Brauche Hilfe beim Definieren einer Ausnahme

[Pit778]

KIS 21.3.10.391(d)
Win 8.1/64

Hallo!

KIS löscht mir ständig eine mit .net 2019 erstellte .exe unter Verweis auf einen Trojaner; mit Sicherheit ein Fehlalarm (Mini-Programm mit zzt gerade mal zwei Dim-Anweisungen).

Mein Problem ist, dass es mir nicht gelingt, eine funktionierende Ausnahme zu definieren. Was ich bisher versucht habe:

Datei oder Ordner

H:\<Pfad>\test.exe
H:\<Pfad>\*.exe
H:\develop\**\*.*

sowie den von KIS angezeigten Pfad

\\?\GLOBALROOT\...\test.exe

Weitere Einstellungen im Ausnahmen-Dialog:

Objekt *
Datei-Hash *
Schutzkomponenten Alle Komponenten

Die test.exe wird immer wieder sofort nach Erstellung gelöscht.

Mein Ziel ist, den kompletten develop-Pfad als Ausnahme zu definieren, da das schon mehrmals passiert ist.

Vielen Dank vorab für jegliche Hilfe.

Pit

 

[Schulte]

Hallo @Pit778, willkommen.

Hast Du in den Einstellungen den Automatik-Modus deaktiviert?
Wenn ich mich recht erinnere, ist das für die Berücksichtigung der Ausnahmen notwendig.

 

 

[Pit778]

Hallo @Schulte,

danke für deine Antwort.

Das habe ich jetzt probeweise deaktiviert (und gespeichert), hilft aber leider nicht; die erzeugte .exe wird nach wie vor gelöscht, aber jetzt muss ich das Löschen bestätigen (Alternative: Blockieren).

Zudem musste ich eben beim Starten von KeePass Erlaubnisse erteilen, was vorher nicht der Fall war; ich habe den Haken erstmal wieder gesetzt.

 

[Schulte]

Hi @Pit778,

im manuellen Modus bekommst Du natürlich einige Nachfragen, die KIS sonst selbst entscheidet.

Kannt Du bitte in den Berichten nachschauen, welche Art Trojaner entdeckt wird? Beginnt das Verdikt mit “UDS:...”?

Was sagt der Online-Scanner? https://opentip.kaspersky.com/

[Pit778]

Hallo @Schulte,

der (angebliche) Fund heißt VHO:Trojan-Ransom.Win32.Agent.gen

Nach Umbenennen und Zurück-Umbenennen des .net-Projekts gab KIS Ruhe, aus welchem Grund auch immer. Die gelöschten .exe hatten z.T. unterschiedliche MD5-Hashes.

Online-Scanner kann ich mangels .exe-Datei nicht ausprobieren, bin mir aber sehr sicher, dass es ein Fehlalarm war.

Bleibt noch immer die Frage, wie ich einen Ordner samt Unterordnern von KIS ausschließen kann; das ist das eigentliche, noch nicht gelöste Problem.

Danke und gute Nacht für heute,

Pit

[Tschekker]

@Pit778,

“ Bleibt noch immer die Frage, wie ich einen Ordner samt Unterordnern von KIS ausschließen kann; das ist das eigentliche, noch nicht gelöste Problem.”

Ich würde in den Einstellungen die Programmkontrolle öffnen und auf Programme verwalten klicken. Dann Dein Programm suchen und bei den Ausnahmen die entsprechenden Haken setzen.

 

 

[Pit778]

Hallo @Tschekker,

vielen Dank. Leider ist das keine dauerhafte Lösung, da sich nach jedem Build eine neue Situation (neue MD5?) ergibt. Hin und wieder “gefällt” KIS eine .exe nicht und sie wird gelöscht. Das möchte ich über eine Ausnahme für den gesamten develop-Zweig abstellen. Müsste gemäß KIS-Hilfe möglich sein mit H:\develop\**\*.* oder H:\develop\**\*.exe, funktionierte aber schon bei mehreren Versuchen nicht.

Ich suche also eine generelle Lösung, keine für eine spezielle .exe.

[Schulte]

Hi @Pit778,

Dein Ansatz mit H:\develop\**\*.* oder H:\develop\**\*.exe ist schon richtig.
Warum es nicht funktioniert, müsste der Support klären.

Fest steht jedenfalls, dass bei Erkennung eines Objekts durch Cloud-Daten (“UDS:”) Ausnahmen nicht berückichtigt werden. Ob das auch für “VHO:” gilt, ist mir derzeit nicht bekannt.

[Tschekker]

Hallo @Tschekker,

vielen Dank. Leider ist das keine dauerhafte Lösung, da sich nach jedem Build eine neue Situation (neue MD5?) ergibt. Hin und wieder “gefällt” KIS eine .exe nicht und sie wird gelöscht. Das möchte ich über eine Ausnahme für den gesamten develop-Zweig abstellen. Müsste gemäß KIS-Hilfe möglich sein mit H:\develop\**\*.* oder H:\develop\**\*.exe, funktionierte aber schon bei mehreren Versuchen nicht.

Ich suche also eine generelle Lösung, keine für eine spezielle .exe.

@Pit778,

Danke für Deine Antwort. Ich habe mir schon fast gedacht, dass mein Vorschlag nicht die Lösung für Dein Problem ist.

[Pit778]

Hallo @Schulte,

Die Abkürzungen UDS und VHO sagen mir leider nichts; ich habe auch nichts im Web dazu gefunden. Ich wurde stutzig, als du "Cloud" erwähntest. Im KIS-Log findet sich zu den gelöschten Dateien die Angabe "Grund: Cloud-Sicherheit". Ist das vielleicht ein Hinweis?

Wenn ich eine Ausnahme definiere, würde ich erwarten, dass diese uneingeschränkte Gültigkeit hat. Deiner Beschreibung gemäß sieht KIS das offenbar anders. Bad ...

Vielen Dank,

Pit

 

[Schulte]

Hi @Pit778,

"Grund: Cloud-Sicherheit" passt zu “UDS:”. Das “Urgent Detection System” liefert per Cloud Informationen über Bedrohungen, die noch nicht in Datenbankupdates eingeflossen sind. Da hier sehr schnell reagiert wird, sind Nebenwirkungen wie FPs nicht auszuschließen.

Dass damit die Ausnahmen übergangen werden ist eine Vermutung, da es Berichte anderer User gibt, die den Verdacht nahelegen.

Dein Programm selbst war sicher unverdächtig. Vermutlich hat KIS auf eine dazugelinkte Bibliothek reagiert.

Nachtrag:

VHO steht für Very Harmful Object, also für ein sehr gefährliches/schädliches Objekt.

[Pit778]

Hallo, @Schulte,

vielen Dank für deine Erläuterungen.

Vielleicht muss man sich im Sinne der Sicherheit damit abfinden, dass Ausnahmen nicht absolut gelten.

Eine Reaktion auf eine eingebundene Lib würde ich in diesem Fall ausschließen, da nach der oben beschriebenen Umbenennen-Aktion ohne weitere Änderungen am Programm nicht mehr gelöscht wurde. Möglicherweise haben geringfügige interne Unterschiede, vielleicht ein Timestamp o.ä., ausgereicht.

Abschließend jedenfalls nochmals herzlichen Dank für die freundliche Hilfestellung, auch an @Tschekker 

Viele Grüße,

Pit