ex0r2k16
Goto Top

Was ist der "Windows Namespace" und warum UNC? Sophos Fehler

Huhu,

bei jeden regulärem Virenscan auf einem einzigen Client erhalte ich einen wilden False Positive (produkey):

Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver***\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).

Über die Sophos Enterprise Console kann ich das Tool nicht runterwerfen. "Bereinigung nicht möglich".

Viel mehr geht es auch eher darum um zu verstehen was das sein könnte. Den Pfad oben gibt es auf unserem Fileserver so nicht (mehr).

Ich vermute einen Zusammenhang mit einer nicht mehr aktiven GP0, welche unsere User Profile auf dem Fileserver abgelegt hat. Oder alternativ mit dem Synchroniserungscenter. Das habe ich bereits händisch abgeschaltet. Mir ist schleierhaft was der Sophos da scanned.

Habt ihr sowas schon mal gesehen?

System: Laptop mit Windows 10 pro
Umgebung: Normales AD + Sophos gemangedter AV

Content-Key: 378177

Url: https://administrator.de/contentid/378177

Printed on: June 19, 2024 at 00:06 o'clock

Member: Pjordorf
Pjordorf Jun 25, 2018 updated at 12:57:25 (UTC)
Goto Top
Hallo,

Zitat von @Ex0r2k16:
Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver***\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).
Den Pfad oben gibt es auf unserem Fileserver so nicht (mehr).
Der Pfad ist auch nur auf deine Clients zu finden welche Offline Dateien haben. Und im Ordner CSC hast du nichts verloren. Und die Datei Produkey von Nirsoft ist als ungewolltes unerwünschtes Programm eingestuft, einfach erlauben.

Ich vermute einen Zusammenhang mit einer nicht mehr aktiven GP0, welche unsere User Profile auf dem Fileserver abgelegt hat. Oder alternativ mit dem Synchroniserungscenter. Das habe ich bereits händisch abgeschaltet.
Aber den Ordner C:\Windows\CSC gibt es noch und somit die Offline Dateien? Nur das abschalten von Offline Dateien löscht nichts.

Mir ist schleierhaft was der Sophos da scanned.
Alles was derzeit auf dein Datenträger ist, und Sophos nimmt sich da etwas mehr Rechte wie du siehst.

Gruß,
Peter
Member: bloodstix
bloodstix Jun 25, 2018 at 13:09:21 (UTC)
Goto Top
eine Productkey.exe in einer Productkey.zip .... einfach erlauben?
Istn ziemlich mieser Tipp Pjordorf, wenn man sich eh schon unsicher ist.

Solltest die Datei zu virustotal hochladen ohne sie selbst zu öffnen.
Ich vermute ein PUA in einem Crack den der User irgendwie ausm Netz hat .
Member: Ex0r2k16
Ex0r2k16 Jun 25, 2018 at 13:16:57 (UTC)
Goto Top
Ich würde mir die Datei ja gerne anschauen. Dafür muss ich mir selbst aber höhere Rechte auf CSC\v2.06 verschaffen. Richtig?

Ja bevor ich irgendwas erlaube schaue ich mir die Datei natürlich auch lieber vorher an. Produkey wird von Sophos aber generell als PUA eingestuft. Von daher gehe ich wirklich von nem FP aus.
Member: Pjordorf
Pjordorf Jun 25, 2018 at 13:17:04 (UTC)
Goto Top
Hallo,

Zitat von @bloodstix:
einfach erlauben?
Ja, ist eh nur PUA wie du selbst sagst. Und NirSoft ist eine bekannte Firma und hat auch Software welche im bereich PUA angesiedelt ist. Ob sinnvoll oder nicht ist hier nicht die Frage, das muss der TO entscheiden. Wir Admins nutzen schon mal Produkte auch von NirSoft.

Istn ziemlich mieser Tipp Pjordorf, wenn man sich eh schon unsicher ist.
Das der TO schon icht weiß was nd wie CSC ist, ist schon als Admin etwas ...

Solltest die Datei zu virustotal hochladen ohne sie selbst zu öffnen.
Warum, fast ein jeder weiß das Produkey ein PUA ist. Schau mal hier https://www.nirsoft.net/utils/product_cd_key_viewer.html unter Known Problems.

Ich vermute ein PUA in einem Crack den der User irgendwie ausm Netz hat .
Der TO sagt aber von NirSoft...und für das zu lesen was NirSoft schreibt bin ich nicht zuständig. NirSoft gehört in fast jeder umfangreicheren Werkzeugsammlung eines Admin face-smile

Gruß,
Peter
Member: SeaStorm
SeaStorm Jun 25, 2018 at 13:18:06 (UTC)
Goto Top
der TO sagt doch selbst das es ein FalsePositive ist. Der Pfad spricht ja auch Bände...

