Hallo liebe Forumianer,
es ist schon eine Weile her, dass ich mich an Euch gewendet habe. Ich selbst habe das Fachgebiet Online Banking bereits vor einiger Zeit gewechselt. Nun hat mich aber ein Umstand "privat" erwischt. Mich würde interessieren, ob dieses "Problem" auch andere User mit anderen Virenscannern berichten können:
Ich habe privat zwei Rechner im Einsatz, auf denen jeweils die aktuelleste Version von NORTON 360 als Virenschutz (mit Firewall etc.) unter Windows 8.1 Pro läuft.
Gleichzeitig habe ich auf beiden Rechner Proficash 10.x in Benutzung (einmal 10.5 und einmal 10.6x).
Es gab bisher keine Probleme. Ich habe alles immer so ziemlich auf dem neusten Stand. Doch gerade geschehen Dinge, die ich nicht so richtig einschätzen kann:
Auf dem ersten Rechner mit PC 10.5 habe ich ein Update gemacht. Hat wie immer alles bestens funktioniert. Doch als ich PC starten möchte, geht das Programmfenster sofort wieder zu und Norton Sonar schlägt Alarm: die wpc.exe wurde entfernt, weil "verdächtige" Programmaktionen festgestellt wurden. Verwiesen wird auf "SONAR.Heuristic.120" (beim zweiten Rechner wird auf SONAR.Heuristic.130 verwiesen, die "verdächtige" Datei ist eine andere Proficash Datei:
http://www.symantec.com/securi…ndpointid={153BEA3C-ACE9-48E9-97C3-FA57388E45DD}&partnerid=&lic_type=16&lic_attr=21255186&psn=KJJDHQM67MHY&osvers=6.3&oslocale=iso:DEU&oslang=iso:GER&os=windows
)
Ich kann die wpc.exe zwar aus der Quarantäne zurückholen, sie aber nur verwenden, wenn ich sie exklusiv vom Scannen ausschliesse. Ich sitze momentan am Rechner Nr. 2 und kann deshalb die Meldungen von Norton hier nicht für Rechner 1 aufzeigen.
Da mich das ganze jedoch aufmerksam und nervös macht - (nur, weil beschrieben wird, dass erst sehr wenige User diese Datei benutzen, muss sie ja nicht schädlich sein, aber das erkannt wurde, dass irgendwelche Tastenanschläge mitgeschrieben wurden (!??) (die Passworteingabe??) macht mich schon nervös. Es kann ja doch sein, dass eine Updatedatei von Proficash im Netz irgendwie infiziert wurde....) - habe ich den gleichen Vorgang auf Rechner Nr. 2 wiederholt. Hier war die Proficash-Version schon etwas höher.
Das Update lief auch hier fehlerlos durch. Ich konnte auch Proficash starten und die Programmversion wurde auf die neuste Version umgestellt. Puh, dachte ich, keine Fehlermeldung von Norton Sonar wegen der neuen wpc.exe.
Dann habe ich aber sicherheitshalber einmal die Jobs für die Kontoauszüge gestartet - und siehe da: Abbruch in der Datenübertragung (durch Norton) und Meldung von "verdächtigen Dateien". Diesmal nicht die WPC.EXE, sondern eine andere.
Die Meldungen füge ich hier einmal ein:
Dateiname: wpchb_10.exe
Bedrohungsname: SONAR.Heuristic.130
Vollständiger Pfad: Nicht verfügbar
____________________________
Details
Sehr wenige Benutzer, Sehr neu, Risiko Hoch
Ursprung
Heruntergeladen von
Unbekannt
Aktivität
Ausgeführte Aktionen: 6
____________________________
Auf Computern ab
14.12.2014 um 11:16:23
Zuletzt verwendet
14.12.2014 um 11:16:23
Start-Element
Nein
Gestartet
Ja
____________________________
Sehr wenige Benutzer
Weniger als 5 Benutzer in der Norton Community haben diese Datei verwendet.
Sehr neu
Diese Datei wurde vor weniger als 1 Woche veröffentlicht.
Hoch
Das Risiko dieser Datei ist hoch.
SONAR-Schutz überwacht Ihren Computer auf verdächtige Programmaktivitäten.
____________________________
Quelle: externe Medien
Quelldatei:
wpcupd.exe
Datei erstellt:
wpc.exe
Datei erstellt:
wpcupd.exe
Datei erstellt:
wpchb_10.exe
____________________________
Dateiaktionen
Datei: c:\program files (x86)\profi cash\hbci\bin32\ wpchb_10.exe entfernt
Datei: d:\users\cyclingbaserka\documents\proficash\daten\ hbci_trc.trc entfernt
Datei: c:\users\public\documents\profi cash\hbci\upd\300\ 280_18092684_#56#52#4b2692620185830688_#56#52#4b2692620185830688.upd entfernt
____________________________
Netzwerkaktionen
Ereignis: Netzwerkaktivität (Ausgeführt von c:\program files (x86)\profi cash\hbci\bin32\wpchb_10.exe, PID:4372) Keine Aktion unternommen
____________________________
Systemeinstellungsaktionen
Ereignis: Prozessstart (Ausgeführt von c:\program files (x86)\profi cash\hbci\bin32\wpchb_10.exe, PID:4372) Keine Aktion unternommen
Ereignis: Prozessstart: c:\program files (x86)\profi cash\hbci\bin32\ wpchb_10.exe, PID:4372 (Ausgeführt von c:\program files (x86)\profi cash\hbci\bin32\wpchb_10.exe, PID:4372) Keine Aktion unternommen
____________________________
Dateiabdruck - SHA:
Nicht verfügbar
Dateiabdruck - MD5:
Nicht verfügbar
Nun meine eigentliche Frage:
Können andere User diese Warnhinweise auch bestätigen? Idealerweise auch mit anderen Viren-Scannern?
Kann man bedenkenlos die Proficashdateien vom Scannen ausschliessen?? (Ich habe noch nie solche Ausschlüsse zugelassen, schon gar nicht bei so sensiblen Dateien.)
Gibt es vielleicht Aussagen von offiziellen Stellen (GAD)?
Bis auf Eure Antworten lasse ich einmal alles so wie es ist. Wenn mehr Infos gebraucht werden, werde ich versuchen, die nachzuliefern.
Viele Grüße und einen schönen dritten Advent.
Cyc.