Noch was lustiges zum Wochenende: Wohl ein 'Osterei', welches mir Microsoft ins Nest gelegt hat (oder ein verfrühter April-Scherz). Vor ein paar Tagen bekam ich plötzlich von den Microsoft Security Essentials einen netten (Fehl-) Alarm. Bezog sich auf die eigenen Microsoft-Produkte.
Anzeige
Ist sich MSE nicht sicher, ob eine Datei verdächtig ist, wird der Benutzer benachrichtigt und kann dann diese Datei zu Microsoft hochladen. Als dieses Fenster erschien, bekam ich natürlich sofort einen Schreck.
Ich wurde gefragt, ob ich die angegebene ZIP-Archivdatei nicht zur Überprüfung zu Microsoft hochladen wolle. Irgendwie war sich MSE nicht sicher, ob das Archiv sauber ist. Ans Lachen kam ich aber, als ich mir den Pfad zur Datei anschaute. Es handelt sich um die im Microsoft-Umfeld gepflegte Sysinternal Suite, die ich vor einigen Wochen von einem Microsoft-Server geladen hatte. Die trauen inzwischen ihrem eigenen Zeugs nicht mehr, obwohl die Archivdatei seit Wochen im Ordner lag.
In diesem Sinne: Frohe Ostern und allseits virenfrei und an den restlichen Tagen des Jahres vor Überraschungen bei Microsofts Software gefeit.
Anzeige
Anzeige
Herr Born, fügen Sie doch noch eine TXT-Datei ins ZIP mit den Worten:
"You even don't trust yourself anymore, don't you?"
oder ähnliches und dann ab damit! ;-)
Gruss, Christian
… das ist nichts neues …
nirsoft utilities und die sysinternals sind schon lange in meiner ausnahmeliste für MSE – dagabs immer fehlalarme
Stimmt, es ist nicht neu und bekannt. Ich habe von Nirsoft auf einen neuen PC Outlook installiert. Mit dem Programm mailpv bekommt man dann die E-mail-Konten angezeigt. Davor muss man aber AV-Programme beenden. Ich habe das Programm auf einen separaten USB-Stick und schalte kurz vorher den MSE ab. MSE springt dann an, wenn das Programm ausgeführt wird oder man MSE zum suchen bittet.
Mich würde jetzt mal interessieren, welches Programm von Sysinternals davon MSE angemeckert wurde. Ich werde mal testen.
nir sofer hat alles darüber geschrieben, was es über das (bekannte) problem zu wissen gibt, wenn es sich nicht wieder verschlimmert hätte, wäre eine erneute verschlüsselung der suite nicht nötig.
die dateien der sysinternals suite hingegen sind immerhin von microsoft signiert, auch wenn sie lediglich das ergebnis eines hobbys des microsoft azure chefs mark russinovic sind.
ms betreibt hohen aufwand neuerdings um die sysinternals tools "angemessen" zu behandeln (vergl. die besondere meldung outpost firewall 8 & 9 (2016) sei nicht kompatibel mit win10). ich hab mich donnerstag dazu entschlossen ms's security was auch immer, auch vom letzten arbeitsgerät zu entfernen / kaltzustellen (dazu ist u.a. autoruns notwendig).
Da hast Du natürlich auch recht.
Ich habe mich aber irgendwie damit aber schon "stillschweigend" abgefunden und nehme es einfach so hin. Was soll ich denn machen? Außer mit Wattebällchen gegen MS werfen geht nicht.
Es ist natürlich sehr merkwürdig, wenn Sysinternals-Programme von MSE angemeckert werden, irgendwie sinnfern.
Der obligatorische Aprilschäääz …
… und wundern würde es mich nicht, wenn es doch keiner ist.
Bei denen wundert mich kaum noch was.
Frohe Eiersuche an alle
:-)
Ich habe heute mir die sysinternalssuite.zip erneut heruntergeladen und mit MSE mit Stand heute durchsucht, als zip und entpackt. Es kam kein Fehler, keine Ernennung, nichts.
Ich habe dann diese bei virustotal hochgeladen und diesen Gedanken scheinen schon andere gehabt zu haben ab 30.03.2018. Es kamen lediglich Treffer von =
# Cylance = Unsafe = 20180401
# Jiangmin = Trojan/Win32.Emotet.a = 20180401
# Sophos AV = PsExec (PUA) = 20180401
# TrendMicro-HouseCall = Suspicious_GEN.F47V0214 = 20180401
# Yandex = Trojan.Agent!MT0GiLQiUhU = 20180331
# Zillya = Trojan.Shelma.Win32.1300 = 20180330
# Zoner = Trojan.Petya = 20180321
Das kann man verschmerzen.
MS Sec. Essentials, update der 'mpengine.dll' (Modulversion unter Hilfe/Info) auf v1.1.14800.3
(windows 7-64)