Druckversion des Themas

Geschrieben von: shad 11.05.2009, 18:29

Damit es im alten Thread nicht untergeht: wir haben nun Version 4.5 von a-squared Anti-Malware und Free veröffentlicht.

Hauptänderungen:
- Verbesserter Surfschutz (nur in der Anti-Malware)
- Prozent-Anzeige beim Scanner
- Verbesserter Fehlalarm-Filter
- Einige Bugfixes

Mehr Informationen: http://forum.emsisoft.com/default.aspx?g=posts&t=5227
Newletter und co folgen zeitnah.

Downloads entweder über das Programmupdate oder bei Neuinstallationen über die http://www.emsisoft.com - Feedback wie immer erwünscht

Geschrieben von: Anubis 11.05.2009, 18:44

Ich weiss ja nicht wie es bei anderen ist, aber früher konnte ich das Security Status Fenster problemlos schliessen. Entweder rechts Mausklick, schliessen, oder direkt per klick oben rechte Ecke ins Kreuz.

Jetzt funktioniert weder das eine noch das andere

Geschrieben von: Solution-Design 11.05.2009, 18:47

Irgendwie will das Update nicht. Stand zwar zwischenzeitlich was von wenigen kb/s Download, dann war das Ding fott und alles war auf neustem Stand.

Geschrieben von: Solution-Design 11.05.2009, 18:49

Das ist aber schon ewig her. Wächter beenden oder über die GUI. Du meinst doch das Icon im Systray, oder?

Geschrieben von: markus17 11.05.2009, 18:57

Wie funktioniert der bei euch?

Ich habe ja sonst die neue Version (free) bzw. zumindest die 4er über die Betaupdates schon länger. Kann mich nicht beschweren. Die Erkennungsleistung ist mittlerweile wirklich auf einem beachtlichen Niveau.

Geschrieben von: Solution-Design 11.05.2009, 19:03

Der Server ist scharchlangsam. Vielleicht sollte hier auch mal zwischen Free und Full unterschieden werden

Geschrieben von: Anar 11.05.2009, 19:03

Zitat aus dem Emsi Software Forum:

Es werden also evtl. enthaltene digitale Signaturen ausgewertet und Alarmmeldungen unter umständen unterdrückt, wenn das Zertifikat von einer vertrauenswürdigen Firma stammt. Damit dürften Firefox Fehlalarme der Vergangenheit angehören .

Bei mir ziehts mit Fullspeed. Aber ich denke mal es wird bei nem Rollout wie dem derzeitigen egal sein wieviele Server sie haben oder wie priorisiert wird. Es wird innerhalb der ersten 24h für alle langsam sein. Ist halt der Nachteil wenn man Upgrades via Online Update erlaubt statt von den Leuten zu verlangen neu zu installieren.

Geschrieben von: Julian 11.05.2009, 19:12

Im Changelog steht, dass nun auch Scripte jetzt On Execution gescant werden. Was ist, wenn ich über den Explorer eine PDF mit dem Adobe Reader öffne? Wird dann die PDF gescant, bevor sie vom Reader dargestellt wird?
Wenn nicht -> klares Manko.

Und wie sieht es aus, wenn über das Web Browser-Plug In eine PDF geöffnet wird (direkt in den Speicher gestreamt wird)? Wahrscheinlich On Execution blind?

Ich würde mir hier von a²-Entwicklern Antworten erbeten, die müssen es ja schließlich am besten wissen

Geschrieben von: Solution-Design 11.05.2009, 19:13

Ich habe mir gerade, da dass Update ja nicht funktioniert, die Version über die Homepage geladen. Also, irgendwas ist da faul.

Geschrieben von: markus17 11.05.2009, 19:15

Also ich habe A Squared Free 4.5.0.1 heute über das Update bekommen.

Geschrieben von: Anar 11.05.2009, 19:19

Wird nicht gemeldet.

Ja, weil die Dateien im Idealfall nicht mal auf der Platte landen. OnAccess wäre in dem Fall übrigens auch sinnlos. Einzig Scanner die den Netzwerkstream überwachen würden helfen. Allerdings produzieren die mehr Probleme als sie nutzen bringen.

Geschrieben von: Anar 11.05.2009, 19:28

Ok, ich nehm in Sachen Download Speed alles zurück. Die a-squared eigenen Updates waren fix. Aber die Ikarus Updates dauern ewig.

Geschrieben von: Julian 11.05.2009, 19:31

Wenn du das so sagst, nehme ich an, dass du es getestest hast. Falls dem so ist, dann ist das Ergebnis für a² besch...


So ist es.


Bei Gdata vielleicht, Eset und Kaspersky haben aber ganze Arbeit geleistet.

Geschrieben von: Solution-Design 11.05.2009, 19:35

Die Free betrachte ich jetzt nicht, sorry, Free interessiert mich aber auch nicht. Download der Software über zwei versch. Links der Homepage (der ging übrigens Fullspeed) und da steht zu lesen, was ich im ersten Screenshot gepostet habe. Nun, wo ist denn nu 4.5

@Julian
http://forum.emsisoft.com/default.aspx?g=posts&t=4979

Geschrieben von: Anar 11.05.2009, 19:41

Achso, ja. Habs getestet. von den PDF Exploits die ich so rumliegen habe, wurde keiner beim direkten Start gefunden. Der OnExecution Scan ist angesprungen sobald die heruntergeladene Malware gestartet werden sollte und auch das Malware IDS hat fröhlich gepiepst. Der PDF Exploit an sich, blieb aber unbemerkt.

Da frag ich mich aber für was Eset und Kaspersky (und alle anderen ) dann die Kompatibilitätssettings und Ausnahmelisten, um Anwendungen von den Stream Scans auszuschließen, haben, wenn sie doch so unproblematisch sind . Auch empfehle ich mal nach Update Problemen zu Googlen und zu vergleichen wieviele Leute mit undefinierbaren Updateproblemen jeder Art WebScanner und Filter laufen haben. Da gibts eine statistisch nicht unrelevante Häufung . Interessant dann auch zu sehen wie diese Probleme dann plötzlich verschwinden, sobald man die "WebShields", "HTTP Scanner" oder wie sie auch immer heißen mögen dann abdreht.

Geschrieben von: Julian 11.05.2009, 19:53

Standardmäßig ist bei Kaspersky fast gar nichts ausgeschlossen


Es gibt bei AV-Usern auch eine statistische Problemhäufung mit AVs... du verstehst

Glaub mir, wenn du zehn Leuten Kaspersky Web-AV installierst, werden nur sehr wenige sich an dich mit Problemen damit wenden. Es kann also auch funktionieren.

Geschrieben von: Aasblume 11.05.2009, 19:59

Also weder über das autom., noch über ein manu. angestoßenes update tut sich was in Richtung 4.5

[attachment=4786:Aufzeichnen2.JPG]

Wenn aber auf der homepage das angeboten wird

[attachment=4787:Aufzeichnen1.JPG]

ist es schade wenn der dann aktuelle (manuelle) download so datiert wird

[attachment=4788:Aufzeichnen.JPG]

Gruß, Aasblume

Geschrieben von: Anar 11.05.2009, 20:03

Ich denke mal da haben wir unterschiedliche Erfahrungen gemacht. Ich halt Stream Scanning weiterhin für nicht trivial und problembehaftet auf Grund meiner Erfahrungen mit der Technologie. Wenn es für Dich funktioniert, mag ichs aber gar nicht schlecht reden. Ob das Ganze bei "modernen" Browsern wie Chrome oder dem IE nützlich ist, ist natürlich die andere Frage.

[EDIT: Wenn sich bei 10 Leuten auch nur einer meldet, der Probleme hat wären das 10% der Installationen und absolut inakzeptabel ]

Geschrieben von: Solution-Design 11.05.2009, 20:16

Also... Datei von der Homepage geladen, Updates wollten nicht. Jetzt trudelt es über AutuUpdate ein. laaangsam aber ... na ja.. Habe dann mal auf das Blitz-Systray-Icon einen Doppelklick gewagt

Nanü?

Geschrieben von: Solution-Design 12.05.2009, 05:13

Nach vielen Stunden hat es funktioniert. Was für Server... Das erste was auffällt, ist die Funktionalität mit dem Windows-SicherheitsCenter

Geschrieben von: Alexander Robrecht 12.05.2009, 10:57

Hallo ihr,

ich liebe dieses programm sehr nun habe ich eine Frage bezüglich der integration ins sicherheitscenter in vista bei mir taucht das nicht auf gibt es da was ich noch wissen solte um das anzuzeigen lassen benutze noch weitere schutzprogramme wie antivir free avast avg spybot

Geschrieben von: markus17 12.05.2009, 11:17

Ich schätze mal, dass es nur dort auftaucht, wenn du A-Squared kaufst, also ein On-Access Schutz vorhanden ist.

Geschrieben von: Alexander Robrecht 12.05.2009, 11:47

achso vielen dank

wie sieht es eigentlich damit aus wurden diese schon behebt

http://forum.emsisoft.com/Default.aspx?g=posts&t=5218

Geschrieben von: Olaf101 12.05.2009, 14:50

In dem von dir verlinkten Thread wurdest du gebeten, einen neuen Scan nach einem Online-Update durchzuführen. Mach das mal, dann wirst du herausfinden ob die FPs behoben wurden.

Geschrieben von: Solution-Design 12.05.2009, 16:44

Das PopUp-Window für böse Seiten über dem Systray ist nun konfigurierbar, nur verschwindet es bei Nichtstun wieder (außer man hat es standardmäßig eingestellt) nach zuvor konfigurierter Zeit. Frage, erscheint diese Abfrage bei Aufruf der selben Seite erneut, so dass es erneut eingestellt werden kann? Normalerweise ja, nur vermisste ich eben diese Möglichkeit, nach erneutem Aufruf des Browsers mit x Tabs.

PS: Mir scheint, die GUI ist was flotter geworden, oder täusche ich mich?

Geschrieben von: emsi 12.05.2009, 17:02

Der Surf-Schutz Alarm erscheint nur einmal pro Programm Session, jedoch immer wieder für die gleichen Hosts, es sei denn, man klickt einmal auf "Immer erlauben" oder "Immer blockieren".

Geschrieben von: Solution-Design 12.05.2009, 18:30

Ich nehme an, dieses PopUp-Fenster fällt unter "Alarm PopUps", richtig?

Und noch was, wenn ich den Scrollbalken anklicke, nach oben/unten bewege... Ergebnis siehe Screenshot:

http://pic.leech.it/pic.php?id=476b455a21.png

Geschrieben von: Solution-Design 12.05.2009, 19:59

@emsi

Den Thread "Ein paar Wünsche (vielleicht für Version 5) und einige Fehler" in deinem Forum kannst ja nun löschen. Ihr habt ja irgendwie mit 4.5 alles umgesetzt. Ein paar Tests mit echter Malware haben mich nun vollends überzeugt! Was das ein oder andere AV zu den Tests gesagt hat verkneife ich mir jetzt lieber

Geschrieben von: ube 12.05.2009, 23:37

Anti Malware 4.5 gefaellt mir bisher sehr gut. :-)

Verbesserungsbeduerftig: Nach wie vor hohe CPU Auslastung bei on demand scan, dem Tray Symbol koennte etwas Kosmetik nicht schaden.

Darueber hinaus haette ich einige Feature Wuensche fuer HiJackFree und fuer Anti Malware 5.0 ff .

Geschrieben von: Nightwatch 12.05.2009, 23:48

Hi

Hmm..so ganz euphorisch sehe ich das Ganze nicht. Ich setze A-Squared Anti-Malware auch ein, aber mir fehlen ehrlich gesagt ein paar Punkte. Gegen Exploits, Code-Injektion und beim Selbstschutz sieht das Programm nämlich nicht so toll aus, wie ich mir das vorstellen würde. Hinzu kommt, dass ich persönlich "Community based-Regeln" für durchaus problematisch halte. Wenn ich mir mal so mein Umfeld anschaue, erlauben die alles, was nicht bei drei auf dem Baum ist. Ob ich nun darin vertrauen soll?

Des Weiteren gibt es nach wie vor Probleme bei der Umstellung auf andere Benutzerkonten. Hier lässt sich A-Squared oftmals schlecht einstellen, erscheint nicht im Tray oder hält vordefinierte Regelsätze nicht ein. Zusätzlich die ganzen FP´s und die Probleme beim Update.

Mein Fazit: Es könnte einiges noch besser sein!

EDIT: Trotz der genannten Kritikpunkte (und das möchte ich nochmal verdeutlichen), halte ich das Programm insgesamt aber für gelungen. Deswegen läuft es bei mir auch noch

EDIT 2: Fehlermeldung vom Security Center (auch nach mehreren Neustarts unter Vista32/SP1)
http://www.abload.de/image.php?img=asfehlerooee.jpg


Gruß,
Nightwatch

Geschrieben von: Solution-Design 13.05.2009, 05:49

Die Community basierte Alarm-Reduktion kann man durchaus für eine Schwachstelle halten. Hier hilft nichts, außer auch irgendwann eine Whitelist. Wenn > 90 % der User einer Malware erlauben diese zu installieren, war es das natürlich. So weit ich mich erinnere, gab es schon mal einen Abwatsch einer Fachzeitschrift deswegen. Im Prinzip ist es richtig, was du sagst. Community basierte Alarm-Reduktion ist genauso ein Unsinn wie G-Datas Fingerprinting.

Das SicherheitsCenter ist bei mir ruhig, da gibt es nun mehr keine Probleme. Und auch die Updates scheinen zu funktionieren.

http://pic.leech.it/pic.php?id=b68289915ca2.png

Dass das Programm noch verbesserungswürdigist, kein Thema. Aber es handelt sich ja auch nur um ein paar BugFixes in einer 4.x und keine neue Version. Symantec hat ja auch erst mit Version 16.5 eine Suite in Version 2009 herausgebracht, bei der ich von "endlich wirklich gut" spreche. Zu FPs, Wenn ich keine FPs haben möchte, mir diese aus bestimmten Gründen nicht leisten mag oder kann, dann nutze ich die gelbe Software und nichts anderes.

Geschrieben von: emsi 13.05.2009, 06:52

Vielen Dank für das Feedback!

Die Kritik an der Communitybasierten Alarmreduktion halte ich jedoch für übertrieben. Wie einst c't meinte: "Wenn bei Firefox schon mehr als 10% der Leute stop sagen, wie vertrauenswürdig sind diese Entscheidungen dann erst bei echter Malware?"

Die Community Entscheidungen kommen fast ausschließlich bei guter Software zum Einsatz, da nur ganz selten Malware (identes Binary) so stark verbreitet ist, dass die Entscheidungen der Community überhaupt die kritische Masse erreichen, um als Vorschlag in der Software anzukommen. Insofern darf dieses Feature so gut wie ausschließlich als Fehlalarmfilter verstanden werden. Auf mehrere Tausend eindeutig als gut bewertete Programme kommt nur ein Programm, das eindeutig als Malware eingestuft wird.

Dh. die eigentliche Frage der c't hätte lauten müssen: "Wie viele Nutzer würden bei echter Malware konkret falsch entscheiden und die Software weiter laufen lassen?"

Nunja, wenn ich ein unbekanntes neues Programm aus dem Internet lade und dieses als schädlich gemeldet wird (ohne Community Vorschlag), werde ich wohl kaum blind auf "Immer erlauben" klicken, oder? Ein 90% positiv Ergebnis wird hier defacto nie erreicht werden.

