Klingt gut

OK, dann lege ich los und melde mich unter den oben beschriebenen Bedingungen.

Beste Grüße
writeoff

ok

Hallo schrauber,

kurze Wasserstandsmeldung:

Rechner läuft seit Systemwiederherstellung ohne Probleme. Immer noch keine Antwort von G Data auf meine wiederholten Anfragen.

Die Hypothese des Zusammenhangs mit der neuen Version von G Data ist also zumindest nicht widerlegt.

Ich lasse den Test einfach noch etwas weiterlaufen, in der Hoffnung auf eine baldige Antwort von G Data. OK?

Beste Grüße
writeoff

jop

Hallo schrauber,

heute ist der Monatserste und das Problem ist wieder da.

Auch am ersten Mai ging das Problem nach einer längeren problemfreien Zeit los.

Was passiert da immer am Monatsersten und an den nachfolgenden Tagen?

Von G Data natürlich immer noch keine Antwort.

Beste Grüße
writeoff

Öhm, Patchday MS war schon.....Schau mal ins Update-Log von GDATA.

Der Support rührt sich immer noch nit???????

Wenn ich das bei Emsisoft so machen würde wäre ich schon lange ohne Job

Hallo schrauber,

habe gestern Abend wieder mal mit dem Support telefoniert. Mein Upload sei beschädigt gewesen; ich solle die Datei nochmal hochladen.
Habe ich dann auch gemacht und warte weiter ab.

In der Zwischenzeit habe ich mir einen Downloadlink der 25.1.0.3 bestellt. Während des Wartens auf die Antwort des 2nd Level werde ich die "Systemwiederherstellungsreparatur" komplett deinstallieren und dann die 25.1.0.3 sauber aufspielen. Kommt der Fehler erneut, dann ist die Versionshypothese final erledigt.

Spannend ist für mich immer noch die Frage, ob es ein Zufall ist, dass das Problem zum zweiten Mal nach länger Pause am Monatsersten aufgetreten ist. Immerhin war heute Ruhe, im Gegensatz zum 2.5.

Vielleicht läuft da einfach etwas im HIntergrund, was gar kein Problem ist und zu Unrecht von der Verhaltensüberwachuing angemeckert wird. Es wird ja auch ein Logfile des ICLS Client in die Quarantäne verschoben, und das ist laut Web ein Intel Produkt.

Blöde Sache, wenn man seinem Rechner nicht trauen kann. Na ja, das kann man heute aus anderen Gründen vermutlich sowieso nicht.

Sollen wir erstmal aud den 2nd Level warten und ich installiere inzwischen die 1.0.3?

Beste Grüße
writeoff

Zu früh frohlockt.

Nachdem der heute den ganzen Tag ohne Probleme lief, habe ich ihn eben runtergefahren. Musste dann nochmal ran und peng! da war der Alarm wieder.

Diesmal ist mehr als sonst in die Quarantäne gegangen.

Code: Alles auswählenAufklappen

ATTFilter

*** Prozess ***

Prozess: 2724
Dateiname: rpcnetp.exe
Pfad: c:\windows\system32\rpcnetp.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 06/02/15 19:43:10
Änderungsdatum: 06/02/15 19:47:31

Gestartet von: services.exe
Herausgeber: Microsoft Windows


*** Aktionen ***

Das Programm hat Aktionen im Namen eines anderen Programmes ausgeführt.
Das Programm stellt eine Verbindung über ein Netzwerk her.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Eine Netzwerkverbindung wurde im Kontext eines anderen Programmes geöffnet.
Das Programm hat eine Kopie von sich selbst angelegt.
Das Programm hat versucht die eigene Programmdatei zu löschen.
Das Programm hat sich selbst gelöscht indem es die Kontrolle über ein anderes Programm übernimmt.
Das Programm hat sich in den Windows Ordner kopiert.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Windows\System32\rpcnetp.exe
c:\windows\system32\gwx\telemetrystore.xml
c:\windows\system32\logfiles\scm\0d4e6746-882e-42c0-b262-2b3bdc76c667
c:\windows\system32\logfiles\scm\5f5a18eb-dc73-4e45-a11c-b59043598412
c:\windows\system32\logfiles\scm\7afcc0ca-7121-422a-ab45-b0e8d599ff08
c:\windows\system32\logfiles\scm\81cc0928-9fc0-4f0d-a5f3-932e47290d91
c:\windows\system32\logfiles\scm\8b1f1413-4a42-40b5-bfa4-94c968ea28d7
c:\windows\system32\logfiles\scm\9435f817-fed2-454e-88cd-7f78fda62c48
c:\windows\system32\logfiles\scm\abcf8661-794a-4238-86bd-a368b2efc154
c:\windows\system32\logfiles\scm\df20d329-10b6-40fa-9b46-c66bb493a2ed
c:\windows\system32\rpcnetp.exe
c:\windows\syswow64\config\systemprofile\appdata\local\intel\icls client\iclsclient.log
c:\windows\syswow64\upgrd.bat
c:\windows\syswow64\upgrd.exe
c:\windows\temp\instb64.sys

