Microsofts Windows Defender blockt erst Opensource-Programm und löscht es dann sogar

Speravir

Ich wollte nach längerer Zeit mal wieder sehen, ob es ein Update für den Process Hacker gibt. Nein, stellt sich heraus, die stabile Version wurde zuletzt 2016 aktualisiert. Aber dabei fand ich zufällig dieses: Microsoft brands Process Hacker as malware (im Zitat fehlt der Beginn mit zwei Links):

Zitat

Process Hacker was declared malware by Microsoft and is currently removed from your machine automatically by Microsoft Defender as a "high risk" threat. Microsoft has refused to provide any information to the development team except stating they will continue removing Process Hacker automatically from Windows for the foreseeable future.

Process Hacker was started in 2008 as an open source alternative to Task Manager and Process Explorer. The Process Hacker project does not contain malware or spyware and all source code can be viewed online at Github or SourceForge: https://processhacker.sourceforge.io/about.php

The project development will continue but it's expected Microsoft will remove the project source repository from Github since the threat classification violates the Github ToS.

Noch Ausführlicheres kann man in diesem GitHub-Issue-Thread lesen, speziell die Beiträge des Ressourceninhabers dmex: windows 10 reports trojan in process hacker (ich habe absichtlich nicht auf den Beginn verlinkt, sondern auf ein Posting von Ende November).

Wenn ich das nicht missinterpretiere, scheint Microsoft seit kurzem den im Process Hacker enthaltenen Kerneltreiber kprocesshacker.sys als Problem anzusehen. Wenn das stimmt: Avast blockert diesen Treiber seit Jahren (auch ohne den Entwicklern zu sagen, warum, sofern ich das mitbekommen habe), aber nicht das restliche Programm.

Edit: Aha, Symantec sieht es auch so: Symantec Protection identifies Process Hacker as a risk, schon seit März. Da gab es wohl eine Antwort an den Issue-Ersteller, der bei Symantec nachgefragt hatte (drittes Posting/zweite Reaktion).

.DeJaVu

Also hier steht der nicht in den Ausnahmen, ist allerdings noch die v2.39.0.124, die sind inzwischen weiter, aber das hat mir sämtliche Einstellungen verworfen.

Wenn PH trivial ist, und das ist es mit seinen Funktionen - ähnlich nirsoft Tool - dann wird es in die Quarantäne geschickt, nicht gelöscht! Und von dort aus lässt es sich wiederherstellen und eine Ausnahme definieren.

Ich seh da jetzt kein Problem. Was mir beim lesen auffällt, dass ich diese kprocesshacker.sys nicht dabei habe im ZIP, Version ist die gleiche: 2.39.0.124, gleicher Hash.

WD meldet auch nichts beim Prüfen, nada.

VT dazu

https://www.virustotal.com/gui/file/70211…9a9f4/detection

https://www.virustotal.com/gui/file/0f97f…4aecc/detection

Da steht nichts mehr von Emotet, nur riskware und ProcHack, entweder war da nie was oder es wurde nachträglich analysiert. Wie gesagt, manche Programme werden aufgrund ihrers Zwecks als schädlich eingestuft.

Da die EXE gleich ist, kommt PH auch ohne diese SYS aus. Wer es kann, sollte sich den Quellcode anschauen:

https://sourceforge.net/projects/proce…processhacker2/

Wasich dir aus der Hex-Anzeige sagen kann:

Zitat

Hidden process detection cannot function properly without KProcessHacker. Make sure Process Hacker is running with administrative privileges.

Es hat nur genau diese eine Funktion. Wenn man unter Tools > Hidden process versucht, bekommt man die Meldung, dass diese Datei fehlt. Es ist eben sehr systemnah, kommt aber prinzipiell ohne aus.

Deswegen ist es unerlässlich, lieber einmal nachzufragen statt eine Referenz anzugeben, die das sowieso so behandeln muss (hier: Symantec).

Speravir

Zitat von .DeJaVu

ist allerdings noch die v2.39.0.124,

Das ist die aktuelle Stable.

Zitat von .DeJaVu

dann wird es in die Quarantäne geschickt, nicht gelöscht!

Eben doch laut Beschwerden bei GitHub und dem Entwickler selbst! Mindestens die Sys-Datei. Und das ist es, was meiner Meinung nach so überhaupt nicht in Ordnung ist.

Zitat von .DeJaVu

Was mir beim lesen auffällt, dass ich diese kprocesshacker.sys nicht dabei habe im ZIP, Version ist die gleiche: 2.39.0.124, gleicher Hash.