Geschrieben von: Solution-Design 13.05.2009, 08:42

Danke für dein Input, emsi. Es scheint so wirklich eher unwahrscheinlich zu sein, dass die Community-Regelung missbraucht wird. Im Prinzip handelt es sich dadurch ja schon um eine Art Whitelisting. Und selbst wenn eine Regel erstellt wird, so sollte maliciouses Verhalten durch den Verhaltensblocker weiterhin erkannt werden. Dennoch eine Frage dazu, wird es eines Tages, ähnlich wie bei Symantec, eine Auswahl geben zwischen: Communitybasierter Alarmreduktion und "nur von Emsisoft geprüfte Freigaben"? Besser gesagt, bei Symantec werden die noch unbekannten Dateien/Programme ja irgendwann geprüft und der Whitelist hinzugefügt, was dem Gefühl nach etwas beruhigender klingt. Oder ist das aufgrund des Aufwandes erstmal nicht angedacht?

Zum Programm selbst, ich verfalle noch nicht in Euphorie, aber es ist verdammt gefällig, was ich da sehe. Zumindest stellt mich das, was hier an Arbeitsgeschwindigkeit geboten wird (klar, bedingt durch OnExecution) sehr zufrieden und der Wechsel zu einem immer behäbiger werdenden OnAccess-Programm kommt immer weniger in Frage.

Vorschläge zur Verbesser-/Änderungen (zum Beispiel Quarantäne-Protokolle) wird es immer geben. Auch der OnDemand-Scan könnte sicherlich etwas beschleunigt werden. Wobei auch hier, durch Regeln (ausklammern von Doppelscan des Windowsverzeichnisses z.B., oder Archiven) reichlich Speed herausgeholt werden kann.

Geschrieben von: emsi 13.05.2009, 09:26

Eine interne Whitelist gibt es doch schon längst. Diese ist immer aktiv, auch wenn die Community abgeschalten wird.

Geschrieben von: Nightwatch 13.05.2009, 12:29

Hi

Ich habe mal ein paar Punkte zusammengefasst, die ich mir für die Version 5 wünschen würde:

1.) Passwortschutz für Einstellungen
2.) Überarbeitung der Einstellungen für unterschiedliche Benutzerkonten (hier funktionieren die Restrikitionen nicht immer)
3.) Verbesserte GUI (Z.B. Scan-Optionen in Main-GUI integrieren und kein zweites Fenster öffnen. Dadurch geht alles viel flotter)
4.) Verbesserungen am Selbstschutz
5.) Surf-Schutz ausweiten (vlt. über ein HTTP-Scanner-Modul, wenn es beim reinen on-execution-Scanner bleiben sollte)
6.) Neues Tray-Icon ( )
7.) Windows-Eröffnungsbildschirm von A-Squared beim Systemstart
8.) Verbesserung von Mamutu (Speziell: Überwachung und Erkennung von Code-Injektionen und Prozess-Manipulationen)
9.) Beschleunigung der On-Demand-Scan-Zeit
10.) Früheres Einschreiten bei suspekten Aktivitäten (manchmal lässt sich eine Malware erst komplett installieren, bevor das IDS anschlägt. Zwar wird die Applikation anschließend geblockt und kann nicht mehr reagieren, aber dennoch befinden sich die Strukturen auf dem PC)
11.) Weniger FP´s

Was denkt ihr?

Gruß,
Nightwatch

Geschrieben von: Anar 13.05.2009, 13:45

Find ich bei a-squared sinnbefreit. Finde das System das a-squared benutzt eigentlich das Optimum und andere Softwarehersteller sollten es ruhig kopieren. Wenn ich nicht will das ein Benutzer an den Settings rumfummelt, verbiet ich es ihm einfach statt irgendwelche extra Kennwörter zu verteilen. Da das Malware IDS ausserdem noch lustig Meldungen wirft, wenn man versucht die GUI Fernzusteuern über Auto IT und Co. seh ich da kein Problem, zumal die Settings per Default allesamt verschlüsselt sind.

Meine Windows Installationen sind Teil meiner SAMBA Domäne. Vielleicht hab ich deshalb keine Probleme. Aber denke mal die Leute von Emsi freuen sich über jeden Bugreport.

Stimmt allerdings. Das nervt mich auch.

Bitte keinen Streamscanner. Die sind auf Grund der verwendeten Technik fast immer Problembehaftet. Dazu seh ich bei Browsern mit modernen Sicherheitskonzepten (sprich: IE8 und Chrome) keinerlei Sinn darin Netzwerkstreams zu scannen. Wenn überhaupt sollte man über eine generische Buffer Overflow Protection nachdenken. Das wäre der generische Ansatz den ich mir von einem generischen Tool wünschen würde.

Wenn dann aber abschaltbar.

Bei mir ist das der Fall?

Ich weiß nicht ob das so in der Form möglich ist ohne zusätzliche Fehlalarme. Weil prinzipiell ist eine klassiche Installation ja nichts Verdächtiges. Aber evtl. wäre eine Rollback Funktion sinnvoll um Änderungen die von einer Anwendung durchgeführt wurden wieder rückgängig zu machen. Dadurch hättest Du den selben Effekt: Installierte "Strukturen", wie Du sie nennst, werden entfernt ohne Gefahr zu laufen, das durch die aggressivere Erkennung zusätzliche Fehlalarme entstehen.

Ansonsten steht auf meiner Wunschliste x64 Support.

Geschrieben von: Nightwatch 13.05.2009, 13:57

Hi
Und wie machst Du das konkret? Durch eingeschränkte Benutzerrechte? Damit hat a-squared allerdings Probleme. Und ich persönlich mag kein Gast-Konto auf meinem PC. Auch das hat Lücken. Von daher wäre eine Passwortvergabe für den Einstellungsschutz die optimale Lösung: einfach zu implementieren und einfach zu bedienen.


Ich dachte eher so in die Richtung Exploit-Schutz. Einem User bringt es nichts, wenn eine Anwendung zuerst exploited wird, bevor ein IDS einschreitet. Das geht mir alles zu sehr in die Richtung: "Auf dem System laufen zwar sämtliche Malware-Applikationen, aber die dürfen ja nichts machen". Das ist definitiv keine adäquate Lösung für den Endandwender und ein durchaus gefährlicher und systemkritischer Zustand.

Daher auch:



Die Rollback-Funktionn ist eine sehr gute Idee

Hach, irgendwie mag ich mich nach wie vor mit dem reinen On-Execution-Konzept nicht anfreunden .

Gruß,
Nightwatch

Geschrieben von: Krond 13.05.2009, 16:09

Bitte nicht, ist wieder mit Arbeit behaftet, bis man den wieder weg hat....ist doch nur unnötig.

x-tens: 64bit Unterstützung, wäre stark von Vorteil....und ist wichtiger, als so ein schnuddeliger Startschirm.

Geschrieben von: Julian 13.05.2009, 17:52

Gestern ging auf irgendeiner Seite (war glaub Bayrischer Rundfunk) ein Audio-Stream mit der neusten Kaspersky-Beta nicht.
Das war nur die Ausnahme, die die Regel bestätigt


Ich würde die Quote von Kaspersky durchschnittlich bei 20% einschätzen, also eigentlich ziemlich schlecht. Im Kern stimme ich dir doch zu, es gibt sinnvollere Möglichkeiten, vor Exploits zu schützen, nur ist man leider auf breitem Felde noch nicht so weit

Geschrieben von: Solution-Design 13.05.2009, 18:32

Stimmt. Aber dahingehend ist es schwierig. Die GUI ist auf der einen Seite ganz gut, nur das mit dem 2. Scanfenster ist blöde. Aber dafür startet es schon mal schneller.



Sehe ich jetzt kein Problem



http-Scanner sind wie Email- und Archiv-Scanner. Nett, aber nicht notwendig. Der einzige http-Scanner welcher mir gefällt, ist der von Symantec mit seinen Zusatz-Sigs. Aber über http Malware oder gar Archive scannen, wie es einige Boliden tun. Nö.



Ja, ok.



Wo ist da ein Problem?



Ja, das wäre was. Aber sicherlich nicht einfach.



Tja, Malware, welche du ansprichst, wird sowieso vom Nutzer installiert. Und da ist es schwer, diese wieder loszuwerden. Vor allem, wenn es keine Deinstallationsroutine gibt. AntiBot schafft es, der ganze Pfad inkl. Registry wird bereinigt. Bei a-squared sind es Trace-Directorys und Registry-Einträge die durch die Malware angelegt werden. Bleibt somit immer was übrig. Rollback… Da müsste ja selbst eine zig Megabyte große Installation geprüft werden. Nur wegen 70 MB Spyware oder Rogueware? Nicht ganz einfach.



FPs sind massiv zurück gegangen. Ärgerlich ist nur, wenn sie mal weg waren und dann wieder auftauchen.

Ich hätte da noch was:

12.) Quarantäne. Wenn ich als Nutzer eine Datei zur Quarantäne hinzufüge, möchte ich gerne wissen, ob sie wirklich Malware ist. Dies sollte in der Quarantäne angezeigt werden. Nicht erst durch eMail von Ikarus. Im Moment dient die Quarantäne nur 1. dem Einsenden von Dateien und 2. Falls eine Datei hinzugefügt wurde, bei FP der Wiederherstellung.

13.) Wieder Quarantäne. Wenn ich eine gefundene Malware dahin verschiebe, diese anschließend einsende, scheint das mit Email-Adresse zu funktionieren. Im Ergebnisfenster sah ich das bisher nicht (hab es aber noch nicht mit der neuen Version getestet, zugeb). Wenn dem noch nicht so ist... Wird der einegsandte vermeintliche FP einer Email-Adresse zugeordnet?

Geschrieben von: Julian 13.05.2009, 18:47

Guck doch, wie viele CLT- oder SSTS-Leaktests es im Paranoid-Modus verfehlt. Alles potenzielle Möglichkeiten, sich vorbeizumogeln oder a² zu killen, wovor auch ein Verhaltensblocker relativ gefeit sein sollte

Geschrieben von: Solution-Design 13.05.2009, 18:55

Leaktest. Mein Lieblingsthema zur Beurteilung eines AVs, eines Behaviorblockers.

Passt das hier zu http://www.rokop-security.de/index.php?s=&showtopic=16251&view=findpost&p=273971

Geschrieben von: Julian 13.05.2009, 19:03

Trotzdem bleibt es eine Lücke, durch die Malware an a² vorbeischlüpfen kann. Oder weshalb darf a² einen Trojaner übersehen, der Prozess X mit Methode Y verändert, aber einen Trojaner melden, der Prozess X mit Methode Z verändert, welche a² ausgerechnet kennt?

Geschrieben von: Nightwatch 13.05.2009, 19:18

Hi Solution !

Das Problem ist doch folgendes:

Variante A : unbekannte Malware
Ich surfe im Internet und lade mir versehentlich eine schädliche Installationsdatei heruntern. Dann führe ich die aus und die Malware installiert sich erstmal munter im System. Dann kommt das Malware-IDS und sagt: "Hey. Das sieht mir nicht gut aus. Wollen wir das blocken?". Na klar, denke ich und das Teil wird geblockt, ist aber bereits FEST im System verankert.
A-Squared blockt bei einigen Applikationen erst nach deren vollständiger Installation. Und das sehe ich persönlich als großen Risikofaktor an.

Variante B: Exploit
Ich surfe im Internet und fange mir einen PDF-Exploit ein. Was passiert? Richtig, es passiert nichts. Die Anwendung wird exploited und dann kommt das IDS: "Veränderte Anwendung etc. etc.". Viel zu spät.

In beiden Varianten ist das System/die Applikation bereits infiziert, bevor überhaupt eine Meldung herausgegeben wird. Das ist wirklich nicht schön, wie will ein User das nachträglich reparieren ?

Bei einem on-access-Scanner besteht die Möglichkeit, dass ein User bereits vor der Ausführung gewarnt wird, so dass Rollbacks und Deinstallationsroutinen überflüssig werden. Gerade in Zeiten der großen Exploit-Wellen (und das wird auch die "Zukunft" sein), ist ein on-execution-Scanner recht machtlos.
Daher wäre ein Fein-Tuning im IDS gar nicht so schlecht. Also nicht erst reagieren, wenn´s zu spät ist, sondern früher. Du hast das Dilemma ja hier schon einmal beschrieben:


http://www.rokop-security.de/index.php?s=&showtopic=11768&view=findpost&p=273826


Zum Selbstschutz & Malware-IDS:
Code-Injektionen werden nicht immer sorgfältig erkannt. Ich kann mich daran erinnern, dass ich am Anfang des Jahres zwei Samples hatte, deren Prozessmanipulationen nicht entdeckt worden sind. Außerdem injizierte ein Dropper in die csrss.dll...keine Reaktion. Das Sample gab´s hier im Dezember. Bei einem weiteren Virut-Sample war a-squared nicht mehr lauffähig. Daher mein Wunsch, ob man sich das nicht noch einmal genauer ansehen kann

Die Problematik eines on-execution-Scanners liegt ja nicht an Emsisoft, sondern in der Natur der Sache. Mamutu ist stark, aber es gibt auch hier noch ne Menge Potenzial nach oben.

Gruß,
Nightwatch

Geschrieben von: maxos 13.05.2009, 19:18

Verwende ja die Bezahlversion u. da wird mir gegenwärtig vom Wächter über die Host Regeln

http://www.winfuture.de/

mal generell gesperrt.

Muss es über eine eigene Regel erlauben.

Mmh.... ist doch irgendwie eine Übertreibung od. was soll man davon halten ?

Geschrieben von: Aasblume 13.05.2009, 19:29

Selbst "no-name-av-free-programme" kriegen das mit dem Sicherheitscenter hin. Schön, wenn es mittlerweile angezeigt wird...aber wenn weder Neustart noch "Jetzt einschalten" das Problem lösen. Witzigerweise war es nach einen update mal kurz weg (also Sicherheitscenter war "grün"), kam aber dann nach dem nächsten Neustart wieder nicht in die Gänge. Irgendwie fragt man sich dann schon... Wie im Arbeitszeugnis: "Es hat sich stets bemüht..."

[attachment=4791:Aufzeichnen.JPG]

Gruß, Aasblume

Geschrieben von: teddy247 13.05.2009, 19:39

wie sagte doch hier mal ein user:"selbst die dämlichste roguesoftware bekommt das hin sich ins sicherheitscenter einzutragen"

Geschrieben von: Solution-Design 13.05.2009, 19:56

Wenn unbekannte Malware geladen und vom Behaviorblocker gestoppt wird, dann ist die Welt erst mal in Ordnung. Sonar macht da auch nichts anderes. Da bleibt auch Müll auf der Platte und die Malware selbst landet in der Quarantäne. Allerdings automatisch, ohne dass der Nutzer was tun muss.

Bei Exploits ist das wirklich ein kleines Problem. Der Behaviorblocker wird nur seine Regeln beachten und die Malware dementsprechend behandeln. Ein anschließender OnDemand-Scan bringt zwar Licht ins Dunkle und dürfte die Malware weitestgehend beseitigen, aber sie landet erst einmal auf dem PC. Eine Schädigung des Systems ist dennoch nicht zu erwarten. Ist eben nur unschön für Menschen, die Malware grundsätzlich nicht auf ihrem PC haben wollen. OK, hier liegen 3 GB Malware auf dem (auweia... Arbeits-PC)... Aber solange ich da nicht wild alle Files anklicke Wichtiger als sich auf den Exploit-Schutz eines AVs zu verlassen, ist es die Anwendung auf Stand zu halten, oder am eigenen Verhalten zu arbeiten. Im Falle WMF-Exploit gab es auch nur (zuerst) Symantec, die etwas erkannten. Einige PC starben, weil es zu diesem Zeitpunkt kaum Verhaltensblocker gab, das AV blind war.



Ja, sind sicher böse Jungs Darf aber nicht sein, ist ja wie ein FP beim Office.