Folgende Registry Einträge wurden gelöscht:
\REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

\REGISTRY\USER\S-1-5-21-1668834982-245352921-3405046034-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\00-12-bf-d7-ef-e4 || WpadDetectedUrl

YGLR2vKNDysnzXlygp4sJ9q/wHLiKyf6cpIMLSfoctJyggcuJ2e8cnLdcuLucCp0ckInJyYGt3JycnJiYoArJycnJyYGuWLR2uKvkC4nlykmJieXCWpyonKScnKgLCf/YmJy8g/acrLfcnKOcqK3wC4nqHLCcnIO/HLScqJyktAoJykmJicJnXKSKycnJ6nQKifXDM5ysp5yco5yonbwKCcnJiYnB89ygmJicoJwZnJyYmJycnCGcnJiYnJycJdygmJicoJw93KCcnJycnC4coIqJywn53DYcoJycnJycPly8isn63KSDacoJysmJicLpysXrTVmKiwXrTVmKicXrTVmKgunLScsJiYnDLcnJykmJicJtygnLycrJwq3KScpJycnCLcqJ8dw7HJyYmJycnD8cvIvJiYn/3CdcoJycnJycI5ycgnnLScoJiYnCPcsJycnJyYG9y0nyYCWcnLsgLZygnJycnKAp3KyrgAA
Version der Regeln: 5.0.40
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 51504

C:\Windows\System32\rpcnetp.exe
MD5: 9A66E27C59C804A376A72831B5B771C5
C:\Windows\system32\services.exe
MD5:
         

Beste Grüße
writeoff

Wenn Du die Muße hast, alles raus aus der Quarantäne und nochmal bei Virustotal scannen.

So,

ich hatte die Muße und habe alles bei virustotal gescannt.

Erkennungsrate immer 0.
Immerhin liefert virustotal bei der rpcnetp.exe folgende zusätzlichen Informationen, die sich ebenfalls auf Verhaltensanalysen beziehen.

Code: Alles auswählenAufklappen

ATTFilter

Condensed report! The following is a condensed report of the behaviour of the file when executed in a controlled environment. The actions and events described were either performed by the file itself or by any other process launched by the executed file or subjected to code injection by the executed file.
Opened files
C:\7fac053236d3ec7df00d7592087197281b0291490f6ea85140e7dccb258b86ba (successful)
C:\7fac053236d3ec7df00d7592087197281b0291490f6ea85140e7dccb258b8dll (successful)
\\.\pipe\net\NtControlPipe10 (failed)
Written files
C:\7fac053236d3ec7df00d7592087197281b0291490f6ea85140e7dccb258b8dll (successful)
Copied files
SRC: C:\7fac053236d3ec7df00d7592087197281b0291490f6ea85140e7dccb258b86ba
DST: C:\7fac053236d3ec7df00d7592087197281b0291490f6ea85140e7dccb258b8dll (successful)
Runtime DLLs
c:\7fac053236d3ec7df00d7592087197281b0291490f6ea85140e7dccb258b8dll (failed)
         

Code: Alles auswählenAufklappen

ATTFilter

 The file being studied is a Portable Executable file! More specifically, it is a Win32 EXE file.
PE header basic information
Target machine Intel 386 or later processors and compatible processors
Compilation timestamp 2013-02-20 04:29:24
Entry Point 0x00002B15
Number of sections 4
PE sections
Name Virtual address Virtual size Raw size Entropy MD5
.text 4096 13542 13824 6.25 61ceabe46a082eb24a8bc5d071da7a00
.data 20480 440 512 0.45 62ee1c1d9c5e5ae9ac9f6e96ba5f3b1d
.cdata 24576 572 1024 1.38 73cf8199cbfdf04d043540b8fb213953
.reloc 28672 824 1024 5.81 0784c2b1e1f9f540ef7808beba6681e4
PE imports
[+] ADVAPI32.dll
DuplicateTokenEx
RegQueryValueExA
RegCloseKey
StartServiceCtrlDispatcherA
OpenProcessToken
SetServiceStatus
CreateProcessAsUserA
RegOpenKeyA
RegDeleteValueA
RegEnumValueA
SetTokenInformation
RegisterServiceCtrlHandlerA
[+] KERNEL32.dll
GetStdHandle
EnterCriticalSection
WriteProcessMemory
VirtualAllocEx
TerminateThread
lstrlenA
lstrcmpiA
WaitForSingleObject
FreeLibrary
CopyFileA
ExitProcess
LoadLibraryA
RtlUnwind
ExitThread
CreateRemoteThread
DeleteCriticalSection
SetThreadPriority
LocalAlloc
OpenProcess
ReadProcessMemory
GetModuleFileNameA
GetProcAddress
SetStdHandle
SetFilePointer
RaiseException
CreateThread
GetModuleHandleA
GetExitCodeThread
lstrcatA
lstrcpyA
CloseHandle
ResetEvent
GetSystemDirectoryA
WaitForMultipleObjects
GetVersion
GetBinaryTypeA
SetEvent
LocalFree
TerminateProcess
ResumeThread
CreateProcessA
InitializeCriticalSection
WriteFile
CreateEventA
Sleep
VirtualFreeEx
CreateFileA
GetCurrentThreadId
GetCurrentProcessId
LeaveCriticalSection
[+] USER32.dll
GetMessageA
CreateWindowExA
PeekMessageA
wsprintfA
DispatchMessageA
PostQuitMessage
PostMessageA
KillTimer
SetTimer
TranslateMessage
DefWindowProcA
RegisterClassA
PostThreadMessageA
[+] USERENV.dll
CreateEnvironmentBlock
[+] WSOCK32.dll
inet_addr
ioctlsocket
PE exports
rpcnetp
ExifTool file metadata
FileAccessDate
2015:01:20 08:01:27+01:00