Tja, bei mir ist sie vorhanden. Ich hab die ZIP aber auch vor Jahren heruntergeladen.

Zitat von .DeJaVu

Wasich dir aus der Hex-Anzeige sagen kann:

Die Hex-Anzeige wovon? Und da steht dann dieser Text?

Zitat von .DeJaVu

Wenn man unter Tools > Hidden process versucht,

Ha, gibts bei mir gar nicht. (Hier läuft Avast. deshalb weiß ich seit Jahren von der Blockade.)

.DeJaVu

Irgendein Hex-Editor, dann findest du es.

Tools > Hidden process

Im Menü von Processhacker ;

Zitat von Speravir

Eben doch laut Beschwerden bei GitHub und dem Entwickler selbst!

Aber nicht mehr beim Windows Defender, das ist auch auf VT sichtbar, "Microsoft" erkennt es aktuell nicht als Malware. Was andere Programme machen, ist deren Sache, ich kann mich nur auf den Defender beziehen, weil ich andere Programme unter Windows 10 nicht nutzen will bzw deren destruktive Seiten (in jede Richtung) nicht toleriere. Ich könnte es lediglich noch an der aktuelleren 1909 testen, hier 1809.

Was zur Quarantäne, ich würde glatte behaupten, dass dieses Verhalten einstellungsbedingt ist, ob es direkt gelöscht wird oder dort landet. Beim ZIP oder Setup sollte klar sein, dass beides im ganzen entsorgt wird, ansonsten wird auch auf github gezeigt, dass einzelne Dateien erkannt werden, aber nicht processhacker selbst.

Win10 1909, Windows Defender, vollständiger Scan mit Cloud und blablubb, ZIP, EXE, entpackt, also alles - nichts. Das passt auch mit diversen VT-Einträgen. Andere Antivirus-Programme können abweichen. Wie bereits erwähnt, sind das sehr systemnahe Programme und wenn deren Code einer Gruppe ähnelt wie zB "Emotet", dann ist das leider so. Die Variationen von Malware basieren nur darauf, dass sie nicht erkannt werden wollen, deswegen fasst man bestimmte Muster zusammen und die SYS ist daher Kollateralschaden.

Ich habe eben nochmal im System geschaut, die SYS gibt es doch im ZIP, welches im Archiv liegt. Ich kann nur nicht mehr sagen, warum die weg ist. ProcessHacker nutze ich seit Juli'17 parallel zum ProcessExplorer, das war zur Zeit Windows 8, kann sein, dass dort in den Anfängen der Defender zugeschlagen hat, aber der von Windows 10, partitionsübergreifend beim Scan. Dort liegt auch eine v3.0.1022 - dürfte inzwischen überholt sein, Okt'17.

Natürlich muss ich mich auf das genutzte Antivirus-Programm verlassen können, bis zu einem gewissen Grad, nur würde es mich schon stutzig machen, wenn nach anderhalb/2 Jahren alle eine bestimmte Datei melden, die bis dato völlig unbehelligt war. Die Meldung vom 8.Dez auf wj32 ist auch veraltet, wenn ich den aktuellen Scan als Grundlage nehme. MS mag es so wohl noch einstufen und die Meldung vom Team ist auch gültig, ist aber nicht mehr kongruent mit dem Ergebnis auf VT oder Defender.

v3 scheint es wohl nicht mehr zu geben, eingestampft oder zuviel Probleme. War hier absolut inkompatibel zu bisherigen Einstellungen.

Speravir

Zitat von .DeJaVu

Aber nicht mehr beim Windows Defender, das ist auch auf VT sichtbar, "Microsoft" erkennt es aktuell nicht als Malware.

Ach, so war das gemeint.

Zitat von .DeJaVu

nur würde es mich schon stutzig machen, wenn nach anderhalb/2 Jahren alle eine bestimmte Datei melden, die bis dato völlig unbehelligt war.

Das wunderte mich ja auch am allermeisten daran. irgendjemand vermutete, dass die Antiviren-Hersteller die Stellschrauben angezogen hätten, eben das, was Du als Kollateralschaden bezeichnest.

Zitat von .DeJaVu

v3 scheint es wohl nicht mehr zu geben, eingestampft oder zuviel Probleme. War hier absolut inkompatibel zu bisherigen Einstellungen.

Also, es gibt Nightly-Builds, auf der Sourceforge.io-Seite unter den Downloads verlinkt (nur auf der Seite des Erstentwicklers wj32; angeblich wurde diese Seite [zeitweise?] sogar geblockt).