Mhmm... Da scheint aber generell was nicht zu stimmen.

http://pic.leech.it/pic.php?id=6852d04a2sicherhe.png

Geschrieben von: Solution-Design 13.05.2009, 19:58

Das war ich

Geschrieben von: teddy247 13.05.2009, 20:01

AHA!!!! ich hab ihn gefunden, ihr könnt die fahndung abbrechen..

Geschrieben von: Solution-Design 13.05.2009, 20:20

Hier mal ein Spiel: Böse in PDF umgewandelt

http://pic.leech.it/pic.php?id=660042ca2malware.png

Also, ich fühle mich jetzt nicht unbedingt unsicherer als mit AVs, welche die PDF onAccess erkennen, oder nicht erkennen.

Geschrieben von: Julian 13.05.2009, 20:23

Ist die PDF eine PE-Datei? Wenn ja, scant a² vielleicht den Header und stellt dann fest, dass es ein Programm ist, was überprüft wird.

Geschrieben von: Nightwatch 13.05.2009, 20:23

Danke für den Test!
Was hast Du da jetzt genau gemacht? Einen PDF-Exploit injiziert, oder eine schädliche PDF-Datei (Malware-Sample) versucht auszuführen?

Gruß,
Nightwatch

Geschrieben von: Solution-Design 13.05.2009, 20:36

Noch blöder... Trojaner heruntergeladen, diesen umbenannt in *.pdf und doppelt geklickt. Wenn ich "zulasse", startet der dementsprechend zugewiesene pdf-Viewer, welcher natürlich entweder eine Fehlermeldung hervorbringt, oder ein leeres Blatt. Weil, ist ja keine pdf.

Wenn a-squared den Header jeder Datei scannt, dann macht es ja keinen Sinn, das wirkliche pdf-Exploits nicht erkannt werden. OK, suche ich mal nach einem wirklichen Exploit.

Geschrieben von: Solution-Design 13.05.2009, 20:49

So, kurz gesucht und gefunden, einen echten Exploit:

http://pic.leech.it/pic.php?id=ee155a89a2exploit.png


http://www.virustotal.com/de/analisis/3fb7e2a5e91e286796af4adf5416328e

Geschrieben von: Julian 13.05.2009, 20:51

Danke, Uwe

Mich wundert, dass Emsi nicht schon früher die Falschaussage, die hier im Raum schwebte, korrigiert hat. Da sollte das Unternehmen doch eigentlich Interesse dran haben.

Geschrieben von: Solution-Design 13.05.2009, 20:55

Nun, so ganz falsch ist die Aussage ja nicht http://forum.emsisoft.com/Default.aspx?g=posts&t=4979

Wenn der Exploit nicht über den OnExecution-Scan erkannt wird, ist es genaus so wie emsi in seinem Forum beschrieben hat.

Geschrieben von: Nightwatch 13.05.2009, 20:59

Genau darauf bezog ich meine Ausführungen zur Exploit-Thematik auch.

Naja, ich denke das Thema ist durch. Die Fehlermeldung im Security Center (Schutz vor Spyware inaktiv) habe ich leider noch. Sonst läuft es aber rund. Die Alarm-Pop-Ups sind auch im "Paranoid Modus" deutlich weniger geworden

Gruß,
Nightwatch

Geschrieben von: Anar 13.05.2009, 22:27

Ok, ich muss meine Beobachtung etwas korrigieren: Wenn ein Dokument (PDF oder was auch immer) via Doppelklick geöffnet wird, wird es gescannt. Falls ein Dokument aber über die Öffnen Funktion innerhalb der entsprechenden Anwendung geöffnet wird (File, Open), bleibt es ungescannt.

Für den Hausgebrauch ist aber wahrscheinlich nur die "Doppelklick" Methode relevant.

Geschrieben von: Nightwatch 13.05.2009, 22:29

Huch. Das dürfte eigentlich nicht sein, denn in beiden Fällen wird die Datei ausgeführt.
Es sei denn, es gibt definierte Ausschlüsse

Vielleicht kann ja @emsi was dazu sagen?

EDIT: Ich hab´s grad mal mit eicar gegengetestet. Hier ist es egal, auf welchem Weg ich die Datei ausführe...sie wird immer erkannt.

Gruß,
Nightwatch

Geschrieben von: Anar 13.05.2009, 22:56

eicar.com wird beim Versuch es zu starten erkannt. Versuche ich dagegen in Notepad eicar.com über Datei, Öffnen zu öffnen, ist das problemlos möglich. Das selbe bei PDFs und Acrobat Reader statt Notepad.

Geschrieben von: Nightwatch 13.05.2009, 22:57

Jetzt wird es spannend.

Wenn ich eine JPG-Datei (BSI-Exploit-Testfile) doppelklicke, erscheint folgendes Bild:
http://www.abload.de/image.php?img=exploitiicvc8.jpg

In diesem Fall patzt a-squared.

Rechtsklicke ich nun auf die Datei und öffne sie über den entsprechenden Reiter sagt a-squared plötzlich:

http://www.abload.de/image.php?img=exploit3vw5.jpg

EDIT: Voreiligkeit editiert.


Gruß,
Nightwatch

Geschrieben von: Anar 13.05.2009, 23:01

Dein Test ist identisch mit meinem. Die Vorschau ist kein eigener Prozess, sondern wird im Explorer geöffnet (vergleichbar mit einem Datei, Öffnen innerhalb einer Anwendung). Scheint als würden nur Dateien gescannt, die beim Aufruf einer Anwendung angezeigt werden sollen. Alles andere würde auch einem OnAccess Scan entsprechen.

Geschrieben von: Nightwatch 13.05.2009, 23:08

Ja. Das wäre zumindest eine Erklärung. Jetzt frage ich mich nur, ob Malware immer andere Applikationen aufrufen muss, um eigene Aktionen durchzuführen ? Ich denke nicht. Nur muss sie da trotzdem irgendwann auf User- und Kernel-Ebene an den ganzen Hooks vorbei, was a-squared dann wiederum entdecken müsste.
Wenn die Vorschau innerhalb eines Prozesses abläuft (in dem Fall innerhalb einer Anwendung), könnte sie doch trotzdem injiziert werden. Das müsste das IDS dann aber auch differenzieren können. Nur wie läuft das genau ab...ich meine die Trennung. Über Hash-Werte, Prozess-ID´s, Signaturen?

Mache ich grad Denkfehler ?

EDIT: Oder bezieht sich das nur auf Bild-Dateien? Dann wäre es ja nachvollziehbar und mein obiger Absatz komplett falsch.

Gruß,
Nightwatch

Geschrieben von: Anar 13.05.2009, 23:16

Prinzipiell sollte es erkannt werden wenn in einem Prozess ein Exploit aktiv wird, der dann versucht etwas böses anzustellen. Wahrscheinlich wird man aber nur schwer differenzieren können was der Verursacher der schädlichen Aktion war und man wird halt den kompletten Prozess präsentiert bekommen.

Generell wird mir jetzt die Formulierung der Patchnotes klar. Offensichtlich werden beim Programmstart jetzt auch die innerhalb der Parameter übergebenen Dateien gescannt. Script Interpreter (VBS, Batch, Python, usw. usf.) bekommen die Dateinamen der auszuführenden Scripts im Normalfall als Parameter übergeben. Das sorgt dafür, daß Scripts jetzt vor der Ausführung ebenfalls gescannt werden. Das PDFs (oder generell alle Dokumente) gescannt werden, wenn man versucht sie mit ihrer verknüpften Anwendung zu öffnen ist ein (angenehmer) Nebeneffekt, aber wahrscheinlich nicht der Hauptgrund für diese Umstellung.

Geschrieben von: Nightwatch 13.05.2009, 23:19

@Anar
Klasse! Das ist doch mal eine Aufklärung. Danke Dir!

Gruß,
Nightwatch

Geschrieben von: Solution-Design 14.05.2009, 08:05

Und schon ist Nightwatch wieder beunruhigt, weil er ja doch Recht hat, weil Exploits nicht in jedem Falle geprüft werden und Schadcode auf den PC gelangt um dann erst über den Behaviorblocker gestoppt zu werden. OnExecution eben. Aber Anar hat sehr schön erklärt, was sich durch die neue Version geändert hat. Bei meinen pdf-Tests mit Version 4.0 gab es diese Exploit-Erkennung bei Doppelklick nämlich nicht.

Geschrieben von: emsi 14.05.2009, 12:29

Bei onExecution Scan ist es so, wie Anar beschrieben hat. Wird einem Programm beim Start ein Parameter mitgegeben, der einen Pfad zu einer Datei enthält, wird diese auch gescannt. Das ist der einfachste Weg, um VBS und andere Scripts am Start zu hindern, da diese keine eigenständigen Programme sind, sondern von Interpretern ausgeführt werden.

Geschrieben von: Nightwatch 14.05.2009, 12:39

Danke auch Dir für die Bestätigung


Gruß,
Nightwatch

Geschrieben von: Solution-Design 15.05.2009, 05:57

xx.) http://forum.emsisoft.com/default.aspx?g=posts&t=5064 Das Problem taucht nämlich immer wieder mal auf, dass das Blinkiding nicht mehr aufhört zu blinken. Ein manuelles Update ist dann nicht möglich, weil gemeldet wird, dass das autom. ja gerade läuft (wie lange denn? Noch ein paar Tage?)

xx.) Das autom. Update, auch wenn es bei diesem Rechner läuft, sollte endlich die Online-Verbindung prüfen
xx.) http://forum.emsisoft.com/default.aspx?g=posts&t=5148 Denke, das gibt es auch noch nicht, auch wenn man sich mit Hijack Free weiterhelfen kann.

Wünsch dir was. Gab es da nicht mal so eine Sendung?

Geschrieben von: maxos 15.05.2009, 11:29

zu 1) Ja, dafür wäre ich auch bzw. update bei Etablierung einer Internetverbindung.
Gestern abends 30 Minuten nur online gewesen u. automat. update auf 1 Stunde eingestellt u. obwohl letztes update vom 13.05.09 20 Uhr 12 war so kam am 14.05.09 zwischen 19 Uhr 50 u. 20 Uhr 23 kein automatisches update rein.

zu 2) Habe den Titel in Zusammenhang mit einer ehemaligen TV Sendung schon gehört, aber mehr schon nicht.

Ist halt schon eine Generationenfrage, u. die Mehrheit wird damit gar nichts mehr anfangen können.

Geschrieben von: Nightwatch 15.05.2009, 11:33

Hi!

Hier mal ein konkretes Beispiel, was ich meine:

1.) Ich führe eine unbekannte Malware-Applikation aus, für die es noch keine Signaturen gibt.
Das Programm installiert sich vollständig ins System mit mehreren DLL´s, Registrierungseinträgen und Verknüpfungen:
http://www.abload.de/image.php?img=asquarediix6gl.jpg

2.) Jetzt will ich das Programm konkret starten und a-squared meldet sich im Paranoid-Modus:
http://www.abload.de/image.php?img=asquaredig0gq.jpg

Wenn das Programm einen verdächtigen Aufbau hat (was ja in der Tat auch stimmt), warum wird dann nicht schon vor oder während der Installation gewarnt?

Wenn eine Malware-Datei auf meinem PC rumliegt, ist das für mich nicht so schlimm. Wenn sie sich aber vorher komplett installiert, ist das doch sehr unschön.

Gruß,
Nightwatch

Geschrieben von: Solution-Design 15.05.2009, 12:16

Das Problem haben aber fast alle HIPSen oder besser Behaviorblocker. Sie können nicht hellsehen. AntiBot erlaubt auch die Installation von Adware/Spyware/Rogueware. Nur lässt sich diese besser deinstallieren, da, falls Uninstaller vorhanden, sämtlich Pfade und Registry-Einträge gekillt werden. Falls es sich bei dem Programm um andere Malware handelte, I'm so sorry, Bildschirm ist nur 3" groß

Geschrieben von: Nightwatch 15.05.2009, 12:19

Nehmen wir mal dieses Beispiel:

Hier wird 2x gewarnt, bevor sich das Programm endgültig installiert:
http://www.rokop-security.de/index.php?s=&showtopic=17714&view=findpost&p=271811

Ich denke schon, dass es möglich ist, gewisse Aktivitäten vorher zu analysieren. Was der User letztendlich daraus macht, steht natürlich auf einem ganz anderen Blatt.

Aber für den Fall, dass sich etwas automatisch installiert oder der User sich verklickt hat, wäre es fatal.

Gruß,
Nightwatch

Geschrieben von: Solution-Design 15.05.2009, 12:34

Bei a-squared wird "Blockieren/Regel erstellen" bei solchen Meldungen ausgegeben. Verklicken scheidet da schon fast aus. Und selbst wenn, sobald etwas wieder gegen die IDS-Regeln verstößt, kommt eine erneute Meldung, so dass auch der letzte Nutzer wach werden sollte. Den PC bereinigen, das ist dann eine andere Geschichte. Das IDS ist schon verdammt ok. Trotzdem sind Norton verwöhnte Nutzer oftmals überfordert und mit Sonar oder AntiBot, welches Entscheidungen abnimmt, etwas besser versorgt. Vielleicht gibt es bald einen zusätzlichen Menüpunkt, in einer neuen Version. "Daus hier Häkchen setzten" oder ähnlich. Was keine Beleidigung sein soll, da es ja auch kompfortabel ist, wenn Software das Denken abnimmt.

Geschrieben von: Nightwatch 15.05.2009, 12:38

Für mich persönlich sind es zu wenige Meldungen
Hätte gern gesehen, dass mir a-squared schon sagt, wenn in die Registry und in den System32-Ordner geschrieben wird. Das wäre das, was ich mir unter einem "paranoid Modus" vorstelle. Damit hätte man nämlich nicht das Problem der aufwändigen Bereinigung am Schluss.

Gruß,
Nightwatch

Geschrieben von: Anar 15.05.2009, 15:30

@Nightwatch:
Was für ne Malware hast Du für Deinen Test verwendet? Beim Anblick des Deinstallationsmenüs und der Tatsache das sich die Malware nach der Installation im Programme Verzeichnis befindet, werd ich das Gefühl nicht los es handelte sich um irgend eine Rogue Anti-Malware Anwendung.

Geschrieben von: Nightwatch 15.05.2009, 16:09

Es handelt sich um einen Flash-Player Fake-Codec, welcher über ein angebliches Browser-Addon installiert wird.
Malware-Beschreibung: Backdoor.w32.tdss.bkw

Also mit Rootkit-Funktionalität.

VirusTotal : 3/40

Gruß,
Nightwatch

Geschrieben von: emsi 15.05.2009, 18:43

Kannst du uns die Datei bitte an info@emsisoft.com zukommen lassen? Gezippt mit PW versteht sich.

Danke!

Geschrieben von: Solution-Design 15.05.2009, 18:55

Hab hier auch so einen flashplayer-codec, welcher immer mit irgendwelchen \temp\bla.exe daher kommt, aber



solche Fenster, selbst wenn man "erlauben aber Verhalten beobachten" anklickt, kommen da so dermaßen oft (bei 6x habe ich aufgehört und mal "blockieren/Quarantäne" angeklickt), dass ich aufgehört habe zu zählen. War wohl eine andere Datei

Geschrieben von: Nightwatch 15.05.2009, 19:02

Hi
Die Datei habe ich vorhin schon weggeschickt per Verteiler.

Trotz meiner hier angebrachten Kritikpunkte, möchte ich in diesem Zusammenhang betonen, dass der PC weder bei diesem Sample, noch bei anderen, mit denen ich auch getestet habe, infiziert worden ist. Alle schädlichen Aktionen worden ordnungsgemäß geblockt.
Mir geht es ausschließlich um den Zeitpunkt der Warnung, weil sich lästige Installer-Dateien im System befinden.

