not-a-virus:RiskWare.Tool.Madtol.c, Wie kriege ich das weg? Einstellungen

[christophs]

Hallo, vermutlich habe ich
not-a-virus:RiskWare.Tool.Madtol.c
auf dem Compi.
Wir kriege ich dasweg?
KAV kan es nicht löschen.
Auf der KAV-seite
http://www.viruslist.com/de/viruses/encycl...a?virusid=79341
finde ich folgendes:




"Home / Viren / Virus Enzyklopädie
not-a-virus:RiskWare.Tool.Madtol.c
Datum: Wann entdeckt? 23 Apr 2005
behavior Not-A-Virus


Für dieses Schadprogramm gibt es keine Beschreibung.

Da viele Schadprogramme Modifizierung ihrer Vorgänger-Versionen sind, könnten Ihnen die Beschreibung der früheren Versionen desselben Schadprogramms helfen. Wenn es sie gibt, so finden Sie die Links gleich unter der Überschrift der Seite.

Unsere Virus-Analytiker arbeiten hart, um zu gewährleisten, dass die Beschreibungen der meist verbreiteten und gefährlichsten Malware für die Anwender zur Verfügung stehen. Die Virus Enzyklopädie wird regelmäßig aktualisiert.

Wenn Sie keine passende Beschreibung auf unserer Webseite gefunden haben, so setzen Sie sich bitte mit uns unter der Adresse: webmaster@viruslist.com in Verbindung. Wir werden auf jeden Fall eine Lösung für Sie finden."

Kennt sich jemand aus?

[Gast_Phoinix_*]

Hallo Christophs,

schon mal mit Ad-Aware oder ähnlichem versucht?




ersma...

[Stoamandl]

Ich vermute mal, daß es KAV in Quarantäne verschiebt.

Löschen ist dann nicht notwendig.

[Yopie]

Hallo, vermutlich habe ich
not-a-virus:RiskWare.Tool.Madtol.c
auf dem Compi.

Wie lautet die genaue Meldung von KAV? Insbesondere Pfadangabe der angemeckerten Datei, bitte. (Du bist doch nicht erst seit gestern hier, müsstest doch eigentlich wissen,was wichtig ist, um zu helfen..)

[christophs]

C:Dokum (dann kommt ne Welle in etwa -)1/Admini-1/Lokale-1/Temp/mc26.tmp
Mich wundert es, dass KAV es anmeckert, es aber nicht in die Quarantäne verschieben oder löschen kann.

[Yopie]

Lösch mal Deine temporären Dateien, vor allem die des Administrator-Accounts.

Geht z.B. mit http://clearprog.de , oder über die Datenträgerbereinigung.

[christophs]

"This driver was detected because it allows integrate application to another process. It was going with Backdoor.Win32.Hupigon.f trojan program. But it could be used in other applications, so we added it to RiskWare base (extended bases).

As for deleting, could you specify what happen, when you try to delete this file through KAV or manually?"

Vom KAV-Forum kam obige Antwort.

Habe unter Internetoptionen, Cookies und Dateien löschen gedrückt.
Beim Neubooten kam keine Meldung mehr.
Warenn das die tpm-files?
Sind "tmp" und "Temporary Iternetfiles" dasselbe.
Es gibt unterschiedliche Ordner.

[Yopie]

Temporäre Internetfiles ist der Cache des IE. Das andere ist das temporäre Verzeichnis des jeweiligen Users, hier also von "Administrator". Kann aber immer gelöscht werden, was da drin ist.

[christophs]

Danke. Yopie!
Bin ich das Ding jetzt los?
Warum kennt KAV das Zeug und kann es dennoch nicht löschen oder verschieben?

[Gast_R2D2_*]

Weil es zum Zeitpunkt des Scannens aktiv im Speicher war.

[christophs]

Wie kann ich kontrollieren, ob das Zeug endgültig vom Compi verschwunden ist?

[Yopie]

Fullscan mit Virenscanner?

