Teil von baywotch wird als Trojaner von f-secure gelöscht!

[babykram!]

Hallo,

unser Virenprogramm f-secure, hat nach dem neuesten update einen Teil Ihres Baywotch Programm als Trojaner gelöscht. Ich habe daraufhin das Programm deinstalliert und versucht neu zu installieren. Sofort wurde wieder ein Teil gelöscht.

Die Meldung ist jedes mal die gleiche. Trojaner "trojanPSW.WIN32.Lmir.alf"

Dieser Trojaner spioniert und übermittelt Passwörter.

Soll ich lachen oder weinen, dass ich anscheinend fast 200 Euro für ein Spionageprogramm ausgebe? F-secure ist sehr zuverlässig und ich bin auf die Erklärung sehr neugierig.

Gruß Anke

[Borkumer]

Hallo Anke!

Da bist Du ja in bester Gesellschaft!!

Bei mir hat SpywareDoctor immer wieder und wieder Programmteile von D-Info (Telefonbuch) gelöscht. Angeblich wurden auch kritische Aktionen ausgelöst.

Da scheint beim Scannen wohl ein Code vorhanden zu sein, der auf der schwarzen Liste steht.
Elmar hat in solchen Fällen früher bei den entsprechenden Herstellern auf das Problem aufmerksam gemacht, so dass die beim nächsten Update ihres Programms diese Klippe beseitigt haben.

Mal sehen, obs hier auch so geht.

Also: erstmal abwarten und Teetrinken. Und keine Panik: SpywareDoctor hat bei mir BayWotch nicht moniert. Und ist wohl auch ein zuverlässiges Programm!

[denkmann]

Hallo zusammen,

keine Sorge: BayWotch ist nicht böse!

Dieses Problem gab es bei F-Secure schon mal ganz zu Beginn von BayWotch im Jahre 2003. Damals hieß es in der BayWotch FAQ:

F-Secure schlägt Alarm und meldet einen Virus in BayWotch v2.0!

Die Anti-Viren-Software F-Secure schlägt bei der Installation bzw. beim Start von BayWotch v2.0 Alarm und meldet "Infektion: Suspicious WIN 32 PE, perhaps a new virus!". Es handelt sich hierbei nicht um einen Virus! Ursache für diese Meldung ist eine Art "Programmumschlag", welche die baywotch.exe umgibt und vor unbefugtem Zugriff schützen soll. Die enthaltenen Bit-Muster können für ein Anti-Viren-Programm verdächtig wirken und führen in diesem Fall zur Virenmeldung. Ich versichere hiermit als Autor der Software BayWotch, daß die Dateien auf dem BayWotch Download Server auf Viren geprüft und absolut virenfrei sind!

Wichtiger Hinweis: Mit den seit Ende April 2003 zur Verfügung stehenden Antivirus Definition Updates tritt dieses Problem nicht mehr auf! Bitte die aktuellen Viren Definition Update von F-Secure laden!

BayWotch V3 nutzt andere Sicherheitsmechanismen als BayWotch 2.x. Offensichtlich werden diese nun von F-Secure wieder als bösartig interpretiert.

Ich werde mit dem Softwarehersteller F-Secure GmbH Verbindung aufnehmen und versuchen, die Sachlage zu klären. Erfahrungsgemäß wird der Hersteller dann in einem der nächsten Updates eine entsprechende Korrektur vornehmen.

[denkmann]

Hallo zusammen,

zwischenzeitlich habe ich weitere Anfragen von verunsicherten Kunden erhalten, die von F-Secure oder G-Data Antivirenkit 2005 Virenmeldungen erhalten.

Dies steht offensichtlich in Zusammenhang mit einem Microsoft Patch, welches die Datei 'mswinsck.ocx' aktualisiert hat, siehe dazu auch hier:
http://www.baywotch.de/phpbb/viewtopic.php?p=7926

Die Datei stellt die sog. Winsock-Schnittstelle von Windows dar und wird von BayWotch für die Internetverbindung benötigt. BayWotch installiert diese OCX in der Version 6.1.97.82. Der Grund dafür, daß BayWotch diese Datei bei der Installation mitbringt, ist der, daß es früher fehlerhafte Versionen dieses Treibers gab, die in bestimmten Fällen zu Fehlern bei der Übertragung führten. Mitlerweise sollte diese Version standardmäßig bei aktuellen Windows-Installationen installiert werden.

Weiterhin gab es wohl bei den Virenscannern kürzlich Aktualisierungen der Virensignaturen, wodurch nun diese Virenmeldungen akut werden.

Ich führe derzeit selber einige Tests durch, um die Effekte nachvollziehen zu können, damit ich mich an die Softwarehersteller wenden kann.

Sollte das Problem wirklich durch eine fehlerhaft interpretierte Microsoft Datei verursacht werden, so bin ich zuversichtlich, daß die Virensoftwarehersteller relativ schnell dieses Phänomen beseitigen.

Ich werde an dieser Stelle berichten, wenn ich etwas neues weiß.

[denkmann]

Hallo zusammen,

mein erster Test mit F-Secure Antivirus 2005 (Trial Version) zeigte keinerlei Probleme.

Die aktuelle Virendefinition trägt die Versionsnummer "2005-09-21_06".

Die Versionsnummern lauteten:

Code: Alles auswählen

F-Secure Anti-Virus 2005 5.10 build 480

F-Secure Automatic Update Agent 6.70 build 744
F-Secure Management Agent 5.61 build 7670
F-Secure Anti-Virus 5.53 Build 11110
F-Secure Email Scanner 5.60 build 250
F-Secure User Interface 5.81 build 2160

Getestet wurde auf einem frischen Windows 98 mit aktuellsten Microsoft Patches.

Es wäre schön, wenn die Betroffenen hier ihre genauen Versionsdaten ebenfalls angeben würden.

[denkmann]

Hallo zusammen,

heute gibt es eine erste Entwarnung seitens eines GDATA AntivirenKit Benutzers. Ein neues Virensignaturenupdate von heute morgen gegen 8:00 Uhr bereinigt die Falschmeldung. Eine erneute Installation von BayWotch ist wieder problemlos möglich.

Mein Test mit GDATA AntivirenKit von gestern ist leider gescheitert, da die Trial Version keine aktuellen Signaturupdates zuläßt. Daraufhin habe ich am abend noch den Softwarehersteller angeschrieben und um Unterstützung gebeten. Vielleicht ist das neue Update von heute morgen bereits eine Reaktion darauf.

Auch F-Secure habe ich kontaktiert und hoffe nun, daß auch von dort das Problem schnell beseitigt wird.

Trotzdem sind weiterhin eure Erfahrungswerte erwünscht.

[denkmann]

Hallo zusammen,

auch auf die Gefahr hin, daß sich dieser Thread zu einem Monolog entwickelt:

Gibt es noch Probleme mit der fehlerhaften Viren-Erkennung?

Ich frage, weil sich F-Secure nun bei mir meldet und den Fall klären möchte. Allerdings habe ich - bestätigt durch meine Tests - den Eindruck, daß keine Probleme mehr vorliegen.

Also: Ist noch jemand betroffen?