Das Malware-IDS ist definitiv stark. Das zeigt sich bei verschiedenen Samples. Da ich nun das System Eures On-Execution-Guards durch Eure Beschreibungen etwas detaillierter kennenlernen konnte, steigt das Vertrauen in diese Technologie bezüglich meiner angesprochenen "Risiken" (Exploits, Scripts etc.).

@Solution
Ja, das war wohl ein anderes Sample, da sich meins erst nach der "Addon-Installation" ausführen lässt.

Gruß,
Nightwatch

Geschrieben von: Nightwatch 16.05.2009, 10:51

Hi

Mal ein anderes Thema. Ich habe den Rechner heute Nacht komplett durchlaufen lassen, da ich einen Full-Scan mit a-squared gemacht habe.

Als ich heute Morgen die Protokolle durchschaute, bemerkte ich, dass a-squared seit gestern (0:57 Uhr) kein Update mehr gezogen hat und auch nicht mehr automatisch updated.

Woran kann das liegen?
http://www.abload.de/image.php?img=asquarediiinuuv.jpg


Hier meine Einstellungen:
http://www.abload.de/image.php?img=asquarediv1rhv.jpg


Gruß,
Nightwatch

Geschrieben von: Ironhide 16.05.2009, 10:59

Das ist leider ein grosses Manko bei A-Squared das während eines Scans keine Updates bezogen werden,da muss sich auf jedenfall noch was tun.Aber bei emsi geht es ja stetig bergauf also wird das in zukunft vielleicht auch behoben werden.

MFG
Ironhide

Geschrieben von: Aasblume 16.05.2009, 11:12

Habe grade eine Installation auf 'nem frischen System gemacht. Leider muß ich meine Erfahrung von vor ein paar Tagen wiederholen und bestätigen:

[attachment=4796:Aufzeichnen3.JPG]

Neustart bringt nix, "Jetzt einschalten" öffnet zwar das Hauptfenster von Anti-Malware aber ändert nix im Sicherheitscenter....aber das beste ist noch, starte ich ein update und gibt es was zum updaten meldet das SC anschließend alles ok, ist kein update da, bleibt alles beim alten Aber spätestens nach dem nächsten Neustart kommt eh wieder die Meldung vom SC.
Meine (spontane) Vermutung: Problem mit 64bit. Kann das jemand bestätigen? Wäre das so, wäre es zumindest unter 64bit von der Version 4.0 zu 4.5 sogar eine Verschlechterung.

Gruß, Aasblume

Geschrieben von: Aasblume 16.05.2009, 11:19

Trifft auch beim autom. update ein. Grade kam eins rein, und schon hört das Sicherheitscenter auf zu meckern....komisch, oder?!

Gruß, Aasblume

Geschrieben von: Ironhide 16.05.2009, 11:22

Das SC Problem kann ich auch unter 32bit bestätigen.

Gruss
Ironhide

Geschrieben von: Nightwatch 16.05.2009, 11:23

Danke für die Aufklärung. Mit den fehlenden Updates während des Scans kann ich leben. Nur ist der Scan bereits seit 2:34 Uhr und das Scanner-Fenster seit 8:10 Uhr beendet bzw. geschlossen. Danach sollte die normale Update-Routine doch eigentlich wieder hochfahren, oder?



Ich habe Deine geschilderten Probleme auch unter Vista 32bit. Das ist wie ein Lotteriespiel. Mal fahre ich den Rechner hoch und alles ist grün im SC und manchmal zeigt er mir nach dem nächsten Booten an, dass der Spyware-Schutz ausgeschaltet sei. Das wechselt sich munter ab. Heute habe ich einen "grünen Tag". Ich fahr den PC einfach net mehr runter

Gruß,
Nightwatch

Geschrieben von: Aasblume 16.05.2009, 14:18

...na super...aber dann sind bitte morgen die 64bitler dran!!!

Gruß, Aasblume

Geschrieben von: Ironhide 16.05.2009, 14:25

So sollte es im Normalfall auch sein.Vielleicht kann uns @emsi ja mal aufklären.

Gruss
Ironhide

Geschrieben von: Aasblume 16.05.2009, 14:47

...und falls noch Zeit und Nerven vorhanden sind: Was ist das mit dem Sicherheitscenter denn für'n "Glücksspiel"???

Positiv ist mir in diesem Zuge aufgefallen, dass sich in der 4.5er der Surf Schutz nicht mehr als aktiv/installiert ausgibt, obwohl er ja unter 64bit nicht läuft. Mit der 4.0er hatte ich das noch.

Gruß, Aasblume

Geschrieben von: Nightwatch 16.05.2009, 17:06

Der neueste Stand: Das erste automat. Update aktivierte sich wieder um 14:27 Uhr. Das sind über 6 Stunden im Verzug. Vielleicht könnt Ihr (@emsi & Co.) da nochmal an irgendeiner Schraube drehen, damit das sauberer läuft.

Gruß
Nightwatch

Geschrieben von: Catweazle 16.05.2009, 18:07

Und, Meno, nein Mensch nun kommt wahrscheinlich, oder auch immer bei einer guten AV Sicherheitsprogramm, vorallendingen beim scannen, wen man vorausetzt der Rechner hängt beim dursuchen, am WWW, wird ein Neuse UPDATE eingespielt, und der scan den ich vor ca. 45 Minuten angestoßen hatte, dan noch mal auf null und noch mal von Forne, oder wie ?

Welches AV Programm, kann das Intelligent, umsetzetn, wen ich einen scan angestosen hatte, und es gab win UPDATE, während dessen,, Intenetanbindung vorausgesetzt.... ?!

Ein fragender Catweazle.

Geschrieben von: Nightwatch 17.05.2009, 01:17

Hi Catweazle

Wenn ich Dich richtig verstanden habe, geht es darum, wie ein AV-Programm damit umgeht, wenn während eines angestoßenen Scan-Prozesses neue Definitionen eintrudeln?

Wenn ja, dann gibt es zwei Möglichkeiten. Entweder es scannt einfach mit den Signatur-Datenbanken weiter, die es beim manuellen Start besessen hat, oder es baut die neuen automatisch ein. In diesem Fall bringt die zweite Variante wohl nicht allzuviel, weil man nicht weiß, wie viele Dateien mit welcher Priorität bereits gesannt worden sind und ob neue Signaturen überhaupt greifen. Sicherlich ein strittiger Punkt. Daher finde ich Optionen, die nach einem neuen Update das Scannen des Speichers und der Autostart-Programme anfordern, nicht schlecht, solange man die nötigen Ressourcen dafür hat.

EDIT: Rechtschreibung


Gruß,
Nightwatch

Geschrieben von: Solution-Design 17.05.2009, 06:55

Edit: Nachfolgendes betrifft das Singleprodukt http://www.emsisoft.de/de/software/cmd/ (welcher immer noch 4.0 anzeigt) in Verbindung mit einer installierten "a-squared-Anti-Malware"-Version (nicht den Command Line Scanner der Vollversion).

http://pic.leech.it/pic.php?id=a132edda2start.png

Wirklich viel kann man mit dieser Meldung nicht gerade anfangen. Und wenn man auf die Bestätigung für's Update klickt, wird man auch nicht schlauer:
http://pic.leech.it/pic.php?id=e44a652aa2update.png

Zudem ist mir noch aufgefallen, dass beim "a-squared Command Line Scanner" keine Ikarus-Sigs abgeholt werden:
http://pic.leech.it/pic.php?id=8645057commandlin.png



PS: Die nächste Frage (hab ich wohl mal gestellt, aber verjessen), wofür ist der a2-guard.exe-Parameter?

Geschrieben von: Kurgun 17.05.2009, 10:44

Ola Boardies!

Angeregt durch diesen hier Thread 'teste' ich a-squared nun schon eine ganze Weile und war bisher soweit zufrieden mit der Software. Soeben ist mir aufgefallen, dass der Hintergrundwächter der 'eicar.com'-Testfile nicht meldet. D.h. es erfolgt keinerlei Meldung beim öffnen der Datei, was mich natürlich stutzig macht. Alle Wächter sind aktiviert und arbeiten 'korrekt', nur eben dieser Testfile wird beim ausführen in keiner Weise moniert.

System: Win XP SP3 (neu aufgesetztes sauberes Testsystem, Windowsfirewall aktiv, a2 in Test momentan als einzige weitere Sicherheitssoftware)

Geschrieben von: Stefan 17.05.2009, 10:55

Trifft bei dir eines der folgenden Merkmale zu?

Quelle: http://www.emsisoft.de/de/support/faq/

Geschrieben von: Kurgun 17.05.2009, 11:03

@Stefan

Danke für die Antwort.

1. a-squared Anti-Malware ist installiert, also nicht etwas die FreeVersion
2. Wächter werden beim Systemstart geladen und arbeiten
3. ich habe die bei der Suche nach einer Problemlösung bereits FAQ gelesen

Geschrieben von: Stefan 17.05.2009, 11:09

... und warum schreibst du das nicht gleich?
Gibt es noch etwas das du bereits abgearbeitet hast und wir wissen sollten?

Geschrieben von: Kurgun 17.05.2009, 11:43

Ich setze schlichtweg voraus, dass man sich mit den entsprechenden Informationen des Herstellers auseinandersetzt, sorry also.

Abgearbeitet habe ich das Übliche, saubere Deinstallation (Safe-Mode), Neuinstallation, Update, Einstellungen überprüft, ect.

Geschrieben von: Olaf101 17.05.2009, 12:25

Ich vermute mal, daß das die Zeit für das frühste Update nach dem Start ist? D = Delay (Verzögerung)? Kann ja beim Systemstart ganz sinnvoll sein.

Geschrieben von: Solution-Design 17.05.2009, 15:27

Zumindest stimmt das mit den *.com-Dateien und deren Nichtprüfung nicht mehr. Hier wird unter Vista bei Ausführung eicar.com einwandfrei erkannt.

Dagegen das Textfile welches den Editor starten möchte nicht, was wiederum die Einschränkungen in den Übergaben aufzeigt, denn bei *.pdf oder auch "öffnen mit WordPad" wird ja geprüft und auch das Eicar-Textfile erkannt:

Geschrieben von: Solution-Design 17.05.2009, 15:45

Jetzt hat es mich auch getroffen:
http://pic.leech.it/pic.php?id=24fabd1sicherheit.png

32BIT-Windows-Vista. Ist schon ein kleines Armutszeugnis...

Edit: Übrigens, genau wie bei dir wird nach Signatur-Update alles grün gezeigt. Bis zum Neustart.

Geschrieben von: Aasblume 17.05.2009, 18:06

Ich vermute mal, die lynschen da irgendwas über die updates bzw versuchen irgenwas damit in den Griff zu kriegen. Weil:
Am Freitag habe ich Anti-Malware aktuell runtergeladen, installiert, und...ich weiß die Größe nicht mehr genau...ein "kleines" Signaturupdate bekommen. Gestern, im Laufe des Tages, kamen wieder ein paar kleine, dann 35710kb auf einen Schlag (ohne beta). Bis dahin OK. Heute morgen (ab 9.00h) kam ein kleines bis ca. 16.00h rein (hatte dann bis eben den Rechner aus), habe ihn grade noch mal an und...Emsi läd soeben schon wieder 36068kb runter! Und das im Schneckentempo!
Langsam wird's interessant ohne Ende...WAS MACHEN DIE DA??? Freu mich schon auf morgen

Gruß, Aasblume

Geschrieben von: Nightwatch 17.05.2009, 18:24

Kann ich bestätigen. Zumindest gestern hatte ich den Download einer ca. 36Mb großen Signatur-Datei. Heute bislang noch nicht, vlt. kommt das noch.

Gruß,
Nightwatch

Geschrieben von: Solution-Design 17.05.2009, 18:49

Bei den 36 MB handelt es sich eher wohl um eine Signaturbereinigung (Herausnahme FPs). System-Updates sehen anders aus ;-)

Geschrieben von: Nightwatch 17.05.2009, 19:20

Da muss glaub ich einfach nur was am Timer gedreht werden. Mir scheint es so, als hätte emsisoft den Aktualisierungspuffer recht niedrig gesetzt. Normalerweise erscheinen solche Meldungen erst dann, wenn es ein paar Tage nicht aktualisiert worden ist.
Hab das Problem hier ja auch.

Gruß,
Nightwatch

Geschrieben von: Aasblume 17.05.2009, 19:21

Si isses:
[attachment=4802:Aufzeichnen.JPG]
Man beachte die downloadzeit

Was anderes: Böse Zungen behaupten, Emsi wolle damit darauf aufmerksam machen, man solle sich nicht allein auf sie verlassen...
[attachment=4803:Aufzeichnen1.JPG]
Sorry, das SC in Zusammenhang mit Emsi nervt halt.

Gruß, Aasblume

Geschrieben von: Anar 17.05.2009, 19:32

Das SC nervt nicht nur im Zusammenhang mit a-squared. Das SC nervt einfach und bietet dabei für mich keinerlei erkennbaren Nutzen. Daher ists auch das Erste was ich abdreh .

Geschrieben von: Julian 17.05.2009, 19:58

In der Vergangenheit war es recht nützlich, wenn AntiVir wieder mal klammheimlich abgestürzt war...

Geschrieben von: Solution-Design 17.05.2009, 20:41

Ja, der Server ist manchmal schon.... langsam.



Macht Symantec irgendwie auch. Aber wenn das SC nicht vom AV direkt abgedreht wird, sollte es schon funktionieren. Das da jedesmal ein rotes Blinkeding mit Text meldet, dass da was nicht stimmt, kann es auch nicht sein. Dass das Teil selbst bei Avira noch nicht richtig tut... Meldet sich kurz und verschwindet dann... interessiert nicht wirklich.

Geschrieben von: Olaf101 18.05.2009, 07:42

Nicht nur manchmal. Fällt nur bei größeren Updates erst wirklich auf. Darüber hinaus ist mein Rechner während des Updates jedesmal fast lahmgelegt. Das ist mein Hauptkritikpunkt an a-squared.

Geschrieben von: Solution-Design 18.05.2009, 09:20

Was heißt lahmgelegt? Bei den kleinen Updates sollte es kein Problem geben, erst wenn > 30 MB geladen und installiert werden. Kannst nächer darauf eingehen?

Geschrieben von: Caimbeul 18.05.2009, 09:53

Zumindest heute lade ich die 38MB Update für a-squared free mit vollen 11Mbit also ca. 1,2 MB/s netto, ging richtig fix.

Geschrieben von: Solution-Design 18.05.2009, 15:05

Gerade eine Neuinstallation durchgeführt, die ersten 3 von 6 MB mit 1,2 - 11 kb/s, dann Fullspeed der DSL-Leitung. Also, die Server sind schon recht grausig.

Geschrieben von: Anar 18.05.2009, 16:10

Meiner Erfahrung wirds dann erst schlim, wenn die Ikarus Updates geladen werden sollen, weil die wohl von Ikarus geladen werden und nicht von dem Emsi Software Servern.

Geschrieben von: Solution-Design 18.05.2009, 17:34

emsi hat das ja schon mal erklärt. Wenn neue Signaturen auf den Server gespielt werden, zeitgleich viele ihr Signatur-Update fahren, dann klemmt's. Darf zwar meines Erachtens trotzdem nicht sein. Aber, es handelt sich ja nunmal um eine kleine AV-Schmiede, da sollte man (auch ich) wegen dieser Kleinigkeiten nicht sauer sein. Damit haben immerhin auch ganz andere zu kämpfen. Freun wir uns lieber über ein Schutzprogramm mit der mit Abstand geringsten Systembelastung, gepaart mit Topp-Erkennung und Schutzwirkung :-)

Geschrieben von: kurz-pc 02.06.2009, 17:57

Hat jemand der a-squared auch zusammen mit Avira laufen hat, schon mal diese Meldung beim Scannen bekommen?

