This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

False Positive dota.exe Troj/Ransom-RT

Hi.

It seems there is a problem with the recently updated Troj/Ransom-RT detection.

When i tried to launch Dota2 today Sophos claimed that dota.exe and several other files in the game folder are infected with Troj/Ransom-RT and deleted several files. When i tried to redownload the deleted files via steam they got deleted again right away.

Since Steam downloads these files directly from the Steam servers and the Detection files for the Virus in question got updated a few hours ago i assume there is a false positive.

I added the output from Sophos regarding the files in the following spoiler tag.

Really annoying since im not able to Play Dota 2 right now.

20130815 002351   Die Erkennungsdatenversion 4.91G (Detection Engine 3.45.0) wird verwendet. Diese Version kann 5363789 Objekte erkennen.
20130815 002351   Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20130815 002351   Treibereinstellungen für On-Access-Scans:
   Filter beim Lesen: Wahr
   Filter beim Schreiben: Wahr
   Filter beim Umbenennen: Wahr
   Bootsektorzugriff genehmigen: Falsch
   Alle Dateien prüfen: Falsch.
20130815 013727   Datei "C:\Dota2\dota 2 beta\dota.exe" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013727   On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Dota2\dota 2 beta\dota.exe" für folgenden Benutzer verweigert: ***************
20130815 013734   Datei "C:\Dota2\dota 2 beta\dota.exe" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{145C4EB1-10CE-49D3-BE53-63E582C576F9}" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{713F7EB8-A3EA-4490-B1FF-DFA6876F288A}" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungsschlüssel "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungsschlüssel "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\EnableFirewall" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungsschlüssel "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\GloballyOpenPorts" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 013734   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{145C4EB1-10CE-49D3-BE53-63E582C576F9}" wurde bereinigt.
20130815 013734   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{713F7EB8-A3EA-4490-B1FF-DFA6876F288A}" wurde bereinigt.
20130815 013735   Datei "C:\Dota2\dota 2 beta\dota.exe" wurde bereinigt.
20130815 013735   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start" wurde bereinigt.
20130815 013735   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall" wurde bereinigt.
20130815 013735   Registrierungsschlüssel "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts" wurde bereinigt.
20130815 013735   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall" wurde bereinigt.
20130815 013735   Registrierungsschlüssel "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts" wurde bereinigt.
20130815 013735   Registrierungseintrag "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\EnableFirewall" wurde bereinigt.
20130815 013735   Registrierungsschlüssel "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\GloballyOpenPorts" wurde bereinigt.
20130815 013735   Virus/Spyware 'Troj/Ransom-RT' entfernt.
20130815 020122   Datei "C:\Dota2\dota 2 beta\bin\SHADERAPIEMPTY.DLL" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020122   On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Dota2\dota 2 beta\bin\SHADERAPIEMPTY.DLL" für folgenden Benutzer verweigert: ***********
20130815 020123   Datei "C:\Dota2\dota 2 beta\bin\VAUDIO_MILES.DLL" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020123   On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Dota2\dota 2 beta\bin\VAUDIO_MILES.DLL" für folgenden Benutzer verweigert: ************
20130815 020129   Datei "C:\Dota2\dota 2 beta\bin\SHADERAPIEMPTY.DLL" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020131   Datei "C:\Dota2\dota 2 beta\bin\VAUDIO_MILES.DLL" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020132   Datei "C:\Dota2\dota 2 beta\bin\SHADERAPIEMPTY.DLL" wurde bereinigt.
20130815 020134   Datei "C:\Dota2\dota 2 beta\bin\VAUDIO_MILES.DLL" wurde bereinigt.
20130815 020134   Virus/Spyware 'Troj/Ransom-RT' entfernt.
20130815 020149   Datei "D:\Steam\steamapps\downloading\570\bin\shaderapiempty.dll" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020149   Datei "D:\Steam\steamapps\downloading\570\bin\vaudio_miles.dll" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020150   Datei "D:\Steam\steamapps\downloading\570\dota.exe" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020156   Datei "D:\Steam\steamapps\downloading\570\bin\shaderapiempty.dll" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020158   Datei "D:\Steam\steamapps\downloading\570\bin\vaudio_miles.dll" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020200   Datei "D:\Steam\steamapps\downloading\570\dota.exe" gehört zu Virus/Spyware 'Troj/Ransom-RT'.
20130815 020201   Datei "D:\Steam\steamapps\downloading\570\bin\shaderapiempty.dll" wurde bereinigt.
20130815 020203   Datei "D:\Steam\steamapps\downloading\570\bin\vaudio_miles.dll" wurde bereinigt.
20130815 020204   Datei "D:\Steam\steamapps\downloading\570\dota.exe" wurde bereinigt.
20130815 020204   Virus/Spyware 'Troj/Ransom-RT' entfernt.

This thread was automatically locked due to age.

Parents

0 QC over 12 years ago

Hello MikeMiller007,
What do you want a sample of?
of course the files which have been (perhaps falsely) detected. How else should someone be able to determine whether a detection is correct or not (and needs to be amended)?
Christian
:42702
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 QC over 12 years ago

Hello MikeMiller007,
What do you want a sample of?
of course the files which have been (perhaps falsely) detected. How else should someone be able to determine whether a detection is correct or not (and needs to be amended)?
Christian
:42702
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data