11.03.2015 False Positive

Warnungen und Meldungen des Technical Support Teams über interessante Themen.
Locked
Mba
Posts: 65
Joined: Tue, 24 Apr 2012, 09:49

11.03.2015 False Positive

Post by Mba »

Sehr geehrte Damen und Herren,

bedauerlicherweise wurde mit dem heutigen Update ein False Positive in der Signaturdatei ausgeliefert.

Betroffen von diesem Update sind Panda Einzelplatzlösungen sowie Panda Cloud Office Protection.

Die Signaturdatei wurde bereits ersetzt.

WICHTIG: Bitte führen Sie auf den betroffenen Systemen KEINEN NEUSTART durch und fahren Sie diese NICHT HERUNTER solange keine Lösung verfügbar ist.

Panda Security arbeitet derzeit an einer Problemlösung. Sobald neue Informationen vorliegen, werden wir diesen Eintrag aktualisieren.


Offizieller Eintrag (English): http://www.pandasecurity.com/usa/enterp ... ?id=100045


Wir entschuldigen uns für diesen Fehler und werden Sie informieren sobald eine Lösung verfügbar ist.


Update 11.03 19:45 - Eine Retail Fix der die falsch klassifizierten Dateien aus der Quarantäne wiederherstellt wird zur Zeit ausgerollt. Ein vergleichbarer Fix für PCOP wird noch finalisiert. Für Systeme die kein funktionierendes Schutzmodul mehr haben werden wir ein separates standalone Tool bereitstellen.

Update 11.03 21:10 - Es wurde Produkt-übergreifend eine Lösung ausgerollt, die alle Dateien der Quarantäne wieder herstellt. Zudem arbeiten wir an einem Tool, welches auf den PCs installiert werden muss, welche eine manuelle Installation der Lösung benötigen.

Update 12.03 03:30 - Eine manuelle Version wurde nach mehreren BETA-Tests in verschiedenen Szenarien nun veröffentlicht.

Update 12.03 09:00 - Bei eingen Systemen bricht das PS-Recovery Tool mit einer Fehlermeldung zur COMCTL32.DLL ab. Ein Update dazu wird gleich bereitgestellt.

Update 12.03 09:15 - In Kürze werden wir Kunden mit PCSM eine Componente bereitstellen um die Ps-Recovery automatisiert auszurollen.

Update 12.03 09:45 - Ein aktualisiertes Recovery Tool für Kunden mit einer COMCTL32 oder vergleichbaren Fehlermeldung steht nun in diesem Artikel unten bereit.

Update 12.03 10:57 - Für Systeme die gänzlich den Start verweigern oder die STRG-ALT+ENT Kombination nicht mehr funktional ist arbeiten wir zur Zeit an einer LiveCD/USB Lösung. Leider wird dies einige Zeit in Anspruch nehmen.

Update 12.03 12:00 - Hinweis im Artikel hinzugefügt für den Fall das nicht alle Dateien initial aus der Quarantäne wiederhergestellt werden konnte. ("Sollten nicht alle falsch klassifizierten Dateien vom 11.03.2015 vollständig aus der Quarantäne wiederhergestellt worden sein so wiederholen Sie den Vorgang bitte nach einem Neustart.")

Update 12.03 13:00 - Hinweis für Szenario 3 im Artikel hinzugefügt. ("Bitte warten sie bis zu 10 Minuten damit alle Hintergrundprozesse vollständig abgeschlossen werden können.")

Update 12.03 13:27 - Szenario 4 für Systeme innerhalb der Domäne ohne funktionierendes lokales Login hinzugefügt.

Update 12.03 17:58 - Szenario 2 wurde um eine Alternative 2.1 ergänzt, falls sich nach dem Anmelden im normalen Modus ein Blackscreen zeigt.

Update 12.03 19:25 - Szenario 4 wurde um eine Alternative 4.1 ergänzt, in der die Schritte mit einer Live-Linux-CD realisiert werden, da andere Schritte nicht möglich sind.