Unknown ID (17)

http://s3b.directupload.net/file/u/19580/3clproaz_jpg.htm

Geschrieben von: Voyager 02.06.2009, 18:05

Mal ganz davon abgesehen das so ein False Positive eher peinlich ist finde ich die Information in der Userinteraktion nicht sehr informativ , die sollten sich vll. mal am Sana Security Programm eine Scheibe abschneiden wie man so eine Info verbessert und aussagekräftig macht.

Geschrieben von: Solution-Design 02.06.2009, 18:17

Die Kombi läuft hier in einer VM. Diese Meldung kenne ich nicht. Hast du a-squared in Standard installiert, oder paranoia aktiviert?

Geschrieben von: emsi 02.06.2009, 18:19

Die Meldung kommt von der neuen Erkennung direkter Sektorzugriffe auf die Festplatte. Das IDS unterstützt diese Verhaltenserkennung bereits, die Programmoberfläche in Beta derzeit nocht nicht. Daher unknown Event.

Mit der nächsten Guard Beta-Version wird das hinzugefügt.

Geschrieben von: Solution-Design 02.06.2009, 18:31

Stimmt, er hat die Beta-Updates installiert. Nun, ich nutze a-aquared auf einer Produktiv-Maschine. Und selbst in der VM sind die Betas deaktiviert. Daran http://www.rokop-security.de/index.php?s=&showtopic=18762&view=findpost&p=275821 hatte ich gar nicht gedacht.

Geschrieben von: subset 02.06.2009, 19:01

Hi,

gibt es eine Chance, dass Ikarus an der Bereitstellung der Signaturen etwas ändert?
Also etwa kleinere Pakete zum Download anbietet, wie das fast alle anderen AV Hersteller auch machen.

Derzeit teste ich mit a2 und der neuen OA a2 Version und fast jedesmal kommt diese 35MB Datei von Ikarus durch den Kabel, wenn irgendwo ein Update stattfindet.
Ich habe schon angefangen die Signaturen hin und her zu kopieren.

So eine Bereitstellung in handlichen Paketen für zwei Lizenzpartner sollte doch wohl möglich sein.
Wer will schon 40MB oder so bei fast jedem Update laden, das ist ja eine Zumutung.

MfG

Geschrieben von: Stefan 02.06.2009, 19:11

Naja, so oft kommt es nun auch nicht vor. Vielleicht liegt ja bei der Installation (Version) etwas im Argen?
Aber ich stimme dir zu, auch ich würde kleinere Aktualisierungsdateien sehr begrüßen.
Vor allem dann, wenn ich doch mal wieder mit 'nem Surfstick auf dem platten Land unterwegs bin.
Auch im Zeitalter von DSL & Co. sollte man es mit der Downloadgröße nicht übertreiben.

Geschrieben von: Krond 02.06.2009, 19:33

Das stört mich persönlich z.B. weniger an a2.

Ich kann eigentlich nur 2 Punkte wirklich bemängeln:

1. keine x64 - Unterstützung (oder nur sehr, sehr eingeschränkt eben, da kein IDS)
2. das Ding ist absolut nicht Kinder- oder DAU-tauglich. Diese Personen sind mit den Meldungen und Fragen absolut überfordert und es gibt keinen Automatik-Modus, damit z.B. die lieben Kleinen unterstützt werden. Somit hat der Papa einiges zu tun, damit sich überhaupt noch alle Spiele starten lassen..... Ist aber IMHO ein allgegenwärtiges Problem, wenn es um HIPS oder IDS geht....

Geschrieben von: Solution-Design 02.06.2009, 19:51

Eher ein Regelproblem. OK, wenn etwas installiert wird, dann darf es sich melden. Aber selbst dabei ist es ja schon besser geworden. Und für Computeranfänger reicht ja auch die "Alarmreduktion" aus. Meldungen bringen für solche Menschen nichts. Da schalte ich sogar alle PopUps (die sowieso das Arbeiten in Office nur behindern) ab. So wenig wie möglich ist da die Devise. Oder Symantec

Aber Subset hat schon Recht. Die Updates sind oftmals sehr umfangreich. Und je mehr FalsePositive aus der Signaturdatenbank entfernt, je häufiger ist das so. Bei DSL oder HSDPA sollte es aber eher uninteressant sein.

Geschrieben von: ube 02.06.2009, 20:29

Hallo subset,

ist schon eine Aussage ueber den Zeitpunkt einer oeffentlichen Beta von Online Armor Emsisoft moeglich?

Vielen Dank.

ube

Geschrieben von: subset 02.06.2009, 20:53

Ich weiß nicht mal ob eine stattfindet, aber wenn es eine gibt, dann wird das sicher ventiliert.

MfG

Geschrieben von: emsi 03.06.2009, 07:29

Ikarus stellt jeweils 50 Differenz-Updates bereit. Das heißt, man kann bis zu 50 reguläre Update-Intervalle verpassen (ca. 2 Wochen) und es wird dennoch nur die notwendige Differenz zum bestehenden Signaturenfile heruntergeladen. Erst danach muß das ganze File neu geladen werden mit 40 MB.

Versuch bitte eine Neuinstallation wenn es in einem Full-Update Loop hängt.

Geschrieben von: Solution-Design 03.06.2009, 08:17

Werden beim differentiellem Signatur-Update auch FP-Signaturen ausgetauscht bzw. entfernt?

Geschrieben von: emsi 03.06.2009, 08:40

Es gibt keine "FP-Signaturen", nur Signaturen oder eben keine

Geschrieben von: Solution-Design 03.06.2009, 16:50

Scherzkeks

Also noch mal. Signaturen, welche FPs erzeugen, werden diese auch durch das differentielle Signatur-Update entfernt bzw. ausgetauscht? Oder geschieht dies nur beim > 40 MB großen Signatur-RollUp?

Geschrieben von: emsi 03.06.2009, 16:54

Natürlich können inkrementelle Diff-Updates auch Signaturen abschalten bzw. löschen.

Geschrieben von: Nightwatch 03.06.2009, 17:14

Hi
Ich habe diese Loops auch von Zeit zu Zeit. Mindestens 2-3x pro Monat. Läuft da vielleicht mit dem Server-Abgleich etwas schief? Neuinstallation bringt nichts.

Gruß,
Nightwatch

Geschrieben von: subset 03.06.2009, 19:10

Das die 40MB Datei neu geladen werden muss, ist ja das was ich meine.
Man hat fast alles, aber das gilt plötzlich nicht mehr und man bekommt erneut alles.
Das ist irgendwie so nicht üblich für Heimanwender.


Das Problem ist bei mir eher, dass ich die Snapshots unregelmäßig benutze, so einmal pro Woche.
Aber da gibt es dann zur Begrüßung jedesmal die volle Ladung.

Mir ist schon klar, dass für das ganze eigentlich Ikarus verantwortlich ist.
Deswegen habe ich auch gefragt, ob sie an der Bereitstellung der Signaturen etwas zu ändern gedenken.

MfG

Geschrieben von: emsi 03.06.2009, 19:43

Anfangs wurden nur für die letzten 15 Update Intervalle Diff-Updates bereitgstellt, mittlerweile sind es die letzten 50. Insofern gab es die Veränderung bereits.

Geschrieben von: Solution-Design 03.06.2009, 20:00

Eine Veränderung, welche sich sicherlich noch weiter verändern/bessern lässt Wenn alles über differentiellen Signaturen möglich ist, weshalb dann noch der 2-wöchige dicke Brocken?

Geschrieben von: Krond 04.06.2009, 07:09

....deleted

Geschrieben von: dataandi 05.06.2009, 07:19

zusammen mit einer besseren Performace der Updateserver... diese ist manchmal schon ganz schön Banane...

Geschrieben von: emsi 05.06.2009, 07:32

Wir haben seit dem v4.5 Release von 3 auf insgesamt 8 Update Mirror-Server aufgerüstet. Jeder davon hat etwa 100 MBit zur Verfügung. Der Bandbreitenauslastung nach dürfte es seit ca. 2 Wochen keine Engpässe mehr geben.

Geschrieben von: dataandi 05.06.2009, 07:36

sehr schön weil das war schon sehr oft nervig... Danke für die Info

Geschrieben von: Solution-Design 05.06.2009, 08:58

Naja, wenn ich so machmal schau, wie lange es dauert, bis 150 KB heruntergeladen sind...

Geschrieben von: ravu 05.06.2009, 12:21

http://www.bitsdujour.com/software/mamutu/

Geschrieben von: dataandi 05.06.2009, 12:30

Ich hab jetzt mal drauf geachtet, letztes Update 03.06.2009 ... Update heute 05.06.2009 37 MB ? Nach drei Tagen so einen großen Brocken... phu es wäre toll wenn man da noch etwas Zeit investieren würde.

PS: Geschwindigkeit Download war gut.

Geschrieben von: Metabolit 08.06.2009, 11:03

Sieht so aus, als würde man bei der Bestellung für ein Abo eingehen. Geht mal auf die Seite für das Angebot und dann kommt man auf die Herstellerseite. Dann kommt der Hinweistext.

Geschrieben von: Metabolit 08.06.2009, 14:21

Nachdem ich eine Bestellung absenden wollte, kam der direkte Hinweis, das hierbei ein Abo abgeschlossen wird. Auch eine nette Variante einem Kunden ein Abo schmackhaft zu machen

Geschrieben von: klaus_ue 08.06.2009, 18:15

Warum willst du denn auch nur ein http://www.emsisoft.de/de/order/antimalware/ und keine Vollversion für ein Jahr kaufen?

Bei der Jahrslizenz gibt es kein Abo

Geschrieben von: M.Richter 08.06.2009, 19:54

mal was anderes zur Optik, das "altbackene" Symboltray wurde ja endlich mal gegen ein Neues ausgetauscht

Geschrieben von: Metabolit 08.06.2009, 20:28

Doch ist ein Abo. Siehe Text im Snapshot

http://pic.leech.it/pic.php?id=70df4f60dddddddd.jpg

Ist das Angebot aus dem Post 142

Geschrieben von: cruchot 08.06.2009, 20:38

Ja, ist ein Abo, welches sich aber direkt nach der Bestellung kündigen läßt - die Software/Updates erhält man dennoch für ein Jahr.

Geschrieben von: Metabolit 08.06.2009, 20:46

Aber in den ganzen AGBs steht nichts zum Widerruf für ein Abo. Keine Mindestkündigungsfrist, keine Belehrung, rein gar nichts. Das ganze zielt darauf ab, das der Kunde ein Abo abschließt. Eine sehr eigenartige Maßnahme.

OK das abbestellen des ABOs mach Emsisoft sehr einfach und bestätigt auch sofort. Das ist sehr fair

Geschrieben von: cruchot 08.06.2009, 20:46

Was bedeutet es denn, wenn das A2 Trayicon einen roten Punkt enthält?
Eine Info dazu, was los sein könnte, sehe ich weder wenn ich mit der Maus auf das Icon gehe, noch in der GUI sehe ich was.

Geschrieben von: cruchot 08.06.2009, 20:48

http://www.emsisoft.de/de/order/mamutu/

Unten bei "Wichtige Kauf-Informationen"

Geschrieben von: Metabolit 08.06.2009, 20:49

Das kenne ich. Besonders im Zusammenspiel von OA. Das wird A-Squared geblockt in der Ausführung einer seiner Module.

Geschrieben von: Metabolit 08.06.2009, 20:50

Danke :-)

Geschrieben von: cruchot 08.06.2009, 20:53

Nun hab ich einfach mal so in der GUI bei "Automatische Updates aktiviert" auf "Stoppen" geklickt und gleich danach wieder gestartet.
Jetzt sieht das Icon wieder normal aus.

Geschrieben von: Metabolit 08.06.2009, 21:10

Hier habe ich was gefunden zum Thema roter Punkt

http://forum.emsisoft.com/default.aspx?g=posts&t=5412

Geschrieben von: cruchot 08.06.2009, 21:17

Vielleicht kann Christian hier etwas zur genauen Ursache sagen...

Geschrieben von: Nightwatch 08.06.2009, 21:50

Was hast Du für ein schönes Tray-Icon? Bei mir sieht das A²-AM-Symbol aus, wie zu alten Dos-Zeiten (unter Vista)

Gruß,
Nightwatch

Geschrieben von: cruchot 08.06.2009, 22:02

Keine Ahnung, hatte nie ein anderes Hab die v4.5 heute installiert, und die soll ja ein neues Icon haben.

Geschrieben von: Nightwatch 08.06.2009, 22:05

@cruchot
Danke für die Rückmeldung. Mhh..schon komisch. Hab die 4.5 Voll-Version laufen und bei mir sieht das Ganze so aus:
http://www.thexblog.de/wp-content/plugins/chenpress/UserFiles/Image/Software-Logos/asquared-logo.png

Gruß,
Nightwatch

Geschrieben von: Metabolit 08.06.2009, 22:09

Das neue TrayIcon sieht aus, wie der Avatar von Solution-Design. Nur eben das ganze statt in silber ist es in gold.

Geschrieben von: M.Richter 08.06.2009, 22:10

Hi Nightwatch, Das Trayicon sieht jetzt aus wie der Avator von Emsi und kam heute mit einem Update

Geschrieben von: cruchot 08.06.2009, 22:10

Hast du vielleicht ein Upgrade von einer Vorversion auf die 4.5 gemacht, oder die 4.5 neu installiert? - wie in meinem Fall.

Auf mich wirkt das von dir gepostete Bild übrigens nicht altbacken.

/EDIT - Ok, scheint ja nun geklärt.

Geschrieben von: Ironhide 08.06.2009, 22:11

du meinst wie das von emsi

Gruss,
Ironhide

Geschrieben von: Stefan 08.06.2009, 22:12

@Nightwatch:
Kann es sein, dass du grundsätzlich bei Updates (egal ob Windows o.a.) benachteiligt wirst?
Habe gerade vom XP-PC zum Vista Laptop gewechselt, Update von Hand angestoßen (bei XP liefs auch übers automatische Update) et voilà - nach einem ca. 11 MB großen Update und gefordertem Neustart von a-squared, ist das neue Tray-Icon da.

Geschrieben von: Nightwatch 08.06.2009, 22:14

Oki
Danke Euch beiden. Dann muss ich den Laptop wohl mal anschmeißen und updaten. Auch wenn es nur gänzliche Nebensache ist: Find das Logo wesentlich schöner, als das Vorige

@cruchot
Naja, das ist Geschmackssache . Also im Vergleich zum Neuen ist das alte doch schon ne Ecke pixeliger. Aber das ist ja jetzt Vergangenheit.

EDIT:

Na, ich will´s ja net hoffen . Aber ich muss gestehen, dass ich heute noch nicht online war mit dem PC.


Gruß,
Nightwatch

Geschrieben von: M.Richter 08.06.2009, 22:16

Aber was komisch ist, das neue Trayicon verschwindet immer mal einfach so und kommt dann erst nach einem Neustart wieder. Ist das bei euch auch so? Da muss wohl emsi noch was machen...

Geschrieben von: Stefan 08.06.2009, 22:24

Unter XP ist das seit dem Update vor ca. 3 Stunden nicht vorgekommen.
Für eine Aussage unter Vista sind 15 Minuten zu kurz. Allerdings gab es in der Zeit auch keine Vorkommnisse dieser Art.

Edit: Unter Vista ist das Icon bei mir jetzt auch verschwunden.

Geschrieben von: emsi 09.06.2009, 08:34

Der rote Punkt im Wächter-Symbol deutet darauf hin, dass entweder alle 3 Wächter abgeschalten sind oder gerade heruntergefahren werden, zb. bei einem Auto-Update das einen Guard Neustart erfordert (wie das gestrige).

Der Wächter verschwindet dann für eine Sekunde und startet neu.

