WSCC: NirSoft und SysInternals unter einer Haube
von caschy | 14 Kommentare
Lest ihr schon seit 2009 hier mit? Damals empfahl ich WSCC, die Sammlung nützlicher Tools aus dem Hause NirSoft und SysInternals. WSCC ist dabei eine grafische Oberfläche, über die ihr die Tools von NirSoft und SysInternals starten und aktualisieren könnt. WSCC gibt es einmal für den heimischen PC und einmal als portable Version für den USB-Stick. Die neue Version 2.0.0.0 verfügt über einen besseren Update-Manager. Gerade für alles rund um das System (alles!) sollte man die Tools auf dem Stick haben. Must Have!
Wird geladen ...
von NirSoft gibt es auch den NirLauncher. Der schaut nicht ganz so hübsch aus, bringt aber auch sämtliche NirSoft Apps, wie auch die von Sysinternals und JoeWare unter ein Dach.
http://launcher.nirsoft.net/download.html
Und noch eine kleine handliche Updater-Alternative zu Sysinternals:
Der Sysinternals Updater
http://www.wieldraaijer.nl/
Ist das normal das Avira bei der Installation von WSCC bei jeden zweiten APP schreit Malware?
Avira ist der Berufsnörgler unter den kostenlosen AV-Scannern. Meist ist aber die zu streng eingestellte Heuristische Suche schuld. Also die Suche nach verdächtigem oder Malware-ähnlichem Code. Bei NirSoft & Co. sollte man darum bedenken, das es sich hier um Systemwerkzeuge handelt und die kleinen, aber feinen Teile sich auch mal in Sachen Code mit dem von Malware ähneln können.
@Startanwalt:
Der NirLauncher ist wirklich die bessere Wahl. im Gegensatz zu WSCC beinhaltet dieser nämlich die 32-Bit & 64-Bit Versionen der Tools. Beim WSCC muss man sich entscheiden. (Oder 2 Ordner anlegen) Außerdem gibt es noch das passende Language-Pack für den Launcher. So das alle Nirsoft-Tools in Deutsch sind.
Einziger Nachteil des Launchers: Keine Update-Funktion wie WSCC.
Aber bei knapp 10 MB für den Launcher (12 MB SysInternals Suite, +joeware free tools) spielt das wohl keine Rolle.
Also, meine MS SecurityEssentials sagen zu den aktualisierten Nirsoft Utils:
a) iepv.exe, pspv.exe und rdpv.exe > Win32/Passview (Mittel)
b) VNCPassView.exe > Win32/Passview.B (Mittel)
c) netpass.exe > Win32/Netpass (Mittel)
d) SniffPass.exe > Win32/Trafog!rts (HOCH!)
e) ProdKey.exe > Win32/Passview (Mittel)
Ist zumindest teilweise auch zu verstehen, bei dem, was die Tools können sollen. Oder sehe ich das falsch?
Gruß
@micha ja, ich benutze auch den NirLauncher. Ein AutoUpdate Feature würde mir auch sehr gefallen, aber das Paket wird so alle 1 bis 2 Wochen aktualisiert. Das langt mir vollends. Ein einheitlicher Paketname (ohne Versionsnummer) für den NirLauncher fände ich ja nett. Könnte ich immer mal ein „wget -N “ ausführen und es würde lokal aktualisiert werden, wenn es auf dem Server neuer ist.
@andreas Diese Warnungen sind schon korrekt und gehen in Ordnung. Diese Tools haben sich auf genau das spezialisiert und der AntiVirus erkennt sie als genau solche. So lange Du selbst weißt, was Du ziehst und es für dich ein wenig eingrenzen kannst, ist ja alles in Ordnung.
a) LeckerBonbons.exe > Win32/Passview.B (Mittel)
^^ fände ich suspekt 😉
Die meist illegalen Keygens irgendwelcher Groups zu kostenpflichten Anwendungen werden auch häufig als Virus/Trojaner/etc erkannt, haben aber meist nur verdächtigen Code. Online Scanner wie VirusTotal.com führen dazu meist auch eine Anmkerkung (Acts-like, Hacktool, Keygen, Not-A-Virus) etc. Vorsicht ist natürlich dennoch geboten. Einerseits illegal, andererseits eine gute Schleuder für echte Viren. 😉
Ich hatte zu den Virenscannern auch mal einen interessanten Artikel gelesen, für kleine Softwareschmieden ist es nahezu unmöglich von den Blacklists der Virenfirmen runter zu kommen. Interessanterweise werden bei den WSCC nur die Programme von Nirsoft als Bedrohung angesehen, während die Sysinternals Programme mit ähnlichen Funktionen von den Virenscannern zugelassen werden.
Coole Sache…
Ich habe in einem eigenen Blogeintrag vor einigen Wochen über Nirsoft (und weitere Anbieter) geschrieben: http://tronysblog.blogspot.com/2011/03/tools-tools-und-noch-mehr-tools.html
Mit Hilfe eines solchen Launchers ist man natürlich noch viel flexibler.
@maxito die SysInternals Tools tragen eine digitale Signatur von der Microsoft Corporation. Vermutlich daher nicht von Virenscannern betroffen. Die NirSoft Tools haben keine solche.
Die Nirsofttools sind meines Wissens alle mit upx gepackt. Vielleicht gibts deshalb viele Alarme.
Okay, mal mit VNCPassView rumgetestet.
Hier das Original:
http://www.virustotal.com/file-scan/report.html?id=ba5c4766fd2fbf9e0c76444f152b861b9977f1b23c963a9c8b8a6970c43bcde6-1303377586
Und hier die entpackte Variante (upx -d vncpassview.exe):
http://www.virustotal.com/file-scan/report.html?id=5a5c5f4283182c7138513eb68246da50cb8f7f0575467a687a0aad28b98cb577-1264631416
Der Unterschied dürfte gleich ins Auge fallen. Nir Sofer würde aber sicherlich dennoch besser abschneiden, würde er sich eine (nicht so günstige) digitale Signatur leisten. Speziell Win 64-Bit verhält sich dann an manchen Stellen freundlicher zur Anwendung.
Sehr schön zu sehen, sind auch die unterschiedlichen Klassifizierungen der einzelnen AV Engines. Tool, HackTool, Passview, etc..
@rene
hängt davon ab, wie scharf Du AntiVir eingestellt hast. Wenn unter „Gefahrenkategorien“ „Anwendungen“ und „Programme, die die Privatsphäre verletzen“, etc. aktiviert ist, kann es zu Fundmeldungen kommen. Dies liegt daran, dass einige der Programme (insbesondere von NirSoft) zweckentfremdet und für ‚böse Zwecke‘ genutzt werden können.
Norton Antivirus (Sonar) schlägt auch Alarm….