not-a-virus:RiskWare.Tool.Madtol.c, Wie kriege ich das weg? Einstellungen

[Gast_Andreas Haak_*]

Kaspersky kam auf die gloreiche Idee verschiedene Komponenten der Madshi Collection als Riskware zu listen, da sie sowohl in verschiedenen Schutzprogrammen (SpySweeper, 0190 Warner, a² usw. usf.) als auch in einigen Rootkits (AFX z.B.) zum Einsatz kommen.

Entweder Du deaktivierst die Riskware Erkennung in KAV (ist das über die zu verwendenden Datenbanken überhaupt möglich? *grübel*) oder du wartest bis es entsprechende Updates diesbezüglich gibt.

Im übrigen ist es in solchen Fällen am intelligentesten sich direkt an den Hersteller - sprich Kaspersky - zu wenden.

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 19:26

[christophs]

Ich benutze a² und SpySweeper.
Heißt das, dass dann alles in Ordnung ist, da diese "Riskware" auf a² und Spysweeper zurückgeht, Andreas?

Der Beitrag wurde von christophs bearbeitet: 29.04.2005, 19:38

[Voyager]

nein , solange die ursache für die erkennung der datei im temporärfolder nicht gefunden ist , siehe beitrag 13 von R2D2 .

[Gast_Andreas Haak_*]

Auf eine von a² und SpySweeper verwendeten Komponenten - ja.

Riskware ist in den meisten Fällen kein Grund zur Besorgnis. Riskware bedeutet nichts anderes als das eine Komponente an sich ein potentielles Risiko darstellt - je nachdem wie sie verwendet wird. mIRC z.B. - ein bekannter Chat Client - ist defacto als Riskware gelistet. Er wird zwar zu 99% zum Chatten verwendet, aber eben zu 1% auch als "Unterbau" von verschiedenen IRC Bots etc. .

Defacto könnte man selbst den Format Befehl von Windows als Riskware listen oder DelTree zum Löschen von Verzeichnissen. Beide werden schließlich regelmäßig von diversen Script Schädlingen "missbraucht".

[Gast_Andreas Haak_*]

nein , solange die ursache für die erkennung der datei im temporärfolder nicht gefunden ist ,  siehe beitrag 13 von R2D2 .
[right][snapback]90831[/snapback][/right]

Wenn du gelesen hättest, wüsstest Du, daß die Ursache höchstwahrscheinlich bereits gefunden wurde.

[Manu]

Mit dem MP3, welches aktuell in der Beta Phase ist, einzelne Dateien für die Erkennung einzelner Viren ausgeschlossen werden.
So könnte z.B. die Datei mirc.exe vom Suche nach VirusXX ausgeschlossen werden, nach allen anderen Viren wird jedoch in der Datei gesucht.

Wenn es sich hier um die gleiche Datei handelt, kann ähnlich vorgegangen werden.

[Voyager]

@Andreas Haak
aber nicht für diese datei
"C:Dokum (dann kommt ne Welle in etwa -)1/Admini-1/Lokale-1/Temp/mc26.tmp"

da war irgendwas aktiv , nur sagt er nicht was es war und ein hijackthislog postet er auch nicht
der rest ist reine spekulation....

Der Beitrag wurde von bond7 bearbeitet: 29.04.2005, 19:47

[Gast_Andreas Haak_*]

Hach ja ... dann nochmal genauer ...

Alle Programme die auf die Injecting Funktionen von madshi zurückgreifen produzieren GENAU DIESE Warnung. Wieso? Ganz einfach ...

Für das Injecting in neue Prozesse benutzt madshi einen Treiber der das Kernelevent bei Prozesserstellung abfängt. Dieser Treiber wird zur LAUFZEIT in den temporären Ordner entpackt und von dort geladen.

Genau dieses temporäre Entpacken meldet Kaspersky, da es den Treiber in seine Signaturen eingefügt hat.

BTW:
Ich liebe Leute die einem Hersteller eines der betroffenen Programme erklären wollen, daß eigentlich ja alles ganz anders ist ...

