Delphi-PRAXiS - Virus in sanctuarylib.dll

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Die Delphi-IDE (https://www.delphipraxis.net/62-die-delphi-ide/)

- - Virus in sanctuarylib.dll - Delphi 2009 (https://www.delphipraxis.net/150309-virus-sanctuarylib-dll-delphi-2009-a.html)

Virus in sanctuarylib.dll - Delphi 2009

Hi,

seit gestern meldet AntiVir das der Virus TR/Patched.EY.62 in der Datei sanctuarylib.dll sein soll. Ich habe die Datei mal vorsichtshalber in die Quarantäne verschoben. Delphi funktioniert bisher problemlos ohne die DLL. Bei VirusTotal melden aber nur 4 von 40 Scanner einen Fund:

http://www.virustotal.com/de/analisi...aab-1271163499

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.13 -
AhnLab-V3 5.0.0.2 2010.04.12 -
AntiVir 7.10.6.67 2010.04.13 TR/Patched.EY.62
Antiy-AVL 2.0.3.7 2010.04.13 Trojan/Win32.Patched.gen
Authentium 5.2.0.5 2010.04.13 -
Avast 4.8.1351.0 2010.04.13 -
Avast5 5.0.332.0 2010.04.13 -
AVG 9.0.0.787 2010.04.13 -
BitDefender 7.2 2010.04.13 -
CAT-QuickHeal 10.00 2010.04.13 -
ClamAV 0.96.0.3-git 2010.04.13 -
Comodo 4586 2010.04.13 -
DrWeb 5.0.2.03300 2010.04.13 -
eSafe 7.0.17.0 2010.04.13 -
eTrust-Vet 35.2.7423 2010.04.13 -
F-Prot 4.5.1.85 2010.04.13 -
F-Secure 9.0.15370.0 2010.04.13 -
Fortinet 4.0.14.0 2010.04.12 -
GData 19 2010.04.13 -
Ikarus T3.1.1.80.0 2010.04.13 Trojan.Patched.EY
Jiangmin 13.0.900 2010.04.13 -
Kaspersky 7.0.0.125 2010.04.13 -
McAfee 5.400.0.1158 2010.04.13 -
McAfee-GW-Edition 6.8.5 2010.04.13 Trojan.Patched.EY.62
Microsoft 1.5605 2010.04.13 -
NOD32 5024 2010.04.13 -
Norman 6.04.11 2010.04.13 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.7 2010.04.13 -
PCTools 7.0.3.5 2010.04.13 -
Prevx 3.0 2010.04.13 -
Rising 22.43.01.01 2010.04.13 -
Sophos 4.52.0 2010.04.13 -
Sunbelt 6170 2010.04.13 -
Symantec 20091.2.0.41 2010.04.13 -
TheHacker 6.5.2.0.260 2010.04.13 -
TrendMicro 9.120.0.1004 2010.04.13 -
VBA32 3.12.12.4 2010.04.09 -
ViRobot 2010.4.13.2274 2010.04.13 -
VirusBuster 5.0.27.0 2010.04.12 -
weitere Informationen
File size: 2009240 bytes
MD5...: 301a2c25f253834643d34b6563ba2bde
SHA1..: c0931c5665a7e4a70a13168943e2d5e374d03a8f
SHA256: a9a65c351a87d294605ae0a9ac0e34a341ddcae3561a6a72c4 dd40c0718e7aab
ssdeep: 49152:aAKJTc6Cim8JqHOj2QiJMwRhGbVJtg7+5q:ubWLwECU

Haben eure Virenscnanner (insb. AntiVir) bei dieser Datei schon Alarm geschlagen? Denkt ihr es handelt sich um einen Fehlalarm?

Kann mir nicht vorstellen das da ein Virus drin ist. Delphi ist schon seit August letztes Jahr installiert und zwar im Program Files Verzeichnis (UAC ist aktiv). In den letzten Wochen habe ich auch keine neue Software installiert, lediglich Updates von Windows wurden eingespielt...