Update 12.03 21:45 - Szenario 5 bezieht sich auf Maschinen, die nur noch in die Wiederherstellungsconsole booten, dort aber keine Wiederherstellung anbieten.

Update 13.03 09:18 - Alle Szenarien angepasst und das PS-Recovery Tool durch eine verbesserte Version ersetzt. Eine weitere Optimierung des Tools welche Dateien aus dem Lost+Found Ordner regeneriert sowie das COMCTL32 Problem besser adressiert ist in Arbeit. Eine LiveCD zum wiederherstellen nicht bootbarer Systeme ist ebenfalls weiterhin in der Entwicklung.

Update 13.03 13:03 - Szenario 3.1 hinzugefügt für erfahrene Benutzer.

Update 14.03 12:47 - Szenario 3.1 editiert. Es gibt nun ein Tool, mit dem man die Dateien aus dem LostandFound Ordner wieder an seinen Ursprungsort wiederherstellen kann. (Fehler COMCTL32.dll)

Update 14.03 15:44 - Szenario 1 angepasst. Das PS-Recovery Tool wurde durch das Quarantinefix tool ersetzt. Falls das PS-Recovery Tool nicht funktioniert hat, auf jeden Fall das Quarantinefix Tool nutzen.

Update 14.03 16:13 - Szenario 2 wurde ersetzt. Es ist nun eine RettungsCD für Rechner verfügbar, die nicht mehr ordnungsgemäß starten.

Update 14.03 17:08 - Unsere Entwicklung arbeitet weiterhin Tag und Nacht an der Verbesserung der Tools. Bitte schauen Sie öfters mal nach Updates in diesem Beitrag. Falls Sie mit den jetzigen Versionen der Tools keinen Erfolg haben, probieren Sie es zu einem späteren Zeitpunkt mit den Versionen die hier zur Verfügung gestellt werden.

Update 16.03 07:30 - Szenario 4 und 4.1 überarbeitet.

Update 17.03 06:30 - Szenario 3 (comctl32.dll/restorelf) mit optimierten Tools überarbeitet. Szenario 4 angepasst.

Update 17.03 06:30 - Seit gestern dem 16.03.2015 23:00 rollen wir automatisiert ein Wiederherstellungstool auf allen Retail 2015 sowie PCOP betroffenen Systemen aus welches eventuell vorhandene Dateien aus Lost+Found regeneriert.

Update 17.03 11:30 - Szenario 2 enthält nun die aktualisierte LiveCD "pandarecovery.iso"

Update 18.03 11:15 - Szenario 1 mit einer aktualisierten Version angepasst welches weitere Verbesserungen sowie automatische Problemlösungen zum comctl32.dll,msvcr90.dll und anderer Libraries inkludiert enthält.

Update 19.03 08:30 - Szenario 1 und Szenario 2 mit einer aktualisierten Version der Wiederherstellungstools angepasst.

Update 20.03 09:30 - Es wurde ein Szenario 6 hinzugefügt, in dem sich eine PCSM Komponente befindet, die die Funktion des "extended recovery" aus Szenario 1 mit sich bringt.



=========================
Wichtig: Sollten Sie den PCOP bereits neuinstalliert haben prüfen Sie bitte nach, dass die Dateien im richtigen Quarantäne Ordner sind.

Nach einer Neuinstallation wird folgender Ordner verwendet:
C:\ProgramData\Panda Security\Panda Security Protection\Quarantine

Haben Sie den PCOP jedoch schon länger im Einsatz besteht die Möglichkeit, dass ihre Dateien in folgendem Ordner liegen:
C:\ProgramData\Panda Security\Panda Endpoint Protection\Quarantine

In diesem Fall kopieren Sie bitte die Dateien vom alten Ordner in den neuen Ordner.
=========================

Symptome:

Das Problem mit der Signatur-Datei vom 11.03.2015, welche mehrere Dateien in die Quarantäne verschoben hat, betrifft die PCOP und Retail 2015 Kunden.