[Gast_R2D2_*]

>> C:Dokum (dann kommt ne Welle in etwa -)1/Admini-1/Lokale-1/Temp/mc26.tmp

Ist typische Dropper Verhalten, sprich irgendwas was Kaspersky nicht erkannt hat hat das freigesetzt. Normalerweise kommt sowas immer gebundelt mit einem Trojaner

[Gast_zipfelklatscher_*]

Und wie hätte sich die neueste NOD hier verhalten ?

[Voyager]

@christophs
backdoor, riskware....ich frag mich , wie konnte das alles passieren nachdem du hier im board soviel gelernt hattest ?

[Yopie]

ich würd jetzt mal gerne ein HJT-Log sehen. Echt wahr (obwohl ich die eigentlich nicht mehr sehen kann....).

[Gast_R2D2_*]

Und wie hätte sich die neueste NOD hier verhalten ?
[right][snapback]90782[/snapback][/right]

NOD meldet auch die Datei welche eine virale Datei freisetzt. Das wird mittels AMON abgefangen. Vorausgesetzt natuerlich das die freigesetzte Datei erkannt wird.

Der Beitrag wurde von R2D2 bearbeitet: 29.04.2005, 16:24

[Gast_zipfelklatscher_*]

Hätte also grundsätzlich auch, wie bei KAV jetzt geschehen, bei NOD in die Hose gehen können ?!

-

btw: Wo und wie fängt man sich denn solch ein Zeugs ein ?

[christophs]

@ bond7
Hmmm...
benutze spybot, spysweeper, KAV, microsofts antispyware...
Surfe nur auf sicheren Seiten und habe obige als Hintegrundwächter.
Hmmm...

@zipfelklatscher
gute frage

Bin nicht der einzige, der das hat. Vielleicht false positiv...
http://forum.kaspersky.com/index.php?showtopic=511

Der Beitrag wurde von christophs bearbeitet: 29.04.2005, 16:44

[Yopie]

Poste mal ein Log, sonst stochern wir im Nebel rum.
Browser ist bei Dir der IE?

[Gast_Andreas Haak_*]

Kaspersky kam auf die gloreiche Idee verschiedene Komponenten der Madshi Collection als Riskware zu listen, da sie sowohl in verschiedenen Schutzprogrammen (SpySweeper, 0190 Warner, a² usw. usf.) als auch in einigen Rootkits (AFX z.B.) zum Einsatz kommen.

Entweder Du deaktivierst die Riskware Erkennung in KAV (ist das über die zu verwendenden Datenbanken überhaupt möglich? *grübel*) oder du wartest bis es entsprechende Updates diesbezüglich gibt.

Im übrigen ist es in solchen Fällen am intelligentesten sich direkt an den Hersteller - sprich Kaspersky - zu wenden.

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 19:26

[christophs]

Ich benutze a² und SpySweeper.
Heißt das, dass dann alles in Ordnung ist, da diese "Riskware" auf a² und Spysweeper zurückgeht, Andreas?

Der Beitrag wurde von christophs bearbeitet: 29.04.2005, 19:38

[Voyager]

nein , solange die ursache für die erkennung der datei im temporärfolder nicht gefunden ist , siehe beitrag 13 von R2D2 .

[Gast_Andreas Haak_*]

Auf eine von a² und SpySweeper verwendeten Komponenten - ja.

Riskware ist in den meisten Fällen kein Grund zur Besorgnis. Riskware bedeutet nichts anderes als das eine Komponente an sich ein potentielles Risiko darstellt - je nachdem wie sie verwendet wird. mIRC z.B. - ein bekannter Chat Client - ist defacto als Riskware gelistet. Er wird zwar zu 99% zum Chatten verwendet, aber eben zu 1% auch als "Unterbau" von verschiedenen IRC Bots etc. .

Defacto könnte man selbst den Format Befehl von Windows als Riskware listen oder DelTree zum Löschen von Verzeichnissen. Beide werden schließlich regelmäßig von diversen Script Schädlingen "missbraucht".

[Gast_Andreas Haak_*]

nein , solange die ursache für die erkennung der datei im temporärfolder nicht gefunden ist ,  siehe beitrag 13 von R2D2 .
[right][snapback]90831[/snapback][/right]

Wenn du gelesen hättest, wüsstest Du, daß die Ursache höchstwahrscheinlich bereits gefunden wurde.