Schöne Grüße,
Andreas

Re: Virus in sanctuarylib.dll - Delphi 2009

Ja, den Fehlalarm hatten wir heute früh auch. Meine Meinung: einfach ignorieren und eventuell Avira Bescheid sagen

Btw: Mein D2009 lief ohne die dll nicht (scheint mir auch irgendwie logisch, da sie sich um die Lizenz kümmert)

Re: Virus in sanctuarylib.dll - Delphi 2009

Bei mir meckert AntiVir auch seit gestern abend an dieser Datei rum. Bauchgefühl sagte mir "Fehlalarm" und habe es deswegen ignoriert, was sich hier grade verfestigt. ;-)

Re: Virus in sanctuarylib.dll - Delphi 2009

Hi zusammen,

bei mir gings gestern auch rund. Avira hat die Datei gesperrt, hab das verschieben in die Quarantäne aber unterlassen.

Delphi war damit nicht zum laufen zu bringen, also hab ich eine manuelle Ausnahme hinzugefügt.
Übrigens: Ein Ausschalten der Heuristik half nicht, der Scanner hat es voll erkannt.... Mal sehen, wie lange der Spuk anhält... (Wollte auch noch Avira schreiben...)

VG Pixfreak

Re: Virus in sanctuarylib.dll - Delphi 2009

Zitat:

Zitat von Gausi

Bei mir meckert AntiVir auch seit gestern abend an dieser Datei rum. Bauchgefühl sagte mir "Fehlalarm" und habe es deswegen ignoriert, was sich hier grade verfestigt. ;-)

Ich habs auch erst ignoriert, aber die Checkbox "ausgewählte Aktion merken" von AntiVir funktioniert nicht. AntiVir nervt dann alle 5 Minuten...

Zitat:

Zitat von chaosben

Btw: Mein D2009 lief ohne die dll nicht (scheint mir auch irgendwie logisch, da sie sich um die Lizenz kümmert)

Der Infodialog von Delphi zeigt weiterhin "Registriert" an. Hab die Delphi Version bei edv-buchversand per download gekauft. Keine Ahnung warums bei mir geht.

Re: Virus in sanctuarylib.dll - Delphi 2009

Zitat:

Zitat von Andreas L.

Ich habs auch erst ignoriert, aber die Checkbox "ausgewählte Aktion merken" von AntiVir funktioniert nicht. AntiVir nervt dann alle 5 Minuten...

Die Datei verändert sich auch nicht alle ein paar Minuten?
Das merken bezieht sich nur auf eine Datei mit einer festen signatur ... wird diese Datei verändert, stimmt die Signatur nicht mehr und es wird erneut gewarnt.

Re: Virus in sanctuarylib.dll - Delphi 2009

Zitat:

Zitat von himitsu

Zitat:

Zitat von Andreas L.

Ich habs auch erst ignoriert, aber die Checkbox "ausgewählte Aktion merken" von AntiVir funktioniert nicht. AntiVir nervt dann alle 5 Minuten...

Nein, die Md5-Checksum ist immer die selbe.

EDIT: Die Datei wird auch nicht neu angelegt wenn ich sie per Hand lösche oder in die Quanrantäne verschiebe. Dann gibt AntiVir Ruhe...

EDIT2: AntiVir hat sich gerade aktualisiert, der Virus wird immer noch gefunden... :wall:

EDIT3: Grad gefunden:

https://forums.embarcadero.com/threa...35764&tstart=1

EDIT4: Habe die Datei jetzt zu Avira geschickt.

Zitat:

Zitat von Avira

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25651746 sanctuarylib.dll 1.92 MB FALSE POSITIVE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
sanctuarylib.dll FALSE POSITIVE

Die Datei 'sanctuarylib.dll' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.
Die oben aufgeführten Ergebnisse werden wir Ihnen zusätzlich via Email übermitteln. Sofern das Endergebnis noch nicht für alle Dateien verfügbar ist müssen Sie sich gegebenenfalls noch gedulden.