4. Test.exe ein gefährlicher Trojaner?

Test.exe ein gefährlicher Trojaner?

  • R

    Hallo,

    also ich hab ein Problem mit einem AntivirenProgramm (Kaspersky Trial 2010)
    Bei folgendem Code:

    /*Test.c*/
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <psapi.h>

int main()
{
    DWORD *pprocessids;
    DWORD CB;
    DWORD *pbytesreturned;
    EnumProcesses(pprocessids,CB,pbytesreturned);

    return EXIT_SUCCESS;
}

    meldet sich Kaspersky mit "Malware gefunden .../Test.exe
    Virus: HEUR Trojan.Win32.Generic
    Gefährlichkeit Hoch
    Kann ja eigentlich nur an der Funktion EnumProcesses() liegen, welche ich aber auf http://msdn.microsoft.com/en-us/library/ms682629(VS.85).aspx gefunden habe.

    Ein Fehler in Kaspersky oder tatsächlich ein Virus?

    Danke im Voraus

    lg

    0
  • ?

    Vermutlich haben in der Vergangenheit viele Viren diese Funktionen genutzt, um Schaden anzurichten. Da ein Virenprogramm nicht alle Viren kennen kann, sucht es nach Ähnlichkeiten bzw. nach Funktionen, die ungewöhnlich bzw. gefährlich sind. Folglich warnt der Virenscanner vor dem Programm.

    0
  • R

    zuzuzuzu schrieb:

    Vermutlich haben in der Vergangenheit viele Viren diese Funktionen genutzt, um Schaden anzurichten. Da ein Virenprogramm nicht alle Viren kennen kann, sucht es nach Ähnlichkeiten bzw. nach Funktionen, die ungewöhnlich bzw. gefährlich sind. Folglich warnt der Virenscanner vor dem Programm.

    Ok wenn das Programm warnt und sagt (sinngemäß) "du, ich weiß nicht was das ist prüf mal und bestätige ob du das Programm(Test.exe) kennst"
    Aber die Exe sofort zu löschen als Hochgefährlich einzustufen und weitere Compilierungen von Codeblocks zu unterbinden(Permission Denied) bis zum Abschalten des Schutzes finde ich leicht übertrieben^^
    Deswegen hab ich mich gewundert.
    Vllt hat jemand ein ähnliches Problem und weiss nen Tipp/ne Lösung?

    lg

    edit: Sry hatte ich gar nicht erwähnt, dass Kaspersky so Rambomäßig auf die paar Zeilen reagiert^^

    0
  • J

    Alternativ könntest du ja auch so Prozesse auflisten:

    HANDLE hSnapshot;
PROCESSENTRY32 ProcessEntry;
ProcessEntry.dwSize = sizeof(PROCESSENTRY32);
hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if(Process32First(hSnapshot, &ProcessEntry))
    do
    {
    //Prozess gefunden. Name: ProcessEntry.szExeFile
    }
    while(Process32Next(hSnapshot, &ProcessEntry));
CloseHandle(hSnapshot);

    Ich hab auch den Eindruck, dass Kaspersky ziemlich aggressiv ist...
    Ich hab zu Hause AntiVir, in der Schule haben wir Kaspersky. Kaspersky sieht auf meinem Stick auch einige harmlose Programme als Malware an, die von AntiVir nicht als solche erkannt werden. Programme, die die obengenannte Auflistungsmöglichkeit verwenden, werden von Kaspersky in Ruhe gelassen.

    MfG, Jochen

    0
  • R

    Ok das kannte ich bis jetzt nicht...
    Bin eigentlich ein Neuling in Sachen Handles/WinAPI und co.
    Hab halt die erste Process Funktion, die ich auf msdn gefunden hatte, mal getestet
    und mein schafferisches Werk wurde brüsk von Kaspersky verboten 😃
    Naja vielen Dank für den Code, scheint zu funktionieren^^

    lg

    0
  • ?

    Deaktiviere die Heuristik und schick die Exe dem Antivirensoftwarehgersteller, damit der seine Signatur anpassen kann.

    0
Anmelden zum Antworten