Ruhiges IT-Forum

Hallo,

seit dem WAPT-Update von Version 1.3 auf 1.5 kommt es bei uns zu Erkennungen und Blockierungen durch unsere Antivirensoftware, nachdem wir versucht haben, die Agenten auf den Arbeitsstationen zu aktualisieren. Wir arbeiten an einer Lösung, möchten aber zunächst die Benutzer informieren und Feedback einholen.


Trend Micro OfficeScan Server XG Build 1315

# Erkennung 1: Die erkannte Malware ist Mal_Mlwr-13 https://www.trendmicro.com/vinfo/us/thr ... al_Mlwr-13
# Erkennung 2: Nicht autorisierte Dateiverschlüsselung C:\Windows\Temp\is-L7N1A.tmp\waptagent.tmp (ausgelöst durch "c:\windows\temp\waptagent.exe")
# Erkennung 3: waptconsole.exe

% Vielen Dank im Voraus für Ihr Feedback.

Hallo,

Bezugnehmend auf den heutigen Beitrag mit dem Titel "WAPT 1.5 vs Antivirus" viewtopic.php?f=10&t=1134, hier die Elemente, die wir integriert haben, um die Situation auf einem Trend Micro Officescan XG zu lösen.

# Erkennung 1: Die erkannte Malware ist Mal_Mlwr-13 https://www.trendmicro.com/vinfo/us/thr ... al_Mlwr-13
Lösung: https://success.trendmicro.com/solution/000019446. muss auf alle Scans der Scan-Ausschlussliste (Verzeichnisse) c:\wapt angewendet werden.


# Erkennung 2: Nicht autorisierte Dateiverschlüsselung C:\Windows\Temp\is-L7N1A.tmp\waptagent.tmp (ausgelöst durch "c:\windows\temp\waptagent.exe").
Lösung: http://docs.trendmicro.com/en-us/enterp ... ing-1.aspx für c:\windows\temp\waptagent.exe.

# Erkennung 3: waptconsole.exe.
Lösung: http://docs.trendmicro.com/all/ent/offi ... -List.html. Diese Lösung muss auf allen Arbeitsstationen für c:\wapt\waptconsole.exe angewendet werden.

Vielen Dank für das Feedback...

Das reicht leider nicht aus. Zahlreiche temporäre Dateien werden in c:\wpat\*.tmp als Mal_Mlwr-13 markiert.

Die Wildcard-Verwaltung und das Umgehen dieser Mal_Mlwr-13-Warnung erscheint riskant.

Gibt es dafür Lösungen?

Gefunden:
Die Datei c:\wapt\*.* wurde in die Scan-Ausnahmen integriert und wird gemäß http://docs.trendmicro.com/en-us/enterp ... wildc.aspx

Die beste Lösung besteht nicht darin, Ausnahmen zuzulassen, sondern der Antivirensoftware mitzuteilen, dass es sich um einen Fehlalarm handelt. Die meisten Softwareanbieter bieten auf ihrer Website eine Seite an, auf der Sie eine Datei hochladen und als sicher markieren können. In der Regel wird der Hash der Datei innerhalb von 24 bis 48 Stunden in das Update aufgenommen, und Sie können unbesorgt weiterarbeiten.

Hallo,

wir geben diese Erklärung für Publisher-Anwendungen mit festen Elementen ab.

Die Erkennung mit WAPT scheint jedoch inkonsistent und bei denselben Elementen nicht immer hundertprozentig korrekt zu sein. Es erscheint notwendig, eine Liste der aufgetretenen Probleme zu erstellen, damit die Erklärung an den Antivirenhersteller vollständig ist. Hoffentlich werden einige Probleme in der Debug-Version 1.5 von WAPT behoben.

... Fortsetzung folgt

Hallo Alesk,

Alesk schrieb: ↑11. Apr. 2018 - 17:21 Uhr Leider reicht das nicht aus. Zahlreiche temporäre Dateien werden in c:\wpat\*.tmp als Mal_Mlwr-13 markiert.

Die Wildcard-Verwaltung und das Umgehen dieser Mal_Mlwr-13-Warnung erscheint riskant...

Gibt es dafür Lösungen?

Der WAPT-Code erzeugt selbst keine *.tmp-Datei. Diese Datei wird von InnoSetup während der Programminstallation temporär erstellt.

Es gibt jedoch keinen Grund, warum es im Verzeichnis c:\wapt erstellt werden sollte. Es sollte im temporären Verzeichnis des Benutzerkontos erstellt werden, das die Installation startet (c:\windows\temp für LOCALSYSTEM oder %AppData%Local\Temp\ für andere).

Könnte es ein Problem mit dem Pfad Ihrer Umgebungsvariablen %PATH% geben?

Aufrichtig,

Denis