Lösung:

Die Signatur-Datei selbst wurde kurzfristig korrigiert. Zusätzlich wurde eine automatische Lösung für alle betroffenen Produkte automatisch verteilt und sollte in Idealfall alle Dateien selbstständig wiederherstellen. In diesem Fall ist von Ihnen keine weitere Aktion nötig!

In verschiedenen Umgebungen ist es dennoch möglich, dass das Problem weiterhin vorliegt. Um dieses zu prüfen, gehen Sie wie folgt vor:

1. Prüfen Sie, dass Dateien in der Quarantäne sind:

ab Windows Vista/Server 2008 -> C:\ProgramData\Panda Security\Panda Security Protection\Quarantine
Windows XP, Server 2003 -> C:\Documents and Settings\All Users\Application Data\Panda Security Protection\Quarantine

Beachten Sie wie oben auch beschrieben sich die Dateien gegebenenfalls bisher noch in folgendem Verzeichnis befinden und kopiert werden müssen: C:\ProgramData\Panda Security\Endpoint Protection\Quarantine

Sie können sich diesen Ordner auch sicherheitshalber nochmals als Backup wegkopieren. Bitte beachten Sie das die Quarantäne auch ältere Dateien enthalten könnte vor der fehlerhaften Signatur. Diese werden weder automatisch noch durch die hier bereitgestellten Tools wiederhergestellt.


Szenario 1: Der Computer startet normal

- Führen Sie eine CMD per Rechtsklick als Administrator aus.
- Führen Sie folgende Befehle in der CMD aus und bestätigen diese jeweils mit der ENTER-Taste.

sc stop psinprot
sc stop psinaflt
sc stop nanoservicemain

- Warten Sie eine halbe Minute.
- Laden Sie Datei extended-recovery.exe http://pandadownload.de/156 herunter.
- Starten sie die Datei extended-recovery.exe auf dem betroffenem System. (Bitte NICHT direkt von einem Wechseldatenträger wie z.B. einem USB Stick ausführen!)
- Ein Fenster wird während des Vorganges den akutellen Fortschritt der Wiederherstellung anzeigen. Die Wiederherstellungsdauer ist systemabhängig. Bitte warten Sie bis der Vorgang vollständig abgeschlossen wurde. Das Fenster wird sich abschliessend automatisch schliessen.
- Starten Sie den Computer neu und prüfen, ob das Problem weiterhin auftritt.

Log-Dateien zum Prüfen der durchgeführten Aufgaben:
- "RestoreQua.log" im Verzeichnis des "quarantinefix"/"testernano.exe"
- "log.txt" und/oder "out.txt" im Verzeichnis des Lost and Found (bspw. C:\Programme (x86)\Panda Security\WAC\LostandFound)


Szenario 2: Der Computer startet nicht mehr ordnungsgemäß

Lösung: Folgen Sie den Instruktionen um einen USB Rescue Stick zu erstellen, mit dem Sie die betroffenen Dateien wieder aus der Quarantäne befreien können.

Bevor Sie beginnen:
Sie benötigen einen USB Stick
Sie benötigen einen funktionierden Windows PC

Lösungsschritte:

1. Erstellen Sie sich ein Verzeichnis c:\pandafix auf Ihrem Computer

2. Laden Sie sich das Tool unetbootin herunter http://pandadownload.de/unetbootin

3. Stecken Sie den USB Stick in einen freien USB Port.

4. Laden Sie sich das ISO-Image newpandarecovery.iso hier herunter. http://pandadownload.de/155

5. Starten Sie unetbootin als Administratorund übertragen Sie das ISO newpandarecovery.iso auf den USBStick
Image

6. Wenn Sie den USB Stick fertig gestellt haben, dann entfernen Sie diesen und gehen Sie zu dem Computer, der nicht mehr korrekt bootet.