[Manu]

Mit dem MP3, welches aktuell in der Beta Phase ist, einzelne Dateien für die Erkennung einzelner Viren ausgeschlossen werden.
So könnte z.B. die Datei mirc.exe vom Suche nach VirusXX ausgeschlossen werden, nach allen anderen Viren wird jedoch in der Datei gesucht.

Wenn es sich hier um die gleiche Datei handelt, kann ähnlich vorgegangen werden.

[Voyager]

@Andreas Haak
aber nicht für diese datei
"C:Dokum (dann kommt ne Welle in etwa -)1/Admini-1/Lokale-1/Temp/mc26.tmp"

da war irgendwas aktiv , nur sagt er nicht was es war und ein hijackthislog postet er auch nicht
der rest ist reine spekulation....

Der Beitrag wurde von bond7 bearbeitet: 29.04.2005, 19:47

[Gast_Andreas Haak_*]

Hach ja ... dann nochmal genauer ...

Alle Programme die auf die Injecting Funktionen von madshi zurückgreifen produzieren GENAU DIESE Warnung. Wieso? Ganz einfach ...

Für das Injecting in neue Prozesse benutzt madshi einen Treiber der das Kernelevent bei Prozesserstellung abfängt. Dieser Treiber wird zur LAUFZEIT in den temporären Ordner entpackt und von dort geladen.

Genau dieses temporäre Entpacken meldet Kaspersky, da es den Treiber in seine Signaturen eingefügt hat.

BTW:
Ich liebe Leute die einem Hersteller eines der betroffenen Programme erklären wollen, daß eigentlich ja alles ganz anders ist ...

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 19:52

[christophs]

Logfile of HijackThis v1.99.1
Scan saved at 20:50:48, on 29.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Norton GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Kaspersky Lab\KL News Agent\KLAgent.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Norton GoBack\GBTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [KL News Agent] C:\Programme\Kaspersky Lab\KL News Agent\KLAgent.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton GoBack\GBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{002B4BC2-91EE-4599-A98E-6266EB55300D}: NameServer = 195.228.240.249 195.228.242.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{002B4BC2-91EE-4599-A98E-6266EB55300D}: NameServer = 195.228.240.249 195.228.242.180
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton GoBack\GBPoll.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

[Yopie]

D.h., es kann von a2 kommen, oder auch von einem Rootkit. Soweit richtig?
Nur wissen wir ja nicht, ob sich christophs neben a2 auch irgendwelchen Mist installiert hat. Ergo müssen wir spekulieren.

Oder hab ichs falsch verstanden?

edit: Logfile sieht für mich ok aus.

Der Beitrag wurde von Yopie bearbeitet: 29.04.2005, 19:55

[Manu]

Warum verwendest Du die Funktionen von madshi?

[Voyager]

@Andreas Haak
das ist soweit ich mitbekommen habe dein eigene spekulation über diese riskware im beitrag 21 , nur muss es nicht dasselbe sein .

christophs postet selber noch eine 2te möglichkeit aus dem KAV forum
"This driver was detected because it allows integrate application to another process. It was going with Backdoor.Win32.Hupigon.f trojan program. But it could be used in other applications, so we added it to RiskWare base (extended bases)."

was wir hier betreiben und uns möglicherweise auf die riskware aus deinem beitrag 21 versteifen ist bisher nur spekulation !

Der Beitrag wurde von bond7 bearbeitet: 29.04.2005, 19:54

[christophs]

Danke sehr, Andreas, Yopie, bond7, Little Tiger81 und Stoamandl für eure Hilfe!
Ist das Hijack hilfreich?

Der Beitrag wurde von christophs bearbeitet: 29.04.2005, 19:55

[Gast_Andreas Haak_*]

Der Log ist - wie nicht anders zu erwarten - sauber. Du kannst mal sowohl den SpySweeper Wächter als auch den a² Wächter abschalten und danach neu starten. Bei beiden sollte die selbe Warnung erscheinen.

[Gast_Andreas Haak_*]

Warum verwendest Du die Funktionen von madshi?
[right][snapback]90842[/snapback][/right]

Outsourcing ... wieso das Rad 10 mal neu erfinden?