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 19:52

[christophs]

Logfile of HijackThis v1.99.1
Scan saved at 20:50:48, on 29.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Norton GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Kaspersky Lab\KL News Agent\KLAgent.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Norton GoBack\GBTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [KL News Agent] C:\Programme\Kaspersky Lab\KL News Agent\KLAgent.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton GoBack\GBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{002B4BC2-91EE-4599-A98E-6266EB55300D}: NameServer = 195.228.240.249 195.228.242.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{002B4BC2-91EE-4599-A98E-6266EB55300D}: NameServer = 195.228.240.249 195.228.242.180
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton GoBack\GBPoll.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

[Yopie]

D.h., es kann von a2 kommen, oder auch von einem Rootkit. Soweit richtig?
Nur wissen wir ja nicht, ob sich christophs neben a2 auch irgendwelchen Mist installiert hat. Ergo müssen wir spekulieren.

Oder hab ichs falsch verstanden?

edit: Logfile sieht für mich ok aus.

Der Beitrag wurde von Yopie bearbeitet: 29.04.2005, 19:55

[Manu]

Warum verwendest Du die Funktionen von madshi?

[Voyager]

@Andreas Haak
das ist soweit ich mitbekommen habe dein eigene spekulation über diese riskware im beitrag 21 , nur muss es nicht dasselbe sein .

christophs postet selber noch eine 2te möglichkeit aus dem KAV forum
"This driver was detected because it allows integrate application to another process. It was going with Backdoor.Win32.Hupigon.f trojan program. But it could be used in other applications, so we added it to RiskWare base (extended bases)."

was wir hier betreiben und uns möglicherweise auf die riskware aus deinem beitrag 21 versteifen ist bisher nur spekulation !

Der Beitrag wurde von bond7 bearbeitet: 29.04.2005, 19:54

[christophs]

Danke sehr, Andreas, Yopie, bond7, Little Tiger81 und Stoamandl für eure Hilfe!
Ist das Hijack hilfreich?

Der Beitrag wurde von christophs bearbeitet: 29.04.2005, 19:55

[Gast_Andreas Haak_*]

Der Log ist - wie nicht anders zu erwarten - sauber. Du kannst mal sowohl den SpySweeper Wächter als auch den a² Wächter abschalten und danach neu starten. Bei beiden sollte die selbe Warnung erscheinen.

[Gast_Andreas Haak_*]

Warum verwendest Du die Funktionen von madshi?
[right][snapback]90842[/snapback][/right]

Outsourcing ... wieso das Rad 10 mal neu erfinden?

[christophs]

@ manu

Ist diese Funktion "madshi" in a² oder Spysweeper?

[christophs]

Danke sehr, Andreas!
Benutze ich madshi? Ist das in a² oder Spysweeper?

[Manu]

Nicht 10 mal neu erfinden, aber warum eine Komponente benutzen, die anscheinend so (mächtig) konzipiert ist, dass sie auch von "bösartigen" Dingen benutzt wird?
Es ist nichts einer (Klassen-)Wiederverwendung abzusprechen - im Gegenteil, so muss es sein. Aber da gibt's doch Alternativen.

Für das Injecting in neue Prozesse benutzt madshi einen Treiber der das Kernelevent bei Prozesserstellung abfängt. Dieser Treiber wird zur LAUFZEIT in den temporären Ordner entpackt und von dort geladen.

"Hinterhältiger" geht's ja kaum mehr. Warum arbeiten da die AV/AT Hersteller nicht mit transparenteren Dingen?

[Gast_Andreas Haak_*]

Danke sehr, Andreas!
Benutze ich madshi? Ist das in a² oder Spysweeper?
[right][snapback]90848[/snapback][/right]

In beiden.

[Gast_zipfelklatscher_*]

Outsourcing ... wieso das Rad 10 mal neu erfinden?

-

Ist das bei Ewido nicht ähnlich ?

Die verwenden doch auch irgendetwas bereits existentes entweder von Search an Destroy oder von a2 ?