KIS 2018 Beta löscht MFBot

Beitrag von **ComictypX** » Sa 18. Feb 2017, 14:07

Hallo,

ich habe vor ca. einer Woche Zugang zur Kaspersky Internet Security 2018 Beta erhalten. Heute ist sie leider auf die Idee gekommen den Bot [4.6.3.1] als Trojaner einzustufen, hat ihn gelöscht und einige Registry Einträge rückgängig gemacht.
Ich habe mal ein Paar Screenshots der Version und der Berichte erstellt und angehangen.
Ein Virenscan der MFBot.exe liefert keinen Fund, scheint also irgend eine Aktion des Bots die Heuristik ausgelöst zu haben. Die letzten Einträge des logs sind die folgenden:

Log Acc1:

SPOILER

Log Acc2:

SPOILER

Der General Log enthält nichts relevantes, nur die Startzeiten. Ob das reproduzierbar ist, weiss ich noch nicht, ich werde es weiter beobachten.

Edit: Es ist reproduzierbar, bei jedem Programmstart löscht Kaspersky den Bot erneut und führt einen Rollback aus.

Hondex · Beitrag von **Hondex** » Sa 18. Feb 2017, 19:07

Dann werf den Kaspersky runter, wirste sehen dann klappt alles wieder.

ps. nicht der Bot ist der Trojaner, sondern das Win10

Beitrag von **ComictypX** » Sa 18. Feb 2017, 20:51

Das ist mir schon klar, dass es sich um einen False-Positiv handelt und KIS auch (nur) eine Beta-Version ist, welche Fehlerhaft sein kann.

Nur scheint ja irgend etwas, was der Bot tut, die Heuristik zu provozieren. Da KIS immer sofort nach dem Start beim Erscheinen der GUI zuschlägt, würde ich auf etwas beim Login-Vorgang tippen.
Und bevor alle KIS-Nutzer dieses Schicksal ereilt, wenn Version 18 Ende des Jahres Gold geht, kann man dem ja vorbeugen

Dem Kaspersky Support habe ich dies auch schon als Feedback zu der KIS Version gemeldet.

Beitrag von **Robin** » So 19. Feb 2017, 10:23

Guten Morgen!

Bitte, bitte überlasst die Vermutungen uns

Der Bot macht eine ganze Menge beim Startvorgang, was eine Heuristik potentiell aufregen könnte, wie man oben sieht hält er ja schon das Vorladen des Forums im Hilfefenster für schädlich.
Wenn Kaspersky erst beim Login in SF ausgelöst würde, wo vorher doch ein bisschen mehr schon passiert, wäre das echt eine schlechte Heuristik.

Das Problem ist, dass ja doch hin und wieder einfach AntiVirus-Programme fälschlicherweise im Bot einen Trojaner vermuten, was teilweise aber auch einfach an unserem Codeschutz hängt, der die AntiViren-Scanner zur Vermutung bringt, dass da Schadcode drin sein könnte.
Sich da mit dem jeweiligen Support auseinander zu setzen ist das Beste, was man da machen kann - nichts anderes machen wir auch öfter mal.
Insofern: Danke für die Meldung an uns und deren Support gleichermaßen, gut das im Vorraus zu wissen

Grüße,
Robin

Beitrag von **ComictypX** » So 19. Feb 2017, 17:34

Guten Abend,

Haha ja die Vermutungen überlasse ich sehr gerne euch

. Hielt den genauen Zeitpunkt nur auch für Interessant.
Falls der Support die Tage dazu etwas schreibt, melde ich mich bei euch nochmal

Liebe Grüße,
Alex

MFBot-Version	Code-Zeilen*	In Dateien*	Letzte Version
MFBot 1.5.x	6485	1	Juli 2013
MFBot 2.x	14363	16	März 2014
MFBot 3.x	22095	36	März 2015
MFBot 4.x	55242	241	Juli 2018
MFBot 5.x	66000	440	Tbc