Geschrieben von: cruchot 09.06.2009, 08:37

Moin,

ich werde das mal beobachten. Den Punkt hatte ich über mehrere Minuten im Icon, bis ich eben den Updater über die GUI beendet und neugestartet hatte.
Laut GUI waren auch alle Wächter aktiv, zumindest hatte ich manuell keine (zuvor) beendet.

Geschrieben von: emsi 09.06.2009, 08:56

Je nachdem wie viele Prozesse in der User-Session seit Start von a-squared gestartet wurden und noch aktiv sind, kann das vollständige Entladen des Malware-IDS schon mal einige Minuten dauern. In der Regel sind es aber nur wenige Sekunden.

Geschrieben von: Habakuck 09.06.2009, 15:22

Frage zu a-squared Free 4.5:

Wenn ich die Free Version installiere und in den Autostart packe (wird das von alleine passieren?) habe ich dann die Möglichkeit über das Kontextmenü eines Rechtklicks Dateien zu scannen?

Geschrieben von: emsi 09.06.2009, 15:32

Der Kontextmenü-Scan geht immer, egal ob a-squared Free im Autostart ist oder nicht.

Geschrieben von: Habakuck 09.06.2009, 15:46

Das ist cool.

Muss der A-squared Prozess dafür nicht geladen sein?
Wird er dann geladen und der Scan durchgeführt?

Wie würdet ihr (bitte klar und ehrlich) die Siganturen gestützte Erkennungsleitung von a-squared bewerten?

Wie tief gräbt sich das Programm in's System ein?

Ich suche einen guten on-demand Scanner mit dem ich alles schnell durchscannen kann bevor es auf mein System kommt. Dabei sollte das Programm gute Signaturen besitzen (nur darum geht es mir!) und sich nicht tief in das System einnisten.

Außerdem wäre es gut wenn der Prozess nicht viel CPU und Speicher frisst und der Dateien Scan schnell verläuft.


Schädlingsentfernung und Schutz vor Bedrohungen ist mir egal. Es geht nur um die bedienbarkeit und die Siganturen Stärke!

Eigentlich dachte ich wegen der sehr guten Siganturen an AntiVir aber das gräbt sich schon rel. weit ein und läuft auch bei eingeklappten Schirm immer mit.

Geschrieben von: M.Richter 09.06.2009, 16:09

Also wenn es dir um die reine Erkennungsleistung geht, dann gehört A2 zur Spitzengruppe wenn nicht sogar das Beste zur Zeit, wenn man den meisten Tests in letzter Zeit glauben schenkt! Und leichter als die meisten AV-Progs dürfte es ohnehin sein, habe dahingehend noch keine Kritik gehört. Teste doch einfach mal in wie weit es sich auf deinem System bemerkbar macht und dann entscheide selber und wie gesagt, auf die Erkennungsleistung kannst dich verlassen.

Gruß

Matthias

Geschrieben von: emsi 09.06.2009, 16:12

Beim Rechtsklick-Scan wird der Scanner gestartet und die zu scannenden Dateien als Parameter übergeben.



Von der Erkennungsrate in allen bisherigen Tests der Version 4.0 auf Platz 1 oder 2.

Siehe aktuelle Tests von MRG: http://malwareresearchgroup.com/?page_id=2

und PC Security Labs: http://www.pcsecuritylabs.net/news.php?readmore=29

Der Scanner ist jedoch auch sehr scharf eingestellt, und kann hin und wieder Fehlalarme bei guten Programmen bringen. Daher bei Funden bitte immer überprüfen (www.virustotal.com) bzw. Ursprung und Vertrauenswürdigkeit der Datei überprüfen.



Gar nicht, da a-squared Free keinen Wächter hat. Es benötigt lediglich zum Scannen einen Dienst, der zeitgleich mit der Benutzeroberfläche geladen/entladen wird, um alle Bereiche des Systems scannen zu können.



Wenns keine GUI sein muß, ist evtl. der a-squared Commandline Scanner genau das richtige:
http://www.emsisoft.de/de/software/cmd/

Der ist auch im a-squared Free Paket inkludiert.



a-squared Free verwendet zwei vollwertige Scan-Engines mit zusammen mehr als 3 Millionen Signaturen. Unter 100 MB RAM ist so etwas kaum machbar. Beim Scan-Speed liegt a-squared im Mittelfeld der gängigen Antivirenprodukte.

Geschrieben von: ravu 09.06.2009, 16:55

Endlich ist es da!

Geschrieben von: Metabolit 09.06.2009, 17:18

Ich kann von A-Squared nur bisher gutes berichten und bin sehr zufrieden damit. besonders auch, weil es sich mit anderen Sicherheitsprogrammen gut verträgt.

Geschrieben von: Habakuck 09.06.2009, 18:47

Das hört sich alles absolut perfekt an!

Der Commandline Scanner wäre praktisch das Optimum wenn ich den irgendwie dazu überreden könnte auch über einen RechtsKlick zu laufen. Hat da jemand eine Idee wie man das etablieren könnte?

Geschrieben von: markusg 09.06.2009, 18:52

edit

Geschrieben von: subset 09.06.2009, 21:52

Hi,

ich habe gerade den http://www.virustotal.com/analisis/05b471c400efe62de2a25337a4c79c01ca5be4ad34356ef38dfc1cc265a82405-1233775205 gestartet, aber vorher den OnExecution Scan deaktiviert.
Wollte wissen ob die Malware IDS wegen der Attacke auf die Winlogon.exe anspringt, dem war aber nicht so.
Stattdessen war nach kurzer Zeit der Bildschirm schwarz und das System dem Siechtum verfallen.
Der Explorer ließ sich nicht mehr starten, wenn man a2start.exe über den Task-Manager ausführte, dann wurden alle Module als deaktiviert angezeigt und ich konnte nicht mal mehr einen Screenshot speichern.

Attackiert der Virut.n gezielt die a2 Prozesse?
Ohne a2 funktioniert er wie vorgesehen.

MfG

Geschrieben von: Nightwatch 09.06.2009, 22:01

Hey subset!
Die meisten Virut-Varianten sind in der Lage, AV/AM-Programme zu killen. A-squared besitzt überdessen leider keinen allzu guten Selbstschutz, so dass so etwas schon passieren kann.Kannst ja das Sample mal zu emsi schicken zur Analyse.

Gruß,
Nightwatch

Geschrieben von: Anar 10.06.2009, 00:08

Du könntest eine Verknüpfung unter "Send to" anlegen. Dann kannst Du Ordner und Dateien via "Senden an" an den Command Line Scanner senden. Habs nicht probiert, sollte aber funktionieren.

Geschrieben von: Habakuck 10.06.2009, 12:33

Gute Idee. Dann muss ich den Eintrag nicht in die Reg friemeln...

Leider habe ich keinen Zugriff auf den versteckten Ordner C:\Users\habakuck\SendTo
"Zugriff verweigert".

OS ist Vista HP. User Habakuck hat den OrdnerEigenschaften nach Vollzugriff auf den Ordner.

PS: Ok. Problem gelöst. Für alle die das auch mal versuchen möchten. Der richtige Ordner liegt unter %SYSTEMDRIVE%\Users\\AppData\Roaming\Microsoft\Windows\SendTo und ist über den Befehl shell:sendto im Suchen Feld zu erreichen.


EDIT: Gut, das funktioniert soweit. Allerdings schließt sich das cmd Fenster nach dem Scan extrem schnell wieder ohne, dass man etwas lesesn kann. Nur wenn ich schnell genug Enter drücke bleibt das Fenster offen.
Heuristischer Scan ist automatisch aus. ADS ebenfalls. Wie baue ich die Parameter mit in die Verknüpfung ein?

Und viel wichtiger: Sind die Signaturen so immer aktuell?? Ich kann da keine Update Aktivitäten feststellen...

Geschrieben von: Krond 10.06.2009, 12:53

Bau dir halt ein Batch-File (.bat), in dem du die Parameter schon dort dazu schreibst. Mit %1 (%2, usw.) kannst du dir den Dateinamen in den Batch übergeben. Aufruf würde dann lauten (falls man annimmt, das du den Batch "scan.bat" getauft hast): "scan dateiname" --> "dateiname" würde als %1 übernommen werden. Als letzten Befehl schreibst du dir noch "Pause" in den Batch, somit schließt er nicht automatisch und du kannst das Ergebnis auch noch lesen....

Geschrieben von: emsi 10.06.2009, 13:09

Der a-squared Commandline Scanner muß manuell aktualisiert werden.

Ich würde maximal jede Stunde folgenden Command ausführen:

a2cmd.exe /u

Mit einem BAT file kannst du das Errorlevel abfangen. Ist es 1, wurde Malware gefunden, bei 0 nicht. Erfordert aber etwas Know-How im BAT-Programmier-Bereich. Siehe die mitgelieferte a2cmd_readme.txt Datei.

Geschrieben von: Habakuck 10.06.2009, 16:37

Batch wäre in Ordnung aber den immer manuell updaten zu müssen ist mir nicht alltagstauglich genug.

Updatet die Free Version über die GUI? Evtl. sogar automatisch?

Dann würde ich mir die halt installieren. Ohne Wächter und ohne Hooks stört sie ja nicht.

Geschrieben von: Krond 10.06.2009, 16:46

Du kannst doch das Update per Batch genauso "automatisch" machen lassen. Du schreibst einen Batch, der "update.bat" heißt, da schreibst du "a2cmd.exe /u" hinein und schmeißt das Ding dann in den Taskplaner und stellst den dann so ein, dass der Batch alle halbe Stund, oder jede Stunde ausgeführt wird. Fertig.....

Geschrieben von: Habakuck 10.06.2009, 18:30

Müsste ich den Aufruf dann über den Command Promt bzw. über das "ausführen" Feld tätigen?

Ich denke schon oder? Das möchte ich aber nicht. Das Ganze soll über einen Rechtsklick machbar sein...

PS: Der Updater funzt aber iwie raffe ich nicht wie ich nicht wie ich per Batch die Datei scannen lassen kann die ich vorher per Rechtsklick ausgewählt habe. Jedesmal den Dateipfad reinschreibe möchte ich nicht..

Geschrieben von: markusg 10.06.2009, 18:41

also voll automatisch ;-)

Geschrieben von: cruchot 11.06.2009, 08:05

@subset

Hi,
hast du Emsi bzgl. deiner Erfahrungen mit Virus.Win32.Virut.n kontaktiert?

Geschrieben von: subset 11.06.2009, 14:04

Ja, natürlich. Im Beitrag #181

MfG

Geschrieben von: Solution-Design 13.06.2009, 14:38

Der verstärkte Bekanntheitsgrad und die damit verbundene verstärkte Nutzung von a-squared anti-malware setzt immer häufiger Inkompatibilitäten mit Standard-Software als auch deren Installationen frei. Bin mal gespannt, ob das emsi-Team adäquat reagiert. Im emsi-Forum gibt es bisher an die 5 relativ stark genutze Anwendungen, welche, solange A2 im Systray zu sehen ist, einfach ihren Dienst verweigern oder sich nicht installieren lassen. Ich wundere mich schon etwas darüber, da ich solch ein Verhalten von keiner anderen Schutzsoftware her kenne. Wer weiß, ob das nicht mit den Selbstschutzfunktionen zu tun hat.

Geschrieben von: Solution-Design 14.06.2009, 20:35

Und die Server sind mal wieder eine absolute Granate

http://www.abload.de/image.php?img=a2-updateec11.png

Abbruch, Neutstart und dann wieder Fullspeed. Wenn man es versteht

Geschrieben von: Habakuck 17.06.2009, 17:44

Da ich es nicht hinbekomme per Rechtsklick Dateien an den cmd Scanner zu schicken habe ich mir nun die ganz normale 4.5 Free Version installiert.

Schöne Sache erstmal!

Nun möchte ich gerne per Taskplaner alle 4 Stunden ein Update anwerfen lassen.

Allerdings scheint die a2upd.exe nicht aus dem Explorer heraus zu funktionieren. Per Doppelklick oder Batch gestartet passiert garnichts.
Jetzt habe ich versucht über

ein Update anzustoßen aber ich bekomme die Fehlermeldung: "C:\Programme\a-squared Free konnte nicht gefunden werden." Warum?

Geschrieben von: Krond 17.06.2009, 17:59

Weil du, wenn du Pfadangaben mit Leerzeichen hast, den Pfad unter Hochkomma setzen musst, also so hier:

start "C:\Programme\a-squared Free\a2free.exe" /u

Geschrieben von: Habakuck 17.06.2009, 19:27

Ich danke dir!

Jetzt bekomme ich keine Fehlermeldung mehr aber das Update startet trotzdem nicht...

Geschrieben von: subset 17.06.2009, 20:09

Kein Wunder, denn für das Update ist eigentlich die a2cmd.exe vorgesehen.
http://www.emsisoft.de/de/software/cmd/

MfG

Geschrieben von: Solution-Design 17.06.2009, 20:20

Unter a-squared Vollversion

"C:\Programme\a-squared Anti-Malware\a2start.exe" /update

Ist mir aber jetzt nicht bekannt, ob dieses auch bei der Free so abläuft. Nie genutzt.

Geschrieben von: Aymibien 17.06.2009, 21:03

ist eigentlich normal, das bei a-squared free 4.5 (benutze ich zum gegenscannen) nach dem update nahezu ständig steht:
"die ikarus signaturen konnten nicht heruntergeladen werden, da der update server derzeit nicht erreichbar ist. bitte wiederholen sie das update in wenigen minuten wieder"

das hat bei mir noch nie geklappt mit dem aktualisieren der ikarus signaturen

Geschrieben von: Habakuck 18.06.2009, 00:53

Das habe ich mir auch gedacht. Funktioniert auch nicht. Wenn ich die a2cmd.exe /u angebe passiert ebenfalls nichts.




Die a2start.exe ist in der Free Version scheinbar nicht vorhanden...

Geschrieben von: subset 18.06.2009, 03:28

Bei mir funktioniert es.
Erstelle einfach im "a-squared Free" Verzeichnis (wo die a2cmd.exe ist) ein update.cmd.
In diese musst du nur den Aufruf schreiben:
start a2cmd.exe /u

Und die update.cmd dann über den Scheduler starten.

MfG

Geschrieben von: Solution-Design 18.06.2009, 08:03

Administrator-Rechte nicht zu vergessen.

Geschrieben von: Habakuck 18.06.2009, 09:36

Ja super! Das klappt wunderbar. Dankeschön! =) So gefällt mir das.




Geht scheinbar auch ohne... Warum auch immer..

Geschrieben von: Habakuck 18.06.2009, 09:42

Weiss jemand wie ich mit dem Aufgabenplanungsmodul von Vista alle 4 Stunden ein Update einrichten kann?

Da gibt es nur die Checkbox Täglich... Wöchentlich und so.

Wiederholung alle 1 Stunden. Mehr nicht. Jede Stunden ist ein bischen häufig...


PS: Hmpf. Jetzt habe ich die Aufgabe erstelllt.

Bekomme die Fehlermeldung: Warum erwartet er dort eine .exe wenn ich ihm die .cmd genannt habe...


[EDIT] Workaround gefunden: Habe jetzt ganz einfach im Scheduler eine Aufgabe erstellt die direkt die a2cmd.exe /u startet. ^^
Warum kompliziert wenn es auch einfach geht? =)

Wenn mir jetzt noch jemand sagen wie ich den Zyklus auf 4Stunden einstellen kann...

Geschrieben von: Anar 18.06.2009, 10:54

Weil für das Update ein Service bemüht wird, der sich Administrationsrechte beschafft. Ansonsten ist es klar, daß wenn Du die update.cmd aufrufst, so daß der a-squared Free Ordner nicht der aktuelle Ordner ist, er die a2cmd.exe nicht finden kann. Wie denn auch. Ich denke nicht das Du den a-squared Ordner zur PATH Umgebungsvariable hinzugefügt hast. Darüber hinaus ist das erstellen eines separaten Scripts für Dein Unterfangen auch völlig unnötig.

