Deskmodder.de

Ich habe mal die aktuelle .exe des DriverStore Explorers bei VirusTotal gescannt, denn SmartScreen blockert die Ausführung, was ich jedoch übersprungen habe. Habe ausschließlich den Defender und Windows Firewall. Zwar detektiert VT die .exe selber nicht, aber dann das hier:

Unter Execution Parents:
https://www.virustotal.com/gui/file/df8 ... /relations

Und weiter, wenn man auf den Namen klickt:
https://www.virustotal.com/gui/file/745 ... /detection

Was bedeutet das denn? Verstehe da nur Bahnhof. Rechner infiziert? Und falls ja, durch was?

Du meinst den hier?
https://github.com/lostindark/DriverStoreExplorer

Und du hast ihn auch von dort?

Ja klar, Jürgen, habe ihn schon immer von dort. Überhaupt alles immer nur von Herstellerseiten.

Du meinst, das sieht bei mir gefährlich aus? Verstehe nicht, warum die Hauptanalyse dann aber durchgehend grün ist. Wie gesagt, kenne mich da zu wenig aus, macht mir aber schon Sorgen.

Gut so.

Also ich hab die Rapr.exe eben auch mal hochgeladen und die ist absolut sauber. Keine Ahnung, was das da bei dir ist.

Das habe ich auch gerade gemacht. Ist soweit zwar sauber, aber unter "Relations" wird dennoch auf "TJprojMain" hingewiesen. Weiß jetzt aber auch nicht, wie ich das deuten soll.

Ich habe dort 64 Detektionen. Und hast auch mal direkt auf "TJprojMain" geklickt? Da wird einem dann schlecht. Und bis vor 1-2 Stunden stand dort noch nicht "TJprojMain", sondern "[lange Zahlenreihe].virus". Very strange. Und auch komisch, dass dort bei Jürgen wohl keine Detection ist.

Vielleicht hat sich moinmoin das nicht anzeigen lasse. Wie gesagt, ist bei mir auch so. Aber keine Ahnung, wie ich das deuten muss oderwas VirusTotal einem damit mitteilen möchte.

Ich hoffe, dass hier noch ein Malware-Experte reinschaut. Sonst poste ich das vielleicht mal bei MajorGeeks oder BleepingComputer.

Mal davon ausgegangen, dass das Tool sauber ist, vermute ich mal, dass diese Anzeige daher kommt, weil es zu tief ins System eingreift und weil die exe nicht digital signiert ist

Ich habe auch auch andere, nicht signierte Programme, bei denen sowas nicht detektiert wird. Überhaupt hatte ich das noch nie bei einem VT-Scan. Denn ich schaue da jew. immer alles nach (auch um zu lernen).

Ich habe dort bei VT auch nicht gefunden, welche Datei das genau ist, die diesen Virus enthalten soll. Das ist ja dort nicht angegeben, oder?

Klar, wäre schon interessant, was das/ da näher bedeutet/ dahintersteckt:
https://support.virustotal.com/hc/en-us ... umentation
Vermute nur, so oder so würden Unbekannte bleiben.

Kaspersky zu VIRUS.WIN32.VB als solchen:
https://threats.kaspersky.com/de/threat/Virus.Win32.VB/

Beim Download gabs keine Probleme. Scan Defender hatte auch nicht gemeckert.
Check VT Anzeigen analog Links Fragestellung.
Habs inzwischen sicher gelöscht.

Vor einigen Jahren hatte ich so etwa eine oder gut eine Hand voll Driver Utilities getestet.
Bei den meisten gabs anmeckern. Weiß es nicht, vermute eher, dass da nichts verseucht war.
Dennoch fiel die Wahl nicht auf ein Utility mit Warn - Blink - Blink.

Aber kannst ja mal bspw. mit portablem Win-Tool und bootbbarem Tool (beim bootbaren besser hyberfil.sys deaktivieren)
Kaspersky checken (oder bspw. mit Desinfec't -Desinfec't vermutlich nur kostenpflichtig-, falls zur Hand) oder Adw-Cleaner oder ...
Obs zu neuen Erkenntnissen führt?

Einerseits würde ich denken, dass es harmlos sein sollte, da ja beim Hauptergebnis alles grün ist:

https://www.virustotal.com/gui/file/df8 ... /detection

Andererseits habe ich solche Detections unter Relations noch bei keinem Programm gehabt, obwohl ich dort im Laufe der Jahre sehr viele Scans von "systemkritischen" Anwendungen gemacht habe. Das im Hauptergenis manchmal was gefunden wird (auch False Positives), ist ja "normal". Aber das hier habe ich, wie gesagt, noch nie gesehen.

Kaspersky und AdwCleaner wird nicht viel bringen, denn durch die hat es VT ja schon gejagt. Defender Offline habe ich gemacht, der hat nicht gemeckert.

Als ich mich auf VT bei dieser Detection weiter durchgeklickt habe, kam ich irgendwann zu URLs, die wohl damit etwas zu tun haben und auf Google-Server verwiesen, bei denen aber wiederum alles grün war. Einen Reim konnte ich mir darauf nicht machen und wie genau ich dort hin kam, weiß ich auch nicht mehr.

In der VT-Hilfe habe ich etwas gefunden, dass es wohl eine übergeordnete Parent-Datei von der Rapr.exe gibt oder gab, in der die Rapr.exe enthalten ist oder mal enthalten war. Und diese Parent-Datei ist anscheinend der eigentliche Übeltäter. Also soll die Rapr.exe wohl aus einer stark verseuchten "Elterndatei" stammen, selber aber clean sein. Warum die aber in solch einer "bösen" Datei steckte, müsste man mal beim Entwickler nachfragen. Ich weiß aber nicht, ob ich das in der Hilfe überhaupt richtig verstanden habe.

Keine Ahnung wie das genau zu deuten ist, hab mich mit der Doku jedoch auch nicht näher und umfassend auseinandergesetzt.
Vlt. gibts bspw. ähnliche Teilverhaltensmuster ...,

Bin mir jetzt nicht sicher, wie detailliert Berichte portables Win Virus Removal Tool bei Fund sind und wie es beim portablen mit Zusatzinfos aussieht.
Und bootbare Rescue Disk ist halt mit Vorteil offline auf Basis einer Linuxvariante (bis hin zu Vollscan).
Man kann halt auch im Zusammenhang scannen; wird nichts angemeckert, ist es zumindest kein weiteres Warn-Fähnchen.

Adw Cleaner nutze ich länger schon fasst nicht. Habs mal mit genannt, nach meinen Beobachtungen wird da eher großzügig angemeckert. Empfehle genau hinzuschauen, nicht blind löschen.

Hatte auch mal gegoogelt. Bspw. im TenForums wurde vor einiger Zeit (u.a. 08/20) berichtet, dass Defender gemeckert hat.
Kenne aber nicht den Anhang.
Kannst ja mal selbst schauen.