Entweder man will, das so ein Keyausleser OK ist, oder nicht. Also ist erlauben legtim, wenn man sich denn sicher ist, was das ist.
Member: Pjordorf
Pjordorf Jun 25, 2018 at 13:22:45 (UTC)
Goto Top
Hallo,

Zitat von @Ex0r2k16:
Ich würde mir die Datei ja gerne anschauen. Dafür muss ich mir selbst aber höhere Rechte auf CSC\v2.06 verschaffen. Richtig?
Nur wenn du selbst in das Verzeichniss C:\Windows\CSC\... einsteigen und nachsachauen willst. Ansonsten reichen auch die Wekzeuge vom Synchronisierungscenter wie Offline Dateien Verwalten und dort in "Offlinedateien Anzeigen" gehen. Dort kannst du dir auch alle Dateien ansehen, kopieren etc.

Ja bevor ich irgendwas erlaube schaue ich mir die Datei natürlich auch lieber vorher an. Produkey wird von Sophos aber generell als PUA eingestuft. Von daher gehe ich wirklich von nem FP aus.
Schau unter https://www.nirsoft.net/utils/product_cd_key_viewer.html Known Problems nach. NirSoft ist kein unbekannter.

Gruß,
Peter
Member: bloodstix
bloodstix Jun 25, 2018 updated at 13:27:31 (UTC)
Goto Top
Ok, so detailiert auf das Productkey bin ich gar nicht eingegangen. Deine Empfehlung "ja da ist was als unerwünschtes Programm markiert, einfach erlauben" habe ich dann wohl so gedeutet, das du das jetzt in jedem Fall gesagt hättest "jaja, einfach erlauben, wird scho" :D
Member: Pjordorf
Pjordorf Jun 25, 2018 at 13:41:28 (UTC)
Goto Top
Hallo,

Zitat von @bloodstix:
Ok, so detailiert auf das Productkey bin ich gar nicht eingegangen.
Und es heisst ProduKey. Es fehlen dort bewusst 2 Buchstaben. face-smile

das du das jetzt in jedem Fall gesagt hättest "jaja, einfach erlauben, wird scho" :D
Nene, das hätte ich garantiert nicht wenn ich ProduKey nicht gekannt hätte face-smile

Gruß,
Peter
Member: Lochkartenstanzer
Lochkartenstanzer Jun 25, 2018 updated at 14:09:47 (UTC)
Goto Top
Zitat von @Pjordorf:

Wir Admins nutzen schon mal Produkte auch von NirSoft.


Insbesondere Produkey ist da schon mal ganz nützlich, wenn der Kunde (vor allem Privatkunden) "Ihren Schlüssel verlegt" haben und eine Neuinstallation ansteht. Meist ist der zwar vorhanden aber in irgendwelchen Stapeln oder Kisten vergraben.

lks
Member: Lochkartenstanzer
Lochkartenstanzer Jun 25, 2018 updated at 14:14:43 (UTC)
Goto Top
Zitat von @Ex0r2k16:

Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver*\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).

Wie die Kollegen schon sagten: Das sind offline-Dateien.

Starte einfach eine administrative Shell (z.B. cmd.exe als Administrator starten) und hangel Dich einfach per cd da Verzeichnis für Verzeichnis herunter. Dann wirst Du sehen, ob die Dinger da sind oder nicht.

Und wenn Du das produkey mit Absicht da drauf gepackt hast, erlaube es einfach in Sophos.

lks
Member: Pjordorf
Pjordorf Jun 25, 2018 at 14:40:56 (UTC)
Goto Top
Hallo,

Zitat von @Lochkartenstanzer:
Starte einfach eine administrative Shell (z.B. cmd.exe als Administrator starten) und hangel Dich einfach per cd da Verzeichnis für Verzeichnis herunter.
Ab Verzeichniss v2.0.6 ist eigentlich schluß. Da ist es einfacher das Synchronisierungscenter zu bemühen. Dort können auch einzelne Dateien oder ganze Ordner gelöscht werden da ein abschalten von Offlinedateien die schon vorhandenen Dateien nicht anfasst.

Und wenn Du das produkey mit Absicht da drauf gepackt hast, erlaube es einfach in Sophos.
War sein Vorgänger der auch per GPO und Offlinedateien ... face-smile

Gruß,
Peter