FileCreateDate
2015:01:20 08:01:27+01:00
         

Code: Alles auswählenAufklappen

ATTFilter

File identification
MD5 9a66e27c59c804a376a72831b5b771c5
SHA1 c7f01630d7e276ef5bfc82e39cc6870556bdfe78
SHA256 7fac053236d3ec7df00d7592087197281b0291490f6ea85140e7dccb258b86ba
ssdeep
384:OW9KAUkANjOqYrxPheuHThCA2Ff2UKiQzCwEfB:O+KAU3kqYrxPhp9CA2cUKimCwEfB

authentihash f93ab0bb7a320992a41174e8ecea92259f2793fce966640c6ec5f8a18c3e0861
imphash ff5b6a43b1b731f25aeef3f8dca9cae0
File size 17.0 KB ( 17408 bytes )
File type Win32 EXE
Magic literal
PE32 executable for MS Windows (GUI) Intel 80386 32-bit

TrID 	Clipper DOS Executable (33.5%)
Generic Win/DOS Executable (33.2%)
DOS Executable Generic (33.2%)
Tags
peexe

VirusTotal metadata
First submission 2014-07-16 13:44:32 UTC ( vor 10 Monate, 3 Wochen )
Last submission 2015-06-07 10:02:29 UTC ( vor 7 Minuten )
Dateinamen 	rpcnetp.dll
7FAC053236D3EC7DF00D7592087197281B0291490F6EA85140E7DCCB258B86BA.exe
file-7764171_exe
7FAC053236D3EC7DF00D7592087197281B0291490F6EA85140E7DCCB258B86BA.zip
rpcnetp.exe
bios_Lenovo_AMI_919_rpcnetp (2).exe
rpcnetp.exe
Advanced heuristic and reputation engines
Symantec reputation Suspicious.Insight
         

Beim Installieren der 25.1.0.3 würde die Quarantäne gelöscht. Das wird doch kein Problem sein, oder? Wenn der Fehler weg ist, benötigen wir die alten Quarantäne-Files nicht mehr. Wenn der Fehler wiederkommt, haben wir neue Files in der Quarantäne. Korrekt?

Beste Grüße
writeoff

korrekt

Hallo Schrauber,

der Rechner ist aktuell wieder friedlich, vermutlich bis zum 1.7..

Abwechslungsreich ist es an der G Data-Front.

Nachdem die ersten eingesendeten Quarantäne-Daten angeblich nicht lesbar waren, habe ich die Daten auf dem beschriebenen Weg mit dem speziell heruntergeladenen Tool ein weiteres Mal verschickt.

Hat dann wieder gedauert; danach die nächste Mail gleichen Inhalts: Daten unlesbar, bitte erneut einsenden. Habe dann die Hotline angerufen und gefragt, wie oft ich das denn noch machen solle. Der Agent schlug dann vor, alle Quarantäne-Files in ein Archiv zu packen und dieses per Mail zu versenden. Das haben wir dann live und gemeinsam erledigt, so dass am Ende des Telefonats die Daten per Mail versendet waren. Das war am Dienstag.

Heute kam eine Mail, dass ich die Daten des Quarantäne-Ordners erneut einsenden solle.

Jetzt habe ich alle Dateien der Quarantäne nochmal gezippt versendet, danach auch noch ungezippt versendet und zusätzlich dann noch alle Files des letzten Vorfalls unverschlüsselt abgeschickt. Mal sehen, mit welcher Ausrede die Kollegen diesmal ihren Job nicht erledigen.

Das ist doch echt nicht normal, oder?

Beste Grüße
writeoff

der Support ist ja mal nice

Und wieder hat sich der Support gemeldet. Ich hätte die rpcnetp.exe gar nicht geschickt. Wieder angerufen, auf meine Mails von letzter Woche hingewiesen, und, oh Wunder: natürlich lag die Datei vor. Höfliche Entschuldigung der Dame am Telefon, und sie werde die Datei gleich an den 2nd Level weiterleiten.

Ob die sich einen Spaß mit mir machen?????

Beste Grüße
writeoff

Nö, die verdienen aber so viel Kohle mit gewerblichen, dass Normalo-user egal sind. Meine persönliche Meinung