Anwendung als Malware erkannt

Warum wird meine Anwendung GDIPClock als Malware erkannt?
Wenn ich mit Malwarebytes mein System Scanne warum wird meine Anwendung als Malware identifiziert.

Diese geht nicht ins Internet verwendet keinerlei Ports oder dergleichen Trotzdem Malware?

Nach welchen Kriterien wird sonst noch gesucht?

Oder liegt es schlicht an Delphi?

**DeddyH**

Da hat die Heuristik wohl irgendetwas als "böse" erkannt. Du kannst Dein Programm aber normalerweise irgendwo beim AV-Hersteller zur Prüfung hochladen und zu dessen Whitelist hinzufügen lassen.

Zitat von DeddyH:

Da hat die Heuristik wohl irgendetwas als "böse" erkannt.

Zitat:

Prozess: 1
MachineLearning/Anomalous.96%, C:\USERS\BREWIDEAS\DOCUMENTS\SOURCEMEIN\GDIPCLOCK_ V164\_BUILD\GDIPCLOCK.EXE, Keine Aktion durch Benutzer, 0, 392687, , , , , 111654C3A8F3A616E28AE9802E3713B0, 3286ED11FD21C9B10C48D37C0D611B8D4E5A99EB47A3C19F78 D1D2C79B3B6DF2

Modul: 1
MachineLearning/Anomalous.96%, C:\USERS\BREWIDEAS\DOCUMENTS\SOURCEMEIN\GDIPCLOCK_ V164\_BUILD\GDIPCLOCK.EXE, Keine Aktion durch Benutzer, 0, 392687, , , , , 111654C3A8F3A616E28AE9802E3713B0, 3286ED11FD21C9B10C48D37C0D611B8D4E5A99EB47A3C19F78 D1D2C79B3B6DF2

Registrierungsschlüssel: 1
PUP.Optional.GoHD, HKU\S-1-5-21-446908827-4200042028-1358881088-1001\SOFTWARE\-, Keine Aktion durch Benutzer, 3127, 238796, 1.0.40200, , ame, , ,

Registrierungswert: 3
MachineLearning/Anomalous.96%, HKU\S-1-5-21-446908827-4200042028-1358881088-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN |GdipClock, Keine Aktion durch Benutzer, 0, 392687, , , , , ,

Was soll da böse sein?
Außer das ich es beim Windowsstart Automatisch starten lasse.

Na ja hat mich mal interessiert.

Zitat:

Du kannst Dein Programm aber normalerweise irgendwo beim AV-Hersteller zur Prüfung hochladen und zu dessen Whitelist hinzufügen lassen.

Danke aber das mache ich nicht. Denke dann ist deren Heuristik einfach nur schrott.

**DeddyH**

Zitat von venice2:

Was soll da böse sein?

Woher soll ich das wissen? Ich habe gelegentlich auch Probleme mit übereifriger AV-Heuristik in an sich harmlosen Programmen. Wenn ich die ausschließlich privat benutze, füge ich eine Ausnahme hinzu, ist es dagegen ein kommerzielles Programm, muss ich halt den beschriebenen Upload-Weg gehen.

Zitat:

Woher soll ich das wissen?

Deshalb meine Quote dachte man könnte da etwas erkennen warum das Teil da rum muckt.
Danke.

**himitsu**

Leider wurden zubiele "böse" Progrämmchen mit Delphi geschrieben
und die Muster zur Erkennung sind oftmals leider auch sehr ungünstig, so dass sie schnell auch andere Delphiprogramme erwischen.

Du kannst deine EXE auf

www.virustotal.com hochladen und mal schauen, ob es nur dein Virenscanner ist, oder ob auch mehrere Andere den Fehler bemängeln.
(natürlich könnte es auch sein, dass dein Rechner befallen ist und die EXE wirklich richtig erkannt wurde)

Ansonsten kannst du deine EXE auch irgendwo auf der Webseite deines Virenscanner-Herstellers melden (geht bei den Meisten) und ihn bitten das zu Prüfen.
Wenn negativ, wird/sollte er seine Signaturen anpassen, damit deine EXE nicht mehr erkannt wird.
Manchmal kann man es auch im Virenscanner direkt zur Prüfung vorlegen.

**HolgerX**

Hmm...

Zitat von venice2:

Zitat von DeddyH:

Registrierungswert: 3
MachineLearning/Anomalous.96%, HKU\S-1-5-21-446908827-4200042028-1358881088-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN |GdipClock, Keine Aktion durch Benutzer, 0, 392687, , , , , ,

Was soll da böse sein?
Außer das ich es beim Windowsstart Automatisch starten lasse.

