Wino Mail wird als Trojaner erkannt

[Gagac]

Hallo,

ich benutze Kaspersky Standard. Heute wurde Wino Mail bei meinem System als Trojaner erkannt, was eigentlich nicht sein kann.

Ich nutze Wino Mail schon eine ganze Weile als Alternative zu Outlook bzw. Windows Mail und bisher hatte Kaspersky Antivirus nie Probleme damit.

Heute, nach dem Hochfahren meines Rechners wurde es plötzlich als Trojaner erkannt und gelöscht.

Bitte überprüft noch einmal eure Datenbanken und korrigier es. Vielen Dank!

 

Edited February 14 by Gagac
Bild bearbeitet

[Schulte]

Hallo @Gagac, willkommen.

Die Erkennung Deines Mailprogramms erfolgt durch die Programmkontrolle. Das Programm führt irgendeine Aktion aus, die der Standard suspekt vorkommt. Es passiert also während der Laufzeit, unabhängig von den Datenbanken.

Eine Erkennung mit dem Verdict "PDM.xxxxxxxxx" lässt sich nur durch den Support bestätigen/aufheben, wir im Forum sind hier machtlos.
Bitte mach ein Ticket auf, auch wenn es sich etwas aufwendig gestaltet. Du hilfst auch anderen Anwendern des Mailprogramms.
https://support.kaspersky.com/de/common/diagnostics/15898

[Gagac]

Danke!

Ja, hab ich gemacht.

Selbst das Kaspersky Threat Intelligence Portal bezeichnet es als sauber. Muss also am Virenprogramm liegen.

Mal auf die Antwort des Supports warten.

[Schulte]

Auch Dir ein Danke.

KOTIP und Andere, z. B. VT führen ein Programm in der Regel nicht aus. Damit kann kaum beurteilt werden, was genau nun zur Erkennung geführt hat. War es eine Verkettung mit anderen Programmen auf Deinem Rechner, ein AddOn, eine Mailvorschau oder einfach nur ein Fehlalarm.

Ich hoffe, der Support kann die Frage zu Deiner Zufriedenheit lösen und Du gibst uns Bescheid.

Nachtrag:
Sollte ein FP bestätigt werden, kannst Du das gelöschte Programm aus der Quarantäne wiederherstellen. Mit den Standardeinstellungen wird sie dort für 30 Tage aufbewahrt.

[Gagac]

Das Problem ist, die Datei wird weder in Quarantäne geschickt, sondern komplett gelöscht, noch kann ich sie auf die Whitelist setzen, da sie nach einem Neustart sofort wieder gelöscht wird und ich am Desktop eine Fehlermeldung bekomme, dass der betroffene Pfad nicht gefunden werden kann.

Ich muss nach jedem Neustart/Hochfahren Kaspersky Standard anhalten, Wino Mail neu installieren und dann den Kaspersky-Schutz wieder aktivieren. Dann funktioniert das Mail-Programm bis zum nächsten Neustart/Boot up normal.

[Kilauea]

Du kannst die Datei "whitelisten" als "Ausnahme" definieren.

Das findet sich bei "Gefahren und Ausnahmen" (oder ähnlich)

Da musst du alle Komponenten "Antivirenschutz" etc. auswählen. Oder mache da mal einen Screenshot.

Ansonsten lade die Datei auf einen Filehoster und poste den link hier.

[Gagac]

Ja, das meinte ich mit whitelisten. Das hab ich gemacht.

Also Einstellungen - Sicherheitseinstellungen - Ausnahmen und Aktionen beim Fund von Objekten - Ausnahmen anpassen, und dann den Pfad eingegeben. Bei den Schutzkomponenten hab ich "alle Komponenten" ausgewählt.

Dennoch wird die Datei nach jedem Neustart/Hochfahren gelöscht.

Es gibt noch den Punkt "Typ des erkannten Objekts", da ist nur ein Stern (*) angegeben. Ich wüsste nicht, was ich da noch hineinschreiben müsste.

[Kilauea]

Hm, das ist eigenartig. Mal sehen was andere sagen.

Lade die Datei doch bitte irgendwo hoch und schick mir den link per PN.

 

[Kilauea]

Was noch möglich wäre, das Programm als vertrauenswürdig zu definieren.

Ich kann gerade nicht auf die Standard zugreifen - du kannst irgedwo einstellen "Aktion nicht automatisch ausführ"

dann wirst gefragt und kannst darüber ein Ausnahme machen bwz das Programm "vertrauenswürdig".

 

[Gagac]

Hab dir gerade eine PN geschickt.

Meinst du etwa den rot markierten Punkt auf folgendem Screenshot?

Wenn ich diesen aktiviere, bin ich dann doch bei zukünftig erkannter Malware nicht mehr geschützt? Oder werde ich zukünftig bei jedem Malware-Fund gefragt, welche Aktion ich ausführen möchte?

Edited February 15 by Gagac
Korrektur

[Kilauea]

vor 5 Minuten schrieb Gagac:

Oder werde ich zukünftig bei jedem Malware-Fund gefragt, welche Aktion ich ausführen möchte?

Ja, dann wirst du gefragt. Und bekommst verschiedene Optionen zur Auswahl.

[Gagac]

Sehr gut, danke!

[Kilauea]

Hm, die Datei wird bei mir nicht beanstandet.

An der Datei bzw. exe liegt es nicht. Offenbar ruft diese .exe irgendwas anderes auf das dann erkannt wird.

