Kaspersky Plugin Absturz bei Empfang von Sober.F

anp

Hallo

bei Mails mit dem Virus Sober.F stürzt das Plugin immer ab.
Es wird kurzzeitig Dr.Watson gestartet, der das Plugin anscheinend beendet.

Danach kommen alle Mails ungefiltert durch. In den Benutzereinstellungen steht keine Versionsnummer mehr beim Plugin dabei. Nach einem Neustart von TheBat ist es wieder verfügbar.
Andere Viren entfernt es einwandfrei.

TheBat 2.10.01 (auch einige ältere getestet)
KAV Plugin 4.0.1.1
/edit: gleiche Probleme mit KAV Plugin 3.5.9.0

Auf einem Zweitrechner kann ich das Problem reproduzieren.

Wer interesse hat zu testen, dem kann ich auch gerne mal eine Mail mit dem Virus weiterleiten

Was kann man tun?

merci

Teal_One

Zitat

Was kann man tun?

Eintrag im BT bestätigen (wenn mich nicht alles täuscht, existiert schon so einer).

Nachtrag:
Vermutlich handelt es sich bei diesem BT-Eintrag um denselben Fehler: https://www.ritlabs.com/bt/bug_view_advance...?bug_id=0002697
Evtl. auch mal das hier lesen: https://www.batboard.net/index.php?topic=1054&hl=kaspersky

Teal_One

Zitat

bei Mails mit dem Virus Sober.F stürzt das Plugin immer ab.

Confirmed. Das PlugIn stürtzt ohne eine Fehlermeldung ab, der Virus wird nicht entfernt und der User bekommt nichteinmal mit, dass etwas nicht stimmt!

anp

von Dr. Watson wird auch eine Fehlermeldung erzeugt.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\drwtsn32.log

dort nach klavps.dll suchen.

Auszug:

Code

*----> Stack Back Trace <----*
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\WINDOWS\system32\USER32.dll - 
*** WARNING: Unable to verify checksum for C:\PROGRA~1\KASPER~2\KASPER~1\THEBAT~1.1\klav.exe
*** ERROR: Module load completed but symbols could not be loaded for C:\PROGRA~1\KASPER~2\KASPER~1\THEBAT~1.1\klav.exe
WARNING: Stack unwind information not available. Following frames may be wrong.
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\WINDOWS\system32\kernel32.dll - 
ChildEBP RetAddr  Args to Child              
0012fcb0 77d13a09 77d143b5 0012ff04 00000000 *SharedUserSystemCall+0xc (FPO: [0,0,0])
0012fcd8 004061e1 0012ff04 00000000 00000000 USER32+0x3a09
0012ff24 0040cd74 00000000 00000000 001423ba klav+0x61e1
0012ffc0 77e614c7 77f796d5 007dec40 7ffdf000 klav+0xcd74
0012fff0 00000000 0040cc40 00000000 78746341 kernel32!GetCurrentDirectoryW+0x44

Alles anzeigen

Teal_One

Zitat

von Dr. Watson wird auch eine Fehlermeldung erzeugt.

Richtig, aber die Poppt nicht auf, sodass ich weiss, dass irgendwas nicht in Ordnung ist.

Nachtrag: In der Log-Datei von TheBat! steht auchn Hinweis drin.

Hendrik

Im Bugtracker von Ritlabs steht:

----------------------------------------------------------------------
dirkmill - 01 May 2004 14:29 CDT
----------------------------------------------------------------------
NOT confirmed with KAV-Plugin 4.0.1.19 (2003-01-16) and KAV personal pro
4.5.0.94

All attached examples are properly scanned and processed.

----------------------------------------------------------------------

Ich habe da mal gefragt, wo man die v4.0.1.19 herbekommt. Wenn's was gibt halte ich Euch auf dem Laufenden. Google bleibt stumm.

Bei mir macht der Netsky.ac jedesmal das plugin fertig

Hendrik :punk:

Teal_One

Zitat

Wenn's was gibt halte ich Euch auf dem Laufenden.

Ich bitte darum. Hab mich auf der Kaspersky und Ritlabs Seite totgesucht, weder diese noch irgendeine Version war aufzutreiben :(.

Hendrik

Das ist mir in die mailbox geflattert:

*******************************
[edit]
Anleitung entfernt... kommt mir irgendwie zu "grenzlegal" vor..
[/edit]
**********************************

Was man davon halten soll?

beta

Von wem kam diese "Anleitung"?

Hendrik

Die hab' ich von Unbekannt per eMail geschickt bekommen. mittlerweile frage ich mich, ob ich die wirklich so öffentlich da hinschreiben soll...??? Ich glaube, ich mach die vielleicht lieber wieder weg. Irgendwie kommt mir das ein bißchen schräg vor.
Näheres besser per eMail: hendrikmail2002@yahoo.de

beta

Naja - bei sowas sollte der gesunde Menschenverstand regieren.

Ausserdem waere bei mir der Kasperky schon lange von der Platte geflogen, wenn man zu solchen Trick & Kniffen greifen muss um sich vor den nicht mehr so aktuellen Viren zu schützen ...

Hendrik

Na ja, um Sicherheit geht's da ja eigentlich garnicht. Scan des Postfaches dient ja nur dazu, daß man die Würmer nicht manuell zu löschen braucht oder in einen Extraordner zu verschieben. Ein Wurm im Postfach ist ja völlig ungefährlich.

Und Kaspersky selber läuft ja prima, nur das dumme Plugin mach diese Sperenzien.

Was ich Kaspersky 4.5 vorwerfe ist, daß seit Monaten der Bug mit der rechten Maustaste besteht: wenn man nur ein einziges Mal auf die rechte Maustaste geklickt hat, dann kann man in diesem Explorerfenster jeden Virus frei starten, nachdem man das Warnfenster einfach ignoriert und stehen lässt. Bei Kaspersky 5.0.121 final ist der Fehler nicht, aber man kann das Teil nicht mehr so genau konfigurieren.

[ironie] Allerdings kann man da wenigstens die nicht zu überwachenden Pfade manuell per 8-Buchstaben-Schreibweise eintragen, da die langen Namen immernoch Probleme machen.... [/ironie]

Einen unfehlbaren Virenwächter wird es so leicht nicht geben. Aber einen, der im Ansatz gut ist, den findet man mit Kaspersky.

Zum Beispiel kann man sehr einfach Malware in bestimmte Archive packen, so daß sie von ainem on-demand-Scan (z.B. einer eMail-Scan) nicht mehr gefunden werden können. Jedes Skriptkiddie könnte so einen Trojaner an jemanden schicken, der glauben würde, daß sein einfältiger eMail-Scan ihn ja schützt und aus Performance-Gründen vielleicht keinen on-access-Wächter laufen hat. Ein Klick, und schon wär's passiert.