[christophs]

@ manu

Ist diese Funktion "madshi" in a² oder Spysweeper?

[christophs]

Danke sehr, Andreas!
Benutze ich madshi? Ist das in a² oder Spysweeper?

[Manu]

Nicht 10 mal neu erfinden, aber warum eine Komponente benutzen, die anscheinend so (mächtig) konzipiert ist, dass sie auch von "bösartigen" Dingen benutzt wird?
Es ist nichts einer (Klassen-)Wiederverwendung abzusprechen - im Gegenteil, so muss es sein. Aber da gibt's doch Alternativen.

Für das Injecting in neue Prozesse benutzt madshi einen Treiber der das Kernelevent bei Prozesserstellung abfängt. Dieser Treiber wird zur LAUFZEIT in den temporären Ordner entpackt und von dort geladen.

"Hinterhältiger" geht's ja kaum mehr. Warum arbeiten da die AV/AT Hersteller nicht mit transparenteren Dingen?

[Gast_Andreas Haak_*]

Danke sehr, Andreas!
Benutze ich madshi? Ist das in a² oder Spysweeper?
[right][snapback]90848[/snapback][/right]

In beiden.

[Gast_zipfelklatscher_*]

Outsourcing ... wieso das Rad 10 mal neu erfinden?

-

Ist das bei Ewido nicht ähnlich ?

Die verwenden doch auch irgendetwas bereits existentes entweder von Search an Destroy oder von a2 ?

[Manu]

Outsourcing ... wieso das Rad 10 mal neu erfinden?
-
Ist das bei Ewido nicht ähnlich ?
[right][snapback]90852[/snapback][/right]

Das machen glücklicherweise die meisten Firmen.

[christophs]

Danke sehr, Andreas!

Habe den guard in der taskleiste abgestellt und danach über Programme wieder aktiviert, so dass er wieder in der Taskleiste zu sehen ist.
Gab keine Meldung.
Sollte eine Meldung kommen?

[Gast_Andreas Haak_*]

@Bond, Yopie:

Verkehrte Logik. Wenn es ein Rootkit wäre würde euch ein HiJackThis Log nichts bringen. Wieso? Weil HiJackThis sich auf die Windows API verlässt, die von Rootkits modifiziert wird. Entsprechend würden alle mit dem Rootkit in Verbindung stehenden Einträge nicht angezeigt werden.

[Gast_Andreas Haak_*]

Das machen glücklicherweise die meisten Firmen.
[right][snapback]90854[/snapback][/right]

Da bist Du aber im Irrtum. Defacto ist die ewido Signaturdatenbank auch nicht mit einer selbst entwickelten Komponente gepackt sondern mit zlib. Das verwenden fremder Komponenten ist defacto nichts ungewöhnliches und ich würde behaupten das 99% der Programme defacto auf Komponenten von Dritt-Anbietern zurückgreifen - und wenns die VCL oder MFC is.

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 20:12

[Gast_zipfelklatscher_*]

Hatten wir nicht genau das gesagt ?

Der Beitrag wurde von zipfelklatscher bearbeitet: 29.04.2005, 20:10

[Gast_Andreas Haak_*]

Hatten wir nicht genau das gesagt ? 
[right][snapback]90858[/snapback][/right]

Du ja - Manu nein. Oder ich habe ihn grundsätzlich missverstanden.

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 20:12

[Manu]

Andreas, wer lesen kann, ist klar im Vorteil. Genau das hatte ich gesagt.
Meine Frage an Dich war nur, warum Du diese kritische Komponente verwendest.

Edit: Ja, dann hast Du mich missverstanden. Jeder Programmierer sollte auf fertige Komponenten zurückgreifen - so tue ich's auch.
Und das bezieht sich auf alle von Software, nicht nur auf die sicherheitsbezogene Schiene.

Der Beitrag wurde von Manu bearbeitet: 29.04.2005, 20:14

[Gast_Andreas Haak_*]

Andreas, wer lesen kann, ist klar im Vorteil. Genau das hatte ich gesagt.
Meine Frage an Dich war nur, warum Du diese kritische Komponente verwendest.

Dann sorry, hatte ich falsch verstanden .