7. Stecken Sie den USB-Stick in einen freien USB Port und stellen Sie sicher, dass von diesem USB Stick der Computer bootet. (Bios Anpassungen ggf. nötig)

8. Folgen Sie dem Menüassistenten. Wenn Sie diesen bis zum Ende durchgeführt haben, starten Sie Windows im normalen Modus, wie gefordert.

9.Nun wechseln Sie in das Verzeichnis c:\pandarescue und starten die Datei LauncherNano32.exe file or LauncherNano64.exe anhängig davon, ob Sie ein 32 Bit oder 64 Bit Betriebssystem haben.

10. Ein Fenster wird Ihnen angezeigt
Image

11. Wenn der Vorgang beendet ist, wird das Fenster geschlossen

12. Starten Sie den Rechner neu und prüfen Sie, ob das Problem behoben wurde.


Szenario 3: Das Wiederherstellungstool kann aufgrund eines comctl32.dll, msvcr90.dll oder vergleichbaren dll-Fehlers nicht gestartet werden.

- Führen Sie eine CMD per Rechtsklick als Administrator aus.
- Führen Sie folgende Befehle in der CMD aus und bestätigen diese jeweils mit der ENTER-Taste.

sc stop psinprot
sc stop psinaflt
sc stop nanoservicemain

- Warten Sie eine halbe Minute.
- Entpacken Sie nach dem Download folgende Datei http://pandadownload.de/restorelf
- Welchseln Sie in das entpackte Unterverzeichniss "Tools" und führen dort in der CMD Umgebung die Datei "restorelf.exe" aus. Bitte starten Sie die Datei NICHT von einem Wechseldatenträger wie z.B. einem USB Stick.
- Bitte warten sie bis zu 10 Minuten damit alle Hintergrundprozesse vollständig abgeschlossen werden können.
- Prüfen Sie abschließend ob alle Dateien aus dem Quaratänevereichniss wiederhergestellt wurden.
- Sollten nicht alle falsch klassifizierten Dateien vom 11.03.2015 vollständig aus der Quarantäne wiederhergestellt worden sein so wiederholen Sie den Vorgang bitte nach einem Neustart.

Log-Dateien zum Prüfen der durchgeführten Aufgaben:
- "RestoreQua.log" im Verzeichnis des "quarantinefix"/"testernano.exe"
- "log.txt" und/oder "out.txt" im Verzeichnis des Lost and Found (bspw. C:\Programme (x86)\Panda Security\WAC\LostandFound)

Manuelle Anleitung

Erfahrene Benutzer können auch die manuelle Anleitung weiterhin nutzen. Allerdings empfehlen wir Ihnen das Tool RestoreLF wie oben beschrieben zu nutzen.

Manuelle Anleitung zum wiederherstellen der comctl32.dll für erfahrene Benutzer.

- Bitte laden Sie das PDF herunter und folgen Sie den dort hinterlegten Anweisungen http://pandadownload.de/153 (englisch)


Szenario 4: Ein Domänenrechner startet mit Netzwerk aber ein Login ist weder im normalen noch im abgesicherten Modus möglich, und Sie haben Zugriff auf ein weiteres funktionales System innerhalb des Netzwerkes einer Domäne.

- Laden Sie das Tool PSEXEC herunter: https://technet.microsoft.com/en-us/sys ... 97553.aspx

- Entpacken Sie PSEXEC auf ein funktionales System in einen lokalen Ordner.

- Starten Sie eine Command Shell mit CMD als Administrator.

- Starten Sie psexec \\<machinename> -h -n 30 /accepteula cmd /k

Wichtig! <machinename> bitte mit dem Rechnernamen des betroffenen Systems austauschen.

- Eine Remote Command Shell wird sich nun öffnen. Geben Sie dort bitte folgende Kommandos ein:

sc stop psinprot
sc stop psinaflt
sc stop nanoservicemain

- Laden Sie das PS Recovery Tool herunter http://pandadownload.de/156 entpacken und kopieren sie es über ein Adminfreigabe auf das betroffene System. (z.b. \\<machinename>\C$ )

- Benutzen Sie PSEXEC um das PS Recovery Tool auf dem System auszuführen.