Ansonsten kannst Du in das Feld einen beliebigen Abstand eintragen im Format Stunden:Minuten:Sekunden (04:00:00 in Deinem Falle). Zumindest bei Windows 7 ist das möglich.

Geschrieben von: Habakuck 18.06.2009, 11:23

Bei mir sehen die Trigger Optionen so aus:

Geschrieben von: Manu 18.06.2009, 11:27

Wähle "1 Stunde" und ändere dann den Text im Feld auf "4 Stunden". Windows ist so schlau und weiß, was damit gemeint ist.

Geschrieben von: Habakuck 18.06.2009, 11:51

=) Danke.


So und nun der letzte Streich.

Ich lasse alle FireFox Downloads per Download Scan 1.1 (Parameter%1) an eine scandownload.bat mit dem Inhalt übergeben.
Das klappt soweit wunderbar. Das log wird erstellt und die Datei in die Quarantäne geschoben.

Die Dateien liegen dort ja verschlüsselt. Wenn a2cmd jetzt eine Datei fälschlicher Weise gelöscht hat, wie kann ich die wiederherstellen? Denn wenn ich über die GUI der a2free.exe nachgucke wird die Quarantäne leer angezeigt....


Weitere Frage:
Kann ich der Batch beibringen das log nur zu erstellen wenn eine Infektion vorliegt?


Noch eine Frage:
Ich habe versucht mir über den Errorlevel eine Ausgabe bringen zu lassen. Weiss aber nicht genau wie ich das implementieren muss damit es funktioniert.

Warum spricht er trotzdem nicht mit mir?
Was mache ich falsch?

Geschrieben von: cruchot 18.06.2009, 13:48

Habs grad auch wieder. Echt *piep* das die Neuinstallation nur wg. der Updates Ewigkeiten benötigt, weil die Daten hier mal wieder mit Modemgeschwindigkeiten ankommen. Die angeblichen 8 Server müssen am "Po" der Welt stehen.

Geschrieben von: Anar 18.06.2009, 14:36

Ich hab die Erfahrung gemacht, daß es oft hilft den Updatevorgang abzubrechen und danach neu zu starten. Meistens lad ich danach mit Full Speed. Entsprechend scheint das Seeding auf die verschiedenen Server nicht so gut zu funktionieren wie es sollte, da es offensichtlich Server gibt, die völlig überlastet sind und andere die noch genug freie Ressourcen besitzen das jemand mit 50 MBit dran ziehen kann.

Geschrieben von: Habakuck 18.06.2009, 14:49

Wie kann ich der scandownload.bat beibringen den Prozess a2cmd.exe nach dem Scan wieder zu terminieren?

Habe ab und an das Problem, dass er den Prozess bei jedem Scan erneut öffnet. Das führt dann dazu das die a2cmd.exe vielfach im Taskmanager läuft und irgendwann abschmiert.
Gleiches gilt für die conim.exe und die cmd.exe

Ok. Das klappt unter Vista nicht mit Kill sondern mit taskkill /IM.



Jetzt wäre es nur noch sehr schick wenn er mir direkt ein cmd Fenster zeigen würde wenn ein Fund gemacht wurde..

Geschrieben von: cruchot 18.06.2009, 17:53

Was während der Installation schwierig ist, weil nicht möglich - zumindest gibts keinen [Abbrechen] Button.

Geschrieben von: Gregor 18.06.2009, 19:55

Mal eine andere Frage, werden ankommende Mails von a-squared AM überprüft???

Geschrieben von: Anar 18.06.2009, 20:03

Nein.

Geschrieben von: Gregor 18.06.2009, 20:04

Dankööö...
Ist eigendlich ja auch egal, denn sollte sich in einer Mail mal was Verstecken, denke ich doch das a-squared eine Installation oder das öffnen spätestens dann unterbindet, so wie es sich gehört.

Geschrieben von: Solution-Design 19.06.2009, 08:28

Genau so ist es

Geschrieben von: PcVersteher 19.06.2009, 11:57

Da es ja warscheinlich nicht anders geht:

AN DIE HERREN VON EMSISOFT,

Meine die A2 Lizenz ist im Dezember 08 ausgelaufen und meinen Emsisoft- Account kenne ich und Sie müssen mir nicht regelmäßig meine Accoutdaten und vor allem mein Password in Klartext, unverschlüsselt senden.
Und so ein Unternehmen will mich wieder als Kunden gewinnen? Lächerlich, macht erst mal einen Datenschutz-Lehrgang!!

mfg PcVersteher

Schriftfarbe rot entfernt - Manu

Geschrieben von: Olaf101 19.06.2009, 13:55

Habe auch gestern eine Mail bekommen, weil meine Lizenz bald abläuft. War auch etwas erstaunt, daß meine Daten dort im Klartext stehen. Coole Show...

Geschrieben von: Solution-Design 19.06.2009, 14:01

Meine Bank schickt mir sogar meine Kontoauszüge inklusive zugehöriger Kontodaten in Klartext nach Hause. Unverfrorenheit... Werd denen mal was von Verschlüsselung erzählen müssen.

Sorry, aber wenn es darum geht, dass solche Daten nicht mehr in den/euren Posteingang gelangen sollen, dann schreibt emsisoft das per Mail.

Geschrieben von: Gregor 19.06.2009, 14:23

So jetzt habe ich alles geregelt, denke ich...
Das Leptop meiner Frau habe ich mit a-squared Anti Malware bestückt und für mein Lepi habe ich mir mal ESS 4 gegönnt.
Hätte mir auch ne zweite Lizenz bei @emsi holen können, aber wollte mal die ESS 4 ausprobieren.
Beide Lepis laufen rund, bin von beiden Produkten angenehm überrascht...

Geschrieben von: markusg 19.06.2009, 14:35

Im klartext, das mach doch jede firma... oder sollen die anstelle des pws im klartext lieber * oder ? verwenden...?

Geschrieben von: Ironhide 19.06.2009, 14:44

Ich hab auch noch nie eine E-Mail mit meinen verschlüsselten Nutzerdaten bekommen.

Gruss,
Ironhide

Geschrieben von: PcVersteher 19.06.2009, 18:22

Sie sollen mein Passwort senden, wenn ich es vergessen habe. Auch da gibt es geeignete Methoden, mit Links oder ähnlichem oder Freischaltcode.
Wenn das Tante Hertas Friseurladen macht, mache ich Tante Herta darauf aufmerksam. Von einem namhaften Hersteller von Sicherheitssoftware erwarte ich aber anderes.
Ob das andere anders machen, ist mir piep egal. Und wenn das einmal passiert, kann ich auch damit Leben. Aber nicht regelmäßig, ca. aller 4-6 Monate vom gleichen Anbieter. Mit dem gleichen Wortlaut und Zugangspasswörtern im Klartext.

mfg

Geschrieben von: aido 23.06.2009, 20:24

Ich habs jetzt mal auch geschafft a-squared Anti-Malware zu installieren. Jedoch meldet bei mir das Sicherheitscenter immer das das Antivirenmodul nicht aktiviert ist. Hat da jemand Abhilfe?

Habe schon etliche Neustarts gemacht ohne Wirkung. Die Dienste sind alle Aktiv.

aido

Geschrieben von: Habakuck 23.06.2009, 21:23

Jo, eine ösung habe ich für dich: Sicherheitscenter deaktivieren.

Geschrieben von: M.Richter 23.06.2009, 21:27

Seltsam, die Probleme mit der Integration ins Security Center sollten längst behoben sein...bei mir schon seit Wochen keine Probleme mehr damit...vllt einfach nochmal ein Update fahren oder nochmal neu installieren. Sollte helfen.

Geschrieben von: Gerwin 24.06.2009, 10:21

Seit Wochen schlage ich mich mit dieser Meldung auch herum. Kommt immer mal wieder am Tag hoch und verschwindet dann aber auch wieder. Jeden Tag hoffe ich, dass damit nun Schluß ist...??

Geschrieben von: Xeon 24.06.2009, 12:12

Vielleicht mal das Sicherheitscenter "Zurücksetzen", kann helfen....muss aber nicht.

Systemsteuerung > Verwaltung > Dienste aufrufen.

- Denn Dienst: "Sicherheitscenter" beenden.
- Denn Dienst: "Windows-Verwaltungsinstrumentation" beenden
- C:\windows\system32\wbem\repository - Ordner löschen.
- Sicherheitscenter-Dienst aktivieren (Die Repository wird automatisch nach PC-Neustart neu aufgebaut)
- Neustart.

Geschrieben von: aido 24.06.2009, 14:12

@xeon

Danke für den Hinweis. Die Lösung durch löschen des Repositories ist mir bekannt. Hatte ich damals schon mit Eset gehabt aber nur mit der deutschen Version, die englische lief wunderbar. Ich versuch es mal mit der englischen vielleicht klappts da ja.

Edit: Hatte kürzlich ein Gespräch mit Emsi. In kürze soll die Online Armor AV+ Version mit der Ikarus/Emsi-Engine veröffentlicht werden.

aido

Geschrieben von: Anubis 28.06.2009, 15:48

Gibts eigentlich derzeit irgendwo eine besonders interessante Gratislizenz oder Verlängerungslizenz, ne Aktion eben ? Müsste in 1-2 Wochen verlängern. Überlege derzeit noch, ich das will

Geschrieben von: cruchot 28.06.2009, 17:02

@Anubis: könnte dir per PM einen 30% Rabatt Code zukommen lassen.

Geschrieben von: Anubis 29.06.2009, 14:23

Hat sich erledigt, vielen Dank trotzdem

Geschrieben von: shad 29.06.2009, 16:07

Kurze Info am Rande: unter http://changeblog.emsisoft.com/ führen wir nun ein Blog mit Programmänderungen. Ist keine große Sache, aber eventuell interessiert es den einen oder anderen hier.

Geschrieben von: Aasblume 29.06.2009, 16:33

...in dem dann bald die frohe Botschaft über 64bit kommt, gell?! Macht endlich!!!

Gruß, Aasblume

Geschrieben von: Solution-Design 29.06.2009, 16:44

So hatte zumindest ich es mir gewünscht. Gute Aktion!

Geschrieben von: Stefan 29.06.2009, 21:10

Anscheinend werden das neue Tray-Icon und Vista immer noch keine Freunde.

Gerade noch nach Updates gesucht, aber keines gefunden und das Symbol ward nimmer gesehen.

http://pic.leech.it/pic.php?id=b3b5241fasquawind.jpg

... und nein, es ist nicht wie die anderen Icons ausgeblendet.

Beim Anfertigen des Screenshots stand übrigens der Mauszeiger über dem Icon und das Kontextmenü ist weiterhin aufrufbar.
Also ist es da, nur halt unsichtbar.

Geschrieben von: Ironhide 29.06.2009, 21:20

emsi hat schon in seinem Forum verkündet das das Problem behoben wurde und das Update in den nächsten tagen bereit gestellt wird.

Gruss,
Ironhide

Geschrieben von: Stefan 29.06.2009, 21:21

Danke für die Info, ich bin gespannt.

Geschrieben von: Solution-Design 29.06.2009, 21:42

Solche Fehler sind schon recht undankbar. Habe hier ein ähnlich seltsam gelagertes Problem, welches mich schon seit Windows-Gedenken begleitet. Diesmal mit "EVEREST Ultimate Edition". War immer schön das Desktop-Icon zum Start des Programmes vorhanden, eines Tages aber eben nicht mehr. Da kann man zwar herumfummeln, sieht auch im Programm das hinterlegte Icon, nur dahin, wohin man es haben möchte... das mag nicht mehr

/OT

Jetzt noch ein paar Kompatibilitätsproblemchen ausgeräumt und a-squared rulez

Geschrieben von: Ironhide 29.06.2009, 21:46

/OT

Jetzt noch ein paar Kompatibilitätsproblemchen ausgeräumt und a-squared rulez
[/quote]

Ganz deiner Meinung :-)

Geschrieben von: dataandi 30.06.2009, 05:54

Ärgernis bleibt weiterhin das Updateverhalten und die oft mangelnde Performance der Server.

Geschrieben von: Catweazle 01.07.2009, 18:55

Umbieg ich tuhe, dan gehört mein Problem auch doch hier mit rein....???!!!

http://www.rokop-security.de/index.php?showtopic=18917&st=0&gopid=278650&#entry278650

Catweazle

Geschrieben von: Solution-Design 01.07.2009, 19:20

Seit Version 4.0 dann 4.5 erschienen ist, gab es sehr viele kleine und auch große Änderungen. Auch Änderungen bezüglich Kompatibilität, Stabilität usw... Wobei ich gestehen muss, dass ihr fast jede Meckerei meinerseits irgendwie doch erledigt habt, trotz im Forum teilweise vorliegend zuerst ablehnender Haltung. Dafür ein LOB! Ich kann aber wohl nicht davon ausgehen, dass der Blog ein wenig weiter zurückdatiert wird als 2009-06-08, oder?

Geschrieben von: Catweazle 01.07.2009, 19:36

Nun ja, scheinbar haben die Updates bei mir funktoniert. Oder ?

Catweazle

Geschrieben von: Catweazle 01.07.2009, 20:23

Mittlerweile gab es wiederum ein update:

Aber was hat es auf sich mit dem Ikarus Defs, kahmen auch nicht.

Warum ?

Catweazle

Geschrieben von: Catweazle 01.07.2009, 20:32

What is the ""meaning"" of few minutes (--> 1 Month, 3 Weeks, or a half year) ?!

Ps: Sie wollen was verkaufen, können aber den support nicht halten, traurig, aber wahr

Catweazle

Geschrieben von: Solution-Design 01.07.2009, 23:21

Meist nur wenige Minuten.

Geschrieben von: Catweazle 02.07.2009, 18:14

Solution-Design danke, für dein Antwort.

Aber A² squared, mag mich nicht

PS: Mein USB Stick hat keinen Schreibschutz funktion, schieber oder sonst was.

Catweazle

Geschrieben von: Catweazle 02.07.2009, 18:42

Ich schwenke die weiße Fahne, ich gebe auf. Jetzt meint a² "files corrupt"... Das halten meine Nerven nicht mer aus.

Meine das dort: http://www.rokop-security.de/index.php?showtopic=18917&st=0&gopid=278650&#entry278650 in posting 14, von mir.

Catweazle

Geschrieben von: Solution-Design 02.07.2009, 20:48

Dieser Hinweis kommt nur, wenn ein Update nicht ordnungsgemäß abgeschlossen wurde. Ein erneutes Update sollte den Fehler beheben. Allerdings habe ich die USB-Version nie getestet.

Geschrieben von: Catweazle 03.07.2009, 19:59

Dein Heinweiß funktoniert leider nicht. Nun werde ich mal eien anderen USB Stick versuchen, leider glaube ich nicht daran das daß sicher funktoniert.

Catweazle

Geschrieben von: Catweazle 03.07.2009, 21:21

Nun, gut jetzt ging das ganze mit einem anderen USB Stick, keine probleme damit, hatte ein kleines update gezogen von 150 Kb, und das wars. Mal sehen wie es mit dem kommenden updates steht.

Cazweazle

Geschrieben von: Habakuck 04.07.2009, 10:26

Hallöle an alle.

Ich habe hier ein kleines Problem.

Und zwar habe ich grade auf einem Vista Home Rechner a-squared Free installiert.

Bei der Installation auch die Integration ins Kontextmenü mit ausgewählt.
Leider ist dort nun kein Eintrag vorhanden.
Wenn ich im a-squared Menä versuche den Haken bei Explorer Integration zu setzen dann übernimmt er die Einstellung nicht. Ich setze den Haken, wechsel in ein anderes Fenster und wieder zurück und der Haken ist wieder draußen. Setzen des Hakens, Neustart, nichts zaubert mir den Eintrag ins Kontextmenü....

