Tödlichen Autostart verhindern

  • VB.NET
  • .NET (FX) 4.5–4.8

Es gibt 20 Antworten in diesem Thema. Der letzte Beitrag () ist von PSPlover.

    Tödlichen Autostart verhindern

    Hallo coder

    *DANGER ZONE, READ CAREFULLY*
    Bevor hier einer kommt mit : willst du einen trojaner/virus/worm oder sonstigen sh1t coden? NEIN will ich nicht, das hab ich auch nicht nötig.
    Das gleiche gilt auch bei sachen wie : benutz doch einen crypter oder sonstigen mist.


    So da ich denke das das abgehakt wäre dann zu meinen problem:

    Und zwar hab ich (weil ich keine lust habe in der registry rumzupfuschen) mein programm so geschrieben das es einen menüpunkt gibt der das programm in den autostart ordner kopiert.
    So und jetzt kommt das lustige problem : Der AV schutz denkt das es malware ist die sich da ohne zu fragen in den start kopiert.(obwohl bei mir sehr wohl gefragt wird, alles mit ner schönen msgbox und so ?( :?: )
    Also kurz und knapp : Ein klarer fall von false positive. ;(
    Meine frage kann man das umgehen(OHNE in die registry zu schreiben)
    Mein problem ist das ich das programm nicht nur für mich code sondern auch für meine klasse und fürs internet.
    Der pfad in der es kopiert werden sollte : C:\Users\Der Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Und falls jetzt einer sagt ich sollte es einschicken bei den AV herstellern um es freizuschalten, das geht leider nicht da sich das programm sozusagen noch immer in der testphase befindet und dementsprechend immer bugfixes kommen werden.

    Mein AV Kaspersky
    !! It's not a bug it's a feature !!

    PSPlover schrieb:

    obwohl bei mir sehr wohl gefragt wird, alles mit ner schönen msgbox und so

    Ähm, MsgBox == VB6-Ranz, wenn dann nimm' doch bitte MessageBox.Show(). ;)
    Außerdem sind MessageBoxen imi nicht grade schön vom Design her, aber das ist ja egal.

    zum Problem: Da musst Du wohl bei Kaspersky anfragen, ob die das auf die Whitelist setzen. Bedenke jedoch, dass nicht jeder PC den gleichen AV hat.
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

    Trade schrieb:


    zum Problem: Da musst Du wohl bei Kaspersky anfragen, ob die das auf die Whitelist setzen. Bedenke jedoch, dass nicht jeder PC den gleichen AV hat.


    Naja das mit der withelist wird nicht gehen wegen der dauernden bugfixes , und das mit den anderen AVs... habe auch keinen plan wie das gehen soll.
    Außerdem habe ich gesehen das andere programme (VLC media player , Spiele, Programme usw.) immer einen firewall und autostart install helper haben....... wie kann man sowas den coden?? Direkter zugriff auch den AV ist für mich zu riskant (mal davon abgesehen das jeder anständige AV einen selbstschutz hat)
    Da stellt sich mir die frage wie ich ein solches programm coden kann.

    Trade schrieb:

    Ähm, MsgBox == VB6-Ranz, wenn dann nimm' doch bitte MessageBox.Show().

    Sehe zwar nicht den unterschied aber Ok und des design ist mir schon eigentlich egal :)
    !! It's not a bug it's a feature !!

    PSPlover schrieb:

    da sich das programm sozusagen noch immer in der testphase befindet
    habe ich selbstverständlichg nicht vor, solch einen Automatismus überhaupt zu realisieren.
    Falls Du diesen Code kopierst, achte auf die C&P-Bremse.
    Jede einzelne Zeile Deines Programms, die Du nicht explizit getestet hast, ist falsch :!:
    Ein guter .NET-Snippetkonverter (der ist verfügbar).
    Programmierfragen über PN / Konversation werden ignoriert!
    Viel eher würde mich interessieren, wieso dein Programm als Virus erkannt wird. Denn nämlich selbst wenn das ein Virus/Trojaner/Keylogger/Whatever wäre, könnte ein AntiVirenprogramm das eigentlich nicht erkennen. Schreib doch mal, was erkannt wurde, oder sende einen VirusTotal-Link. Das darf nämlich eigentlich nicht sein.
    Mfg
    Vincent

    PSPlover schrieb:

    Der pfad in der es kopiert werden sollte : C:\Users\Der Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Es wird zwar an deinem Grundproblem überhaupt nichts ändern, aber wenn wir schon am meckern sind...
    Den Startup-Pfad bitte dynamisch erzeugen: ​Environment.GetFolderPath(Environment.SpecialFolder.CommonStartup) bzw. ​Environment.GetFolderPath(Environment.SpecialFolder.Startup) je nachdem, ob für alle oder nur für den User.
    --
    If Not Program.isWorking Then Code.Debug Else Code.DoNotTouch
    --

    PSPlover schrieb:

    Wie ist denn das gemeint?
    So lange Du daran entwickelst und testest, hat dieses Progeamm nix in der Autostart zu suchen.
    Falls Du diesen Code kopierst, achte auf die C&P-Bremse.
    Jede einzelne Zeile Deines Programms, die Du nicht explizit getestet hast, ist falsch :!:
    Ein guter .NET-Snippetkonverter (der ist verfügbar).
    Programmierfragen über PN / Konversation werden ignoriert!