Beispiel: psexec \\<machinename> -h -n 30 /accepteula c:\extended-recovery.exe

- Starten Sie den Computer neu und prüfen, ob das Problem weiterhin auftritt.
- Sollten nicht alle falsch klassifizierten Dateien vom 11.03.2015 vollständig aus der Quarantäne wiederhergestellt worden sein so wiederholen Sie den Vorgang bitte nach einem Neustart.


Szenario 4.1: Das Starten des Computers ist weder im abgesicherten Modus noch normalen Modus möglich, jedoch besteht Möglichkeit abgesicherter Modus mit Eingabeaufforderung.

Nach mehreren positiven Resonanzen von Kunden und Fachhändlern, möchten wir auch diesen Lösungsweg bereitstellen:

- Laden Sie sich eine Live-Linux-CD herunter und brennen diese auf CD/DVD oder einem USB-Stick um anschließend von dieser/diesem zu booten
- In unserem Fall haben wir Folgende genutzt (andere auch möglich): http://releases.ubuntu.com/14.04.2/ubun ... -amd64.iso
- Anschließend Starten Sie diese im Live-Modus
- Laden Sie sich nun das PS Recovery Tool (http://pandadownload.de/156) und das Comctl32-Fix/Restoreelf (http://pandadownload.de/restorelf) herunter entpacken und speichern dieses auf der Festplatte C:\
- Alternativ nutzen Sie einen USB-Stick auf den Sie die beiden Tools kopiert haben und kopieren aus der Live-linux-Oberfläche die Dateien vom Stick auf C:\
- Fahren Sie den Computer herunter und starten diesen im abgesicherten Modus mit Eingabeaufforderung
- Navigieren Sie über die Shell in das betroffene Verzeichnis und führen die "extended-recovery.exe " aus (auftretende Fehlermeldungen einfach überspringen)
- Warten Sie nun etwas und führen ebenfalls die "restorelf.exe" aus (auftretende Fehlermeldungen einfach überspringen)
- nachdem Sie diese ausgeführt haben, sollte sich die Shell beenden.
- Öffnen Sie nun mit ALT+STRG+ENTF oder ALT+SHIFT+ENTF den Task-Manager und führen einen neuen Task aus: explorer.exe
- Auch die dort angezeigten Meldungen überspringen.
- Führen Sie nun nochmals beide Tools, wie auch im Szenario 3 beschrieben aus und starten den Computer abschließend neu.


Szenario 5: Der Computer startet nur in die Wiederherstellungsconsole, kann die Wiederherstellung aber nicht durchführen bzw. es werden keine Punkte angezeigt.

Nach mehreren positiven Resonanzen, möchten wir auch diesen Lösungsweg bereitstellen:

- In diesem Fall muss die Windows-Reparatur-CD hinzugezogen werden und wie wir es weitgehend feststellen konnten 2 Mal ausgeführt werden, da im ersten Anlauf oft keine Probleme durch die Windows Reparatur festgestellt werden.
- Nach dem zweiten Reparaturdurchlauf und erneuten Neustart stehen gewöhnlich die Systemwiederherstellungspunkte erneut zur Verfügung und es kann ein Punkt vor dem 11.03.2015, 12:00 Uhr gewählt werden.
- Es gibt zwar Meldungen das die Wiederherstellung nicht ordnungsgemäß fertigstellt werden konnte, jedoch startete der Computer normal und auch die Windows Anmeldung erfolgte. Dort meldete die Systemwiederherstellung auch Erfolg und es konnten keinen weiteren Probleme festgestellt werden.


Szenario 6: PCSM Komponente - Extended Recovery

Unter folgenden Link können Sie eine PCSM Komponente herunterladen, die die Funktionen des 1.Szenarios beinhaltet:

http://pandadownload.de/157
Regards,

Mba
Technical Support Germany,
Panda Security
Locked

Return to “General Board”