Wenn du jetzt Optionen erhältst, gucke dir die sehr genau an was da gemeldet wird.

Nicht leichtfertig auf "erlauben" oder "vertrauenswürdig" klicken.

 

[Gagac]

Habe gerade den Rechner neu gestartet, um es zu testen. Allerdings bekomme ich folgende Meldung. Dies hat nichts mit Wino Mail zu tun bzw. gehört zu AMD. Kann ich das erlauben?

Des Weiteren hab ich gerade bemerkt, dass Wino Mail, jetzt nachdem ich die Einstellung bei Kaspersky deaktiviert habe, keine Verbindung zum Internet herstellen kann. Ich bin mit meinem Latein am Ende 😞

[Kilauea]

AMD kannst du "Jetzt erlauben", Wino Mail wird blockiert weil du das erst erlauben musst, diese Abfrage kommt aber erst noch, du bist ja noch bei AMD.

 

Mit "Jetzt erlauben" triffst du die Entscheidung nicht dauerhaft, die kommt immer wieder, das änderst du erst "Zusätzliche Aktionen" oder du stellst das "Empfohlene Aktionen automatisch ausführen" wieder zurück.

Aber vorher wollen wir ja wissen was da von Wino gestartet werden soll.

(Ich bin gleich für 45 Min offline)

Edited February 15 by Kilauea

[Gagac]

Es gab gerade 7 identische Anfragen von AMD und keine einzige von Wino Mail. Die Verbindung zum Internet ist bei Wino weiterhin blockiert.

Edit: Zweiter Neustart. 7 Abfragen von AMD, keine von Wino. Internetverbindung weiterhin blockiert

Edited February 15 by Gagac

[Kilauea]

Es wird wohl nicht viel bringen aber starte mal die "Vollständige Untersuchung".

Ich bin kurz weg.

 

[Gagac]

Mache ich gerne. Wird aber eine Zeit lang dauern, bei knapp 8 TB an Dateien 🙂

Alles klar, hau rein! ^^

Edited February 15 by Gagac

[Kilauea]

Uupps, nur C:\  zu scannen hätte wohl gereicht.

Kaspersky hat übrigens bestätigt das die Winoserver.exe sauber ist. (Reaktionszeit 40 Min.)

 

[Gagac]

Da ich meinen letzten Post leider nicht mehr editieren kann, muss ich einen neuen erstellen.

Die vollständige Untersuchung ist abgeschlossen, schneller als ich dachte. Keine Bedrohungen gefunden.

Edit: Dann weiß ich echt nicht, woran das liegt.

Edited February 15 by Gagac

[Kilauea]

Ich bin jetzt etwas überfragt, mir ist nicht erklärlich warum im automatischen Modus die exe gelöscht wird (das wird seinen Grund haben), du aber im "nicht automatischen Modus" keine Meldung/Auswahl bekommst. (Ausser AMD).

Entweder hier meldet sich noch wer oder mir kommt noch eine Idee...sonst bleibt hier der Weg über den Support.

Die haben noch andere Möglichkeiten. Tools zum Erstellen von logs zum Beispiel.

 

 

[Gagac]

OK, jetzt hab ich einiges ausprobiert, aber dennoch ohne Erfolg. Es hapert an der geblockten Verbindung zum Internet.

Hab die manuell angelegte Ausnahme entfernt und den PC neu gestartet um zu sehen, ob diesmal eine Abfrage erscheint.

Außer von AMD kam nichts. Dann hab ich Wino Mail geöffnet und die Meldung poppte auf. Ich wählte die dauerhafte Ausnahme aus. Siehe Screenshot. Und trotzdem wird Wino der Zugriff zum Internet geblockt.

Dann hab ich den PC nochmal gestartet und nur die AMD-Abfragen erlaubt, hab den Schutz angehalten und erst dann Wino Mail geöffnet. Jetzt kommt auch eine Verbindung zum Internet zustande. Den Schutz wieder aktiviert und Wino funktioniert weiterhin, selbst nach einem Neustart. Aber nur, solange ich den Schutz vor dem Öffnen von Wino Mail deaktiviere. Wenn ich Wino Mail öffne, bevor ich den Schutz anhalte, wird der Internetzugriff geblockt. Und selbst nachdem ich den Schutz angehalten habe, besteht keine Internetverbindung.

Also muss ich den Virenschutz anhalten, Wino Mail öffnen und danach den Schutz wieder aktivieren, damit Wino Mail erfolgreich funktioniert.

Das ist aber keine Dauerlösung und sehr umständlich.

[Gagac]

Nachdem ich die betroffene Datei eingeschickt habe und die Experten sie analysiert haben, kamen sie zum Entschluss, dass es sich um eine Falscherkennung handelt und es behoben wird.

@Kilauea@Schulte

Vielen Dank für eure bisherige Hilfestellung! 🙂

[Kilauea]

Welche Datei ?

Die "Winoserver.exe" war ja nicht das Problem, oder doch ?

 

[Gagac]

Anscheinend schon. Mein Kaspersky meint, laut Bericht, dass es Wino-Server.exe wäre. Nachdem ich die Datei manuell nochmal gescannt habe (mit Kaspersky Standard), wurde sie als sauber erkannt. Und dennoch wird sie jedes Mal, nach einem Neustart in die Quarantäne geschoben bzw. gelöscht.

Der Support bat mich die Datei zur Analyse einzuschicken und heute bekam ich die Rückmeldung, dass es sich um eine False/Positive handelt.