Wie bekomme ich den denn nun dort hin? Auf meinem anderen Vista Lappi war das überhaupt kein Problem daher verstehe ich das grade nicht...

Geschrieben von: Aymibien 04.07.2009, 12:04

also das updateverhalten von a-squared ist, um es freundlich auszudrücken sehr wunderlich. mit der freeversion braucht man sich seit V4.5 keine hoffnungen auf ein ikarus-update zu machen. manuell bei der bezahlversion scheinbar auch nicht, da kann man aber ja auch autoupdate einschalten. da ich a-squared free ab und zu zum gegenscannen nutze, frage ich mich wann der "vielbeschäftigte" ikarus server mal lust hat updates rauszurücken

Geschrieben von: Rios 04.07.2009, 12:09

Ach darum ist auch bei Virustotal nur eine Erkennung von Ikarus http://www.rokop-security.de/index.php?s=&showtopic=11768&view=findpost&p=278866

Geschrieben von: Stefan 04.07.2009, 17:06

Also ich habe heute um ca. 08:00, 11:30 und jetzt um 18:00 Uhr Updates vom Ikarus-Server bekommen.
Allerdings hat er für die 128 kb eben knapp 3 Minuten gebraucht.
An der Serveraktualisierung dürfte es wohl nicht liegen, da das Update 3,5 h alt ist.

Geschrieben von: Solution-Design 04.07.2009, 17:18

Der Download der 128 kb dauerte auch hier gute 3 Minuten. Ist schon ein Hammer. Abgesehen davon, dass man durch das fehlende Update nach Systemstart mit PCs, welche nur kurz am Netz hängen, mit Tage alten Signaturen rumhampeln kann (an die Meckerei des SicherheitsCenters gewöhnt man sich nach ein paar Tagen) spielen die Server auch noch verrückt und rücken die Sigs nicht heraus. Nicht sehr zielführend das ganze.

Geschrieben von: maxos 04.07.2009, 17:40

Bei mir haben die 128 kb 22 Sekunden zum runterladen gedauert u. zwar um 17.57.

Lange dauert das runterladen eigentlich nie.

Nur manchmal dauert es halt bis zu 1 Stunde nach Etablierung einer Internetverbindung bis ein Update gefahren wird.

Geschrieben von: Catweazle 04.07.2009, 18:25

Ca. eine Minute bei 135 KB, schnell langsahm, das weiß ich nicht ?!

Bei der a² USB variante.

Aber die Ikarus defs, werde ich wahrscheinlich immer noch nicht haben, oder doch ?

Und die anderen Probleme, die ich mit den anderen Stick hatte schiebe ich mal auf server probleme.....

Catweazle

Geschrieben von: maxos 04.07.2009, 18:40

Dürfte doch manchmal länger dauern, denn nachdem ich jetzt mal darauf achtete muss ich etwas zurückrudern, denn um 18.57 kam ein update von 138 kb rein, u. das dauert 2 Min. u. 39 Sekunden.

Fiel mir bislang aber nicht negativ auf, da ja alles unauffällig im Hintergrund abläuft.


Nachtrag: Update um 19.57 brauchte für 271 kb dann wieder nur 6 Sekunden.

Erstaunlich, dass die Samstag Abend stündlich was zum übermitteln, updaten haben.
Kann zumindest keiner sagen, die würden pennen.

Geschrieben von: Solution-Design 04.07.2009, 19:37

Nein, das ist nicht schnell. Schnell wäre > 1.500 KB/s



Die drei Minütchen waren zwar auf einem anderen PC, aber obiges ist auch nicht der Hit in Tüten.

Geschrieben von: Catweazle 04.07.2009, 20:16

Wollen wir wirklich so weiter machen ?

Nach jeden Update, vorm Computer sitzen mit der Stoppuhr, in der Hand und das messen wie lange, das updaten dauert.

Was hat es nun mit den Ikarus Updates auf sich, die gibt es wahrscheinlich garnicht, Werbe Tam tam...


Catweazle

Geschrieben von: Aymibien 04.07.2009, 20:31

das problem das es keine updates gibt, scheint wohl nur die freeversion zu betreffen. ich auf jeden fall habe seit version 4.5 free installiert ist nie ikarus updates zu gesicht bekommen (gibt es wahrscheinlich gar nicht) . und wenn die da bei emi electrola ähm emsi denken, der kauft sich schon irgendwann die vollversion, kann ich nur sagen eher friert die Hölle zu, also auch nicht in 15 millionen jahren

vor allen dingen manuell klappt es bei der kaufversion auch nicht, habe mir vor kurzem mal die trialversion angeschaut... can not be serious emsi... . schafft euch mal pulse updates an....

Geschrieben von: Catweazle 04.07.2009, 20:37

@ Aymibien

Aber die können doch nicht den Kunden/Usern versprechen, das sie auch Ikarus Def´s bekommen, und die haben mit denen keine Abkommen abgeschlossen in dieser Richtung, ich weiß auch nicht was da wirklich im argen ist.

Catweazle

Geschrieben von: Aymibien 04.07.2009, 20:39

mit version 4 ging es noch...

Geschrieben von: korn2008 04.07.2009, 20:41

Ikarus Updates hin oder her. Ein wichtiger Grund, a-squared nicht zu nutzen, sind die sehr vielen fp's. Sowas kann sich kein Hersteller leisten. Qualitätsmanagement gleich Null.

Geschrieben von: Catweazle 04.07.2009, 20:42

...vieleicht muß ich da die Beta updates einkreutzen....


Catweazle

Geschrieben von: Catweazle 04.07.2009, 20:43

Eine begründung zwecks der FP`s ?

Catweazle

Geschrieben von: korn2008 04.07.2009, 20:44

Wie Begründung? Grund ist viele fp's.

Geschrieben von: Catweazle 04.07.2009, 20:48

FP`s gibt es bei vielen solche Tool´s, 100% Sicherheit gibt es nirgendwo, weder in der digtalen Welt, noch im wirklichen leben

Catweazle

Geschrieben von: Catweazle 04.07.2009, 20:59

Bei dieser Beta update funkton wurden ca. etwas über 5 MB geladen und das ging fix, aber was ma sich dabei noch weitere Probleme damit aufhalsen tut weiß ich auch nicht, Die Ikarus Defs waren es auch nicht.

Catweazle

Geschrieben von: Solution-Design 04.07.2009, 21:29

Nein, wäre natürlich Quatsch, darauf herumzureiten. Aber es wäre schön, wenn die Server etwas flotter unterwegs wären.



Die Free-Version lädt auch die Ikarus-Signaturen. Zwar nicht immer problemlos, aber da sind wir wieder bei den Servern. Das hat mit der Programmqualität Null zu tun.




a-squared ist recht scharf gestellt. Aber FPs... Die sind wirklich kaum noch der Rede wert. zumindest auf einem Standard-PC. Und falls es doch mal einen geben sollte, einschicken. G-Data, Avast, Avira... Da sind die FP-Anzahlen nur sehr geringfügig niedriger. Wenige bis keine FPs, Symantec / Microsoft. Wer wenig mit der AV-Software zu tun haben möchte, wird um die beiden sowieso nicht herumkommen. Bei a-squared sollte man schon die Hinweise mal lesen.

Geschrieben von: Aymibien 04.07.2009, 21:48

kaspersky nicht zu vergessn, hat auch praktisch keine FP's

aber bezüglich ikarus , große katastrophe , keine updates möglich seit wochen... unglaublich. probiere natürlich nicht täglich... hatte schon manchmal die vermutung , daß er doch ikarus updated es mir nur nicht angezeigt wird

Geschrieben von: Catweazle 04.07.2009, 22:10

Komisch ist das schon das ganze das da dort im A² Forum, noch keiner EXPLIZIT da nach den Ikarus Updates gefragt hatte,

Catweazle

Geschrieben von: Stefan 04.07.2009, 23:37

Mit aktivierten Beta-Updates löst du das Update-Problem jedenfalls nicht.

Dazu gab es dort in der Vergangenheit schon Threads. Musst halt etwas suchen, dann wirst du auch fündig.

@all:
Was es mit den Update-Problemen bei der Free-Version auf sich hat, weiß ich nicht. Ehrlich gesagt ist mir das als zahlender Kunde auch wurscht.

Irgendwie ist mir aber so, dass diese schleppenden Ikarus-Updates meist an Wochenenden auftreten (wenn es nicht gerade ein Versionsupdate gibt). Vielleicht führen die dann ja an den Servern Wartungsarbeiten durch.

Geschrieben von: dragonmale 04.07.2009, 23:45

Ich nutze beide Versionen (also Free und Pay) und es werden bei beiden regelmäßig auch die Ikarus-Sigs heruntergeladen.


@ Catweazle und @ Aymibien,
seid ihr euch wirklich sicher, dass ihr keine Ikarus-Updates bekommt?

Ich kann mir nicht helfen, aber irgendwie beschleicht mich hierbei eher das Gefühl, dass einige wohl eher nicht wissen, woran man denn überhaupt die Ikarus-Updates erkennt -> schaut doch bitte einfach mal im Programm unter "Protokoll" -> "Update" und markiert jeweils einen Eintrag mit dem Ergebnis "Update erfolgreich" und klickt dann mal auf "Details" ... und darunter werdet ihr dann wahrscheinlich auch des Öfteren Einträge ala "Signatures\T3sigs.vdb (xxxxxx Bytes) - geupdated" finden ... und T3 ist das Ikarus Scannermodul ...

Geschrieben von: claudia 05.07.2009, 00:05

Kann ich auch so bestätigen!

Und ich war hier im Forum bestimmt nicht gut auf Ikarus zu sprechen was die F/P
betraf, aber in der Zeit wo Ikarus und Emsi zusammen arbeiten, gehören Fehlalarme
auf meinem Rechner der Vergangenheit an.

Geschrieben von: Aasblume 05.07.2009, 08:01

Ob Ikarus-updates jetzt mitkommen oder nicht: Langt es nicht die Summe auf der homepage
[attachment=4965:Aufzeichnen3.JPG]
mit der Summe im Produkt zu vergleichen?

Geschrieben von: maxos 05.07.2009, 08:29

In Sachen FP's dürfte sich einiges getan haben.

Ich leide nicht darunter.
Was stören könnte, ist der Host Schutz beim surfen, wo es schon mal vorkommen kann, dass vorgeschlagen wird einen host zu blockieren, der eigentlich in Ordnung ist.

In der Com 8/2009 wurde a-squared nochmal nachgetestet u. im Vergleich zum Test aus 1/2009 angemerkt, dass neben der sehr hohen Erkennung das vormals vorhandene FP Problem nun nicht mehr gegeben sei.

Geschrieben von: Aymibien 05.07.2009, 09:11

Hola

Hier ein update protokoll, diesT3 ist dabei?!


Allgemeine Informationen:

Update Beginn: 04.07.2009 19:23:33
Update Ende: 04.07.2009 19:29:47
Dauer: 0:06:14

Update erfolgreich

Detail-Informationen:

66 Module, 15410105 Bytes

Signatures\20090503.sig (122578 Bytes) - geupdated
Signatures\20090506.sig (55281 Bytes) - geupdated
Signatures\20090511.sig (42643 Bytes) - geupdated
Signatures\20090512.sig (2746 Bytes) - geupdated
Languages\hu-hu.lng (122736 Bytes) - geupdated
Signatures\20090513.sig (53927 Bytes) - geupdated
Signatures\30000601.sig (362882 Bytes) - geupdated
Signatures\30000602.sig (382788 Bytes) - geupdated
Signatures\20090514.sig (57218 Bytes) - geupdated
Signatures\20090516.sig (48281 Bytes) - geupdated
Signatures\20090517.sig (53635 Bytes) - geupdated
Signatures\20090518.sig (83973 Bytes) - geupdated
Signatures\30000201.sig (149502 Bytes) - geupdated
Signatures\20090521.sig (53238 Bytes) - geupdated
Signatures\20090522.sig (72298 Bytes) - geupdated
Signatures\30000108.sig (551968 Bytes) - geupdated
Signatures\20090526.sig (79991 Bytes) - geupdated
Signatures\20090527.sig (36510 Bytes) - geupdated
Signatures\20090528.sig (71276 Bytes) - geupdated
Signatures\30000119.sig (37189 Bytes) - geupdated
Signatures\20090529.sig (48687 Bytes) - geupdated
Signatures\20090531.sig (54962 Bytes) - geupdated
Signatures\20090602.sig (47564 Bytes) - geupdated
Signatures\20090603.sig (44051 Bytes) - geupdated
Languages\de-de.lng (270418 Bytes) - geupdated
Languages\nl-nl.lng (260488 Bytes) - geupdated
Languages\en-us.lng (245608 Bytes) - geupdated
Signatures\20090604.sig (43410 Bytes) - geupdated
Signatures\20090605.sig (45957 Bytes) - geupdated
Languages\ca-es.lng (283192 Bytes) - geupdated
Languages\es-es.lng (289076 Bytes) - geupdated
Languages\fr-fr.lng (288082 Bytes) - geupdated
Languages\cz-cz.lng (217248 Bytes) - geupdated
Signatures\20090607.sig (80831 Bytes) - geupdated
a2update.dll (586888 Bytes) - geupdated
a2framework.dll (521360 Bytes) - geupdated
engine.dll (553600 Bytes) - geupdated
a2wl.dat (142004 Bytes) - geupdated
a2trust.dat (22287 Bytes) - geupdated
a2cmd_readme.txt (6816 Bytes) - geupdated
Signatures\20090608.sig (46893 Bytes) - geupdated
Signatures\30000701.sig (452463 Bytes) - geupdated
Signatures\20090609.sig (1601 Bytes) - geupdated
a2service.exe (718880 Bytes) - geupdated
Signatures\20090610.sig (43617 Bytes) - geupdated
Signatures\20090611.sig (37056 Bytes) - geupdated
Signatures\20090612.sig (38324 Bytes) - geupdated
Signatures\30000118.sig (5930 Bytes) - geupdated
Signatures\20090614.sig (40419 Bytes) - geupdated
Signatures\20090615.sig (46621 Bytes) - geupdated
Signatures\20090617.sig (41222 Bytes) - geupdated
Signatures\20090619.sig (88671 Bytes) - geupdated
Signatures\20090621.sig (56042 Bytes) - geupdated
Signatures\20090622.sig (40204 Bytes) - geupdated
Signatures\20090623.sig (37802 Bytes) - geupdated
Languages\pl-pl.lng (123128 Bytes) - geupdated
Languages\ar-sa.lng (224368 Bytes) - geupdated
Signatures\20090624.sig (4704 Bytes) - geupdated
Signatures\20090625.sig (38334 Bytes) - geupdated
Signatures\20090626.sig (45773 Bytes) - geupdated
Signatures\20090628.sig (65945 Bytes) - geupdated
Signatures\20090630.sig (64118 Bytes) - geupdated
Signatures\20090701.sig (49516 Bytes) - geupdated
T3.dll (6076920 Bytes) - geupdated
Signatures\30000702.sig (445688 Bytes) - geupdated
Signatures\20090703.sig (82677 Bytes) - geupdated

Geschrieben von: Catweazle 05.07.2009, 15:12

Bilder sagen, mehr als tausend Worte

Catweazle

Geschrieben von: dragonmale 05.07.2009, 15:56

Sorry Catweazle, aber liest du eigentlich auch mal, was andere User schreiben? Du hast in deinem ersten Bild einen Eintrag, mit dem Ergebnis "Keine Updates verfügbar", ausgewählt -> wie willst du denn darunter die Ikarus-Updates finden?
Hast du denn schon mal unter den fünf außerