäc-Affen irgendwelche OS-Patches einzuspielen...

        Gruß,
        Stefan

        1. Hallo Stefan!

          Sehe da nur 'ne leere weiße Seite. Und wenn ich direkt auf http://forum.mcafee.com/ gehe und mich anmelden will, bekomme ich einen

          Da ist wahrscheinlich eine Session ID dabei, habe nicht dran gedacht...

          JavaScript Error:

          Habe ich nicht (IE), wahrscheinlich wieder eine Seite, die nur mit dem IE funzt.

          Um was für ein SP geht es denn da? SP2...

          Es geht um die Empfehlung, den Internet Explorer SP2 zu downlaoden. Ich bin dem Link gefolgt, es gibt tatsaechlich einen sp2, aber (derzeit) nur in englicher Sprache. Scheint relativ neu zu sein, denn die M$ Seite hatte den Last Update - Stempel vom 02. August, und auf den deutschen Windows-Update-Seiten ist es nirgends erwaehnt.

          Patrick
          <hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash>

          1. Hi PAF & all,

            nach einer Google-Suche im Usenet bin ich in alt.comp.anti-virus auf folgenden Hinweis gestoßen:

            ---schnipp----
            Well, I started looking a little closer at their site, and found where
            they said I needed the sdat4154 instead of the 4154xdat because of an
            engine older than 4.0.40.  So, I used the file, and am happy to report
            that all is well, again.  The new mcscan.dll is 881k this time, and
            now my help/about reports that I have engine 4.0.40.

            I think they may be trying to sell some new versions by having a
            confusing site.  They know damned well that the 4154xdat will cause
            problems, but there's no mention of it on that d/l page.   If you know
            you have 4.x and assume that the 4.x dat file is what you need (as
            usual), then there is no mention of the superdat files you really
            need.  Only if you don't go directly to that download do you get
            advised of needing the superdat to replace the older engine.  Guess I
            should just be thankful they even update the older versions for a few
            years!  ;-)
            ---schnapp----

            Auf der FAQ-Seite (http://software.mcafee.com/support/down_sup/9.asp) ist dann auch relativ gut versteckt ein Hinweis auf eine Update-Seite (http://download.mcafee.com/updates/updates.asp), wo dann steht:

            To determine your current version of VirusScan:
                Open VirusScan and select "About" from the Help menu to determine
                what version of VirusScan you have, what engine you are running,
                and what DAT files are installed.
                (If your engine is 4.1.20 or earlier, you should download the SuperDAT file.)

            To update your DAT files, select the corresponding VirusScan
                product below:

            VirusScan Product                    DAT                  Release Date

            VirusScan 4.x, 5.x and
                 Dr. Solomon's Anti-Virus 8.x         4154                 08/15/2001

            SuperDAT for VirusScan 4.x and 5.x   4154-dat/4140-engine 08/15/2001

            VirusScan 3.x                        3212                 11/12/1999

            Macintosh DAT File for Virex         010801               07/31/2001

            Daß man für eine Version <= 4.1.20 die "Super-DAT"-Files benötigt, geht aus der "offiziellen" Download-Seite mit keinem Wort hervor. Ich würde sagen, das haben sie "mal wieder ganz gefickt eingeschädelt"... ;-)

            Gruß,
            Stefan

            1. Hallo Stefan!

              Ich weiss nicht recht, ich hatte gestern die SuperDAT heruntergeladen (vor 3 Tagen, vor dem format c: allerdings nicht). Im Moment habe ich VShield wieder aktiviert, allerdings nachtraeglich und habe noch keine Probleme. Spaeter mache ich einen Neustart und schau, dass er aktviert ist und probiere erneut, target=_blank-Links zu oeffnen... dann werden wir ja sehen...

              Patrick
              <hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash>

            2. Re!

              Ich tauche aus der Versenkung aus, nach einem halben Tag dazu verbracht, das SCB zu reparieren, weil die Kroete ausgerechnet dann posten musste, als ich dort was am Aendern war, so dass mehrere Dateien zerschossen waren, und nach vielem Aergern ueber Win ME und seine "Assitenten" (ich koennte Sachen erzaehlen, jedenfalls habe ich genug fuer meine Winbugs-Seite gesammelt *g*) und kann aber mit Sicherheit berichten, dass die zuvor berichteten Blue Screen Geschichten nur am VirenScanner, speziell am VShield (das ist der Teil vom McAfee, der im Hintergrund scannt), liegt.

              Es ist jedesmal reproduzierbar: Ohne VShield kann ich (fast - ist ja Windows) problemlos arbeiten, sobald ich ihn wieder aktiviere, taucht nach kurzer Zeit wieder ein Blue Screen auf, und kurz danach der naechste bis nichts mehr geht.

              Also bleibt das Teil bis auf weiteres deaktiviert und ich scanne per Hand ueber VirusScan Central.

              Patrick

  6. Hi,

    Ich weis nicht so genau ob es das gleiche Problem ist das ich vor ca 2 Wochen hatte aber bei mir war es genauso. Allerdings lag es bei mir an der Kombination T-Online und Fritz Card ( AVM ). T-O hatte seine Komprimierungsdaten geändert und die konnte Fritz nicht umsetzen. Nach einer Woche ärgerlichen Herumsuchens habe ich aus lauter Verzweiflung bei AVM angerufen und die haben mir ein entsprechendes Update geschickt. T-O weis angeblich von dieser Problematik nichts und hatte alles auf meine Rechner geschoben. Angeblich ein Virus. Bei 5 Rechnern dasselbe Problem wovon vier miteinander vernetzt sind und einer separat läuft und komischerweise hatte der Separate dasselbe Problem.

    Wie gesagt ich weis nicht ob es dasselbe Problem bei Dir ist aber weil Du auch die Fritz Card erwähnt hast dachte ich es schreib es einfach mal....

    Gruß
    Kerstin