Die Verwendung von Drittkomponenten ist letztlich immer kritisch, weil man prinzipiell die Schnittstellen etc. kennt, was z.B. bei ewido dazu genutzt werden kann die komplette AES Verschlüsselung der Datenbank zu umgehen.

Letztlich verwendet man Drittkomponenten ja immer aus dem selben Grund:

Man muss sich mit Trivial-Problemen nicht auseinander setzen und kann sich auf die wirklich wichtigen Dinge konzentrieren, was letztlich eine verbesserte Produktivität zur Folge hat.

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 20:19

[Yopie]

@Bond, Yopie:

Verkehrte Logik. Wenn es ein Rootkit wäre würde euch ein HiJackThis Log nichts bringen.

Richtig. Aber wenn es der von KAV erwähnte Backdoor.Win32.Hupigon.f trojan program wäre, dann schon (wenn ich die Erläuterung richtig verstanden hab).

Gut, dann könnte immer noch ein Rootkit zusätzlich installiert sein... Man kann also hier nur mit Wahrscheinlichkeiten argumentieren. Und nach allem, was wir wissen, ist die Wahrscheinlichkeit gering, dass bei christophs Malware aktiv ist.

[Gast_Andreas Haak_*]

Hupigon verwendet die Komponente defacto für Rootkit Mechanismen .

[Manu]

Dann sorry, hatte ich falsch verstanden .

Ich muss mich wohl schlecht ausgedrückt haben. Sorry.

Die Verwendung von Drittkomponenten ist letztlich immer kritisch, weil man prinzipiell die Schnittstellen etc. kennt, was z.B. bei ewido dazu genutzt werden kann die komplette AES Verschlüsselung der Datenbank zu umgehen.

Hmm, dann habe ich aber eine Frage:
- Warum verwendest Du für eine solch essentielle Sache Drittkomponenten? Das ist - so mag ich es fast bezeichnen - ein ziemliches Sicherheitsloch, oder verstehe ich Dich nun falsch?
Wenn hier zwischen den Schnittstellen das Passwort für die Verschlüsselung für ein Drittprodukt (nicht Schnittstelle) offenliegt und dieses dadurch die Datenbank ändern könnte, läuft doch was schief.
Oder habe ich Dich nun falsch verstanden?

Letztlich verwendet man Drittkomponenten ja immer aus dem selben Grund:

Man muss sich mit Trivial-Problemen nicht auseinander setzen und kann sich auf die wirklich wichtigen Dinge konzentrieren, was letztlich eine verbesserte Produktivität zur Folge hat.
[right][snapback]90863[/snapback][/right]

Das ist korrekt. Jedoch muss man stark abgrenzen, was ein triviales Problem ist und ob dieses an sich triviale Problem im eigenen Fall nicht speziell, d.h. eigen, behandelt werden sollte.

Der Beitrag wurde von Manu bearbeitet: 29.04.2005, 20:28

[Yopie]

OK, dann hast Du gewonnen.
Um wirklich sicher zu gehen, müsste christophs also sein System sezieren?

[Gast_Andreas Haak_*]

OK, dann hast Du gewonnen.
Um wirklich sicher zu gehen, müsste christophs also sein System sezieren?

Nicht falsch verstehen, aber nein. Wenn er a² laufen hatte nicht. Selbst wenn das Teil gepackt, gecryptet oder rebased gewesen wäre, hätte das IDS es gemeldet (Backdoor Verhalten und Code Injection). Hab grade extra nochmal getestet .

[Yopie]

Na gut. Dann kann ja christophs den Schweiß von den letzten Schweißausbrüchen wieder aufwischen und sich sicher fühlen...

Frei nach dem Motto: Dass Du nicht paranoid bist bedeutet nicht, dass SIE nicht hinter Dir her sind.

[Gast_Andreas Haak_*]

- Warum verwendest Du für eine solch essentielle Sache Drittkomponenten? Das ist - so mag ich es fast bezeichnen - ein ziemliches Sicherheitsloch, oder verstehe ich Dich nun falsch?

Defacto verwendet a² nicht die Original Komponente, sondern eine erweiterte Version um genau solche Lücken zu schliessen.

