Home > HardlinkBackup, Software > HardlinkBackup 2.0 erzeugt Fehlalarm „not a virus“ bei 3 von 36 Antivirenprogrammen

HardlinkBackup 2.0 erzeugt Fehlalarm „not a virus“ bei 3 von 36 Antivirenprogrammen

Leider gibt es momentan das Problem, dass HardlinkBackup von 3 von 36 Antivirenprogrammen mit der Warnung „not-a-virus:Monitor.MSIL.KeyLogger.er“ bedacht wird. Als ich davon informiert wurde, war ich erstmal geschockt – wie manche Kunden, die z.B. Kaspersky Anti-Virus einsetzen vermutlich auch.

Natürlich denkt man erstmal „oh Gott, hoffentlich habe ich keinen Virus an meine Kunden verteilt“ – denn das wäre wirklich fatal. Meine Nachforschungen haben ergeben, dass die Warnung von einer Bibliothek „Microsoft.Win32.TaskScheduler.dll“ (!!!) hervorgerufen wird, die ich benutze um die Aufgaben im Windows Taskplaner zu erstellen. Diese Bibliothek macht eigentlich nur ganz wenig; sie übersetzt die Windows-Schnittstellen in C# Schnittstellen; ich habe sie mir im Quellcode angesehen und sie macht überhaupt nichts mit einem „KeyLogger“ vergleichbares. Vom Autor der Bibliothek habe ich folgendes Statement erhalten:

I can’t think of anything in the code that could be interpretted as a keylogger. Nothing in the library even captures keystrokes. I’m baffled. Interesting that only Kaspersky finds a problem. All the other virus scanners find nothing. Unfortunately, the virustotal site provides no information to help diagnose the problem.

Über „Monitor.MSIL.KeyLogger.er“ (u.ä.) konnte auch ich keinerlei Informationen im Internet in Erfahrung bringen. Ich habe mich an die drei Antivirus-Hersteller gewandt, die einen solchen Fehlalarm produziert haben und habe von einem (Ikarus) folgende Antwort erhalten:

Sehr geehrte Damen und Herren,

Vielen Dank für die von Ihnen eingesandte Datei.

*****   Fehlalarm   *****

Bei dieser Datei handelt es sich um einen Fehlalarm. Dieser wurde ausgebaut und wird mit dem nächsten Update nicht mehr auftreten.

Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht auf diese Nachricht.

Mit freundlichen Grüßen

Ihr IKARUS Support Team

Sie wurden betreut von:

Marion Marschalek

———————————-

IKARUS Security Software GmbH

Blechturmgasse 11, A-1050 Wien

Web: http://www.ikarus.at

———————————-

Die neueste Signatur von Ikarus (von gestern) enthält bereits das Update und mosert die Bibliothek und damit HardlinkBackup nicht mehr an. Auf die Antwort von Emisoft und Kasperski warte ich noch vergeblich.

Ich denke, es ist klar, dass es sich um einen Fehlalarm handelt. Zudem ist ja auch kein Virus, sondern nur ein „Risiko“ erkannt worden. Man darf auch keine allzu große Intelligenz von einem Antivirus-Programm erwarten…

Leider kann ich nicht ‚mal eben‘ auf eine andere Bibliothek für den Zweck umsteigen oder die C++-Taskplanungsschnittstellen direkt ansprechen; das würde viel Arbeit bedeuten. Außerdem gehe ich davon aus, dass die Virenhersteller den Fehlalarm – hoffentlich bald – beheben.

Ich muss sagen, ich hatte noch nie einen Fehlalarm und mache das zum ersten Mal durch. So ein bisschen ist das natürlich Rufmord, was die Antiviren-Hersteller hier betreiben. Die Unannahmlichkeiten, die dadurch meinen Kunden entstehen, tun mir sehr leid; dagegen machen kann ich aber nichts.

Update: Mittlerweile habe ich auch eine Antwort von Kaspersky Antivirus bekommen:

Guten Tag,

Sorry, it was a false detection. It will be fixed in the next update.

Thank you for your help.

Regards, Ivan Akimov,

Virus Analyst

„123060, Moskau, Russland, 1. Volokolamsky Proezd 10, Haus 1Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com/de http://www.viruslist.ru

Ich denke, damit ist das Thema durch.

KategorienHardlinkBackup, Software Tags:
  1. avatar
    Dr. Schilffarth
    2. Februar 2013, 15:44 | #1

    Hallo,
    habe laufend mit Kaspersky InternetSecurity 12.0.0.374 (aktuellste Version 02.01.1213) mit Fehlermeldung:
    Lupino.Net.Hardlinkbackup.service, gefunden PDM.Worm.P2P.generic
    Das fürht immer wieder zu abgebochenen Backups
    Für Hinweise zur Abhilfe wäre ich sehr dankbar. (das Progr. ist nähmlich sonst Klasse!!)

    Danke Schi

  2. 5. Februar 2013, 10:20 | #2

    Hallo Schi,
    sorry, dass ich erst jetzt antworte: Dieser „generische“ Wurm ist beim Scan mit Kaspersky z.B. auf heise.de nicht entdeckt worden. Leider habe ich keinen Kaspersky und weiß nicht, ob er eine Meldung nur bei der installierten Software macht. Allerdings habe ich bislang keine anderen Hinweise auf einen Fehlalarm erhalten. Ich kann also die Möglichkeit nicht ausschließen, dass Dein System befallen ist und der Wurm sich an die Service-Exe gehangen hat. Andererseits spricht eine „generische“ Signatur für einen Fehlalarm. Du kannst die Datei bei Kaspersky einschicken und überprüfen lassen. Wenn Du die Möglichkeit hast, HardlinkBackup auf einen anderen Rechner mit Kaspersky zu installieren und prüfen zu lassen, wäre das auch gut.
    Außerdem: Stellt Kaspersky denn nun in(!) der Service.exe einen Wurm fest oder beim Zugriff der Service.exe auf eine Datei (die dann den Wurm hat)? Letzteres ist natürlich normal, wenn HardlinkBackup befallene Dateien sichern soll und der Zugriff von einem Antiviren-System bemerkt wird.

  1. Bisher keine Trackbacks