    VincentTB schrieb:

    Viel eher würde mich interessieren, wieso dein Programm als Virus erkannt wird. Denn nämlich selbst wenn das ein Virus/Trojaner/Keylogger/Whatever wäre, könnte ein AntiVirenprogramm das eigentlich nicht erkennen. Schreib doch mal, was erkannt wurde, oder sende einen VirusTotal-Link. Das darf nämlich eigentlich nicht sein.


    Doch er erkennt sogar diese datei als (möchtegern) malware(siehe anhang)
    Also beim scan ergebnis = nichts
    Beim autostart funktion = alarm (PDM:Trojan.Win32.Generic)

    Die datei ist deshalb .rar weil eine .bat hier nicht hochgeladen werden darf (warum auch immer)
    Dateien
    !! It's not a bug it's a feature !!

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „PSPlover“ ()

    petaod schrieb:



    Ja danke ist zwar sicher nett gemeint aber es ist wohl sicher nicht wirklich vertrauenserweckend wenn das programm dann als virus/trojan/whatever erkannt wird. (spiziell bei meinem status in der klasse als "computergenie")

    PS : hat da schon einer meine .bat ausprobiert??

    Wer meiner .bat nicht traut (obwohl man die sogar mit dem texteditor bearbeiten kann xD) hier der code
    Spoiler anzeigen
    @echo off
    echo Hallo %username%
    copy Möchtegern_Trojaner.bat "C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    pause


    PPS die datei muss als Möchtegern_Trojaner.bat gespeichert werden ;)

    !! It's not a bug it's a feature !!
    @~blaze~ Er kopiert das Programm.

    @PSPlover Erstelle ein Setup, dass dir die Autostart-Eintragung vornimmt. Um vom normalen Start unterscheiden zu können, startest du dein Programm beim Autostart mit einem speziellen Parameter. Wenn dieser Parameter übergeben wurde, prüfst du nur noch, ob der User einen Autostart möchte, wenn nicht, beendest du dein Programm wieder. Bei diesem Vorgehen musst DU keinerlei Änderungen am System vornehmen. Und nun weiche ich mal der Setup-Flamewar aus, die ich wahrscheinlich losgetreten habe...
    Mit freundlichen Grüßen,
    Thunderbolt

    ~blaze~ schrieb:

    Hi
    Kopierst du das Programm oder erstellst du eine Verknüpfung? Ersteres wäre Unfug.

    Gruß
    ~blaze~

    @~blaze~
    Wieso unfug??
    Die leute ziehen sich die datei auf den desktop und wollen dann das die datei (natürlich nicht ewig auf dem desktop bleibt) und in den autostart kopiert wird
    Aber deine idee hat was... (könnte es in C/programme kopieren und eine verknüpfung in den autostart erstellen.....fragt sich nur ob und wie das geht)


    timmi31061 schrieb:



    @PSPlover Erstelle ein Setup, dass dir die Autostart-Eintragung vornimmt.

    @timmi31061
    Fragt sich nur warum ein setup nicht "verdächtig" ist wenn er sowas macht aber mein programm schon -.-



    LG
    !! It's not a bug it's a feature !!

    PSPlover schrieb:

    es ist wohl sicher nicht wirklich vertrauenserweckend wenn das programm dann als virus/trojan/whatever erkannt wird
    Hast du den Link durchgelesen?
    If you are receiving a message concerning "Detected threats",
    specifically relating to PDM:Trojan.Win32.Generic.wcd in Kaspersky Internet Security 2011,
    this is a misreport and can be easily resolved by performing the following actions:
    ... diverse Vorbereitungen ...
    Run a database update.
    ...
    The issue should now be rectified.
    Das ist ein Bug, der nur in bestimmten Kaspersky-Konstellationen auftritt und durch ein Update behoben werden kann.

    Hast du diese Schritte durchgeführt?
    --
    If Not Program.isWorking Then Code.Debug Else Code.DoNotTouch
    --

    petaod schrieb:


    Das ist ein Bug, der nur in bestimmten Kaspersky-Konstellationen auftritt und durch ein Update behoben werden kann.
    Hast du diese Schritte durchgeführt?


    Ja databese update schon ... aber alles andere zu deaktivieren wäre dann (falls ich einen echten malwarefund kriege ) zu riskant da er dann die malware nicht löschen würde
    !! It's not a bug it's a feature !!