Da hast Du dir doch deine Frage eigentlich schon selber beantwortet...

Unbekannte Software, welche sich selber in den 'RUN' Einträgen der Registry einträgt, ist für alle Scanner suspekt!

Da der String mit 'SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN' in deiner Exe wohl als Konstantenstring hinterlegt und somit von einem Scanner lesbar ist (Schau Dir die EXE mal mit nem HEX-Viewer an) wird dass wohl der Grund für die Maleware einstufung sein!.

Zitat:

Da der String mit 'SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN' in deiner Exe wohl als Konstantenstring hinterlegt und somit von einem Scanner lesbar ist (Schau Dir die EXE mal mit nem HEX-Viewer an) wird dass wohl der Grund für die Maleware einstufung sein!.

Sorry Nein!

Ohne UPX meldet Malwarebytes keine Probleme.
Ein Malware Scanner sollte eigentlich in der Lage sein eine Datei mit UPX zu entpacken und nicht global alle Anwendungen damit verteufeln.
Deshalb ist die Heuristik dieses Scanner eigentlich untauglich.

Es ist auch kein Konstantenstring.

zusammenfalten · markieren

Delphi-Quellcode:

			procedure AutoReg(Set1: Boolean);

var

  Reg: TRegistry;

  Pfad: string;

begin

  try

    Pfad := '"' + ParamStr(0) + '"';

    Reg := TRegistry.Create;

    Reg.RootKey := HKEY_CURRENT_USER;

    Reg.OpenKey('\SOFTWARE\Microsoft\Windows\CurrentVersion\Run', false);

    if Set1 then

    begin

      Reg.Writestring(Name4Registry, Pfad);

      MessageDlg('Autostart set (for current user)', mtInformation, [mbOK], 0);

    end

    else

    begin

      Reg.DeleteValue(Name4Registry);

      MessageDlg('Autostart disabled', mtInformation, [mbOK], 0);

    end;

    Reg.Closekey;

    Reg.Free;

  except

    MessageDlg('Could not access Autostart key', mtError, [mbOK], 0);

  end

end;

**KodeZwerg**

UPX wird eigentlich bei allen aktuelleren Scannern supported. Ist deine Version vom scanner vielleicht stark veraltet?
Wenn du es unbedingt exe-komprimiert haben möchtest, mit

mpress habe ich gute Erfahrung vs scanner gemacht aber ob das dein scanner schluckt musst du alleine herausfinden.
(ich nutze kaspersky aufm pc und totalvirus.com)

**HolgerX**

Hmm..

Zitat von venice2:

Es ist auch kein Konstantenstring.

markieren

Delphi-Quellcode:

			...

    Reg.OpenKey('\SOFTWARE\Microsoft\Windows\CurrentVersion\Run', false);

..

Wenn Du meinst, dass dies kein Konstantenstring in deiner EXE ist?
Es muss nicht 'const' davor stehen....

Anwendung als Malware erkannt

Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

AW: Anwendung als Malware erkannt

Forumregeln

venice2 (Gast) n/a Beiträge	#1 Anwendung als Malware erkannt 7. Mai 2021, 11:07 Warum wird meine Anwendung GDIPClock als Malware erkannt? Wenn ich mit Malwarebytes mein System Scanne warum wird meine Anwendung als Malware identifiziert. Diese geht nicht ins Internet verwendet keinerlei Ports oder dergleichen Trotzdem Malware? Nach welchen Kriterien wird sonst noch gesucht? Oder liegt es schlicht an Delphi?
	Zitat

venice2 (Gast) n/a Beiträge	#5 AW: Anwendung als Malware erkannt 7. Mai 2021, 11:23 Zitat: Woher soll ich das wissen? Deshalb meine Quote dachte man könnte da etwas erkennen warum das Teil da rum muckt. Danke.
	Zitat

HolgerX Registriert seit: 10. Apr 2006 Ort: Leverkusen 962 Beiträge Delphi 6 Professional	#10 AW: Anwendung als Malware erkannt 8. Mai 2021, 20:59 Hmm.. Zitat von venice2: Es ist auch kein Konstantenstring. markieren Delphi-Quellcode: ... Reg.OpenKey('\SOFTWARE\Microsoft\Windows\CurrentVersion\Run', false); .. Wenn Du meinst, dass dies kein Konstantenstring in deiner EXE ist? Es muss nicht 'const' davor stehen.... (Ja ich Verwende Delphi 6 Pro und will NICHT wechseln!)
	Zitat