Wenn hier zwischen den Schnittstellen das Passwort für die Verschlüsselung für ein Drittprodukt (nicht Schnittstelle) offenliegt und dieses dadurch die Datenbank ändern könnte, läuft doch was schief.
Oder habe ich Dich nun falsch verstanden?

Bei Signaturdatenbanken ist es defacto eher unerheblich. Die Signaturen liegen sowieso entpackt und entschlüsselt irgendwo im Prozessspeicher. War nur ein Beispiel für was sowas defacto genutzt werden könnte - nicht nur bei ewido ... gibt noch ein paar andere AV Programme die zlib verwenden.

[christophs]

Frei nach dem Motto: Dass Du nicht paranoid bist bedeutet nicht, dass SIE nicht hinter Dir her sind.
[right][snapback]90871[/snapback][/right]
[/quote]

[Kool_Savas]

@christophs

Benutzt du Norton und KAV nebeneinander.

[Voyager]

scheinbar ja...systemworks ohne AV .
aber für sein 1Ghz rechner doch etwas zuviel und überladen für mein geschmack... *g*

[christophs]

@ KS
Systemworks ohne AV.

[Gast_zipfelklatscher_*]

Wofür den Systemworks auf dem Rechner ?

[Voyager]

bestimmt wegen seinem geliebten goback.....

[Gast_zipfelklatscher_*]

Das ist ja ganz nett, aber, wenn er wirklich mit einem 1GHz unterwegs ist, dürfte der ja jetzt eigentlich keine Wurst mehr vom Teller ziehen.

Mal davon abgesehen, wieviel Festplattenplatz Systemsworks einnimmt, geht das doch zusätzlich gewaltig auf die Performance.



Der Beitrag wurde von zipfelklatscher bearbeitet: 29.04.2005, 21:24

[Voyager]

naja....man kann vom systemworks beliebig die komponenten abwählen... das goback dürfte aber die HDD in dauerbelastung halten .

[Gast_zipfelklatscher_*]

Ich weiss, ich kenne Systemworks noch aus meiner Symantec Vergangenheit.

Mein Rechner ist ein wenig kräftiger auf der Brust als der von christophs, aber, schon meiner musste seinerzeit mächtig schnaufen. Kaum die Software wieder entfernt, lief die Maschine nur noch im obersten Drehzalbereich. Abgesehen davon gibt es doch sicherlich noch resourcenschonendere Alternativen.

Der Beitrag wurde von zipfelklatscher bearbeitet: 29.04.2005, 21:40

[Remover]

Also ich finde die Erkennung in diesem Fall als RISKWARE voellig richtig.
Genau das ist es doch, schliesslich wird es nicht als Malware bezeichnet.
Man wird darauf aufmerksam gemacht, das es sich um eine Komponente handelt die durchaus auch missbraucht werden koennte und damit schaedlich sein kann.

Warum das ausgerechnet ein bzw. zwei Antimalwareprogramme verwenden, ist natuerlich wieder eine andere Geschichte.

Aber zum glueck kann ja jeder selbst entscheiden, welches Programm er
verwendet und welches nicht.

@Christophs
Deinstalliere halt mal a² und SpySweeper und versuche dann das File
zu loeschen, falls noch vorhanden.
Ansonsten kannst du auch in den abgesicherten Modus (F8 beim booten) gehen
und dann dort, das File von der Platte putzen, wenn es dich stoert.
Vermutlich kommt es aber mit einer erneuten Installation von a² und SpySweeper
wieder mit drauf. Du hast also die Wahl das Risiko zu akzeptieren oder andere Programme zu benutzen.

Der Beitrag wurde von Remover bearbeitet: 29.04.2005, 21:57

[Kool_Savas]

Diese Programme könnst aus dem Autorstart raus.

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Außerdem sollst du Java updaten.

[Voyager]

zu dem adobe reader speed wäre meine empfehlung..drinnlassen ! das ding ist klein , hat aber grosse wirkung...

[Kool_Savas]

@bond7

Ich nehme immer alles aus dem Autorstart raus, was ich nicht brache.

[christophs]

Danke für den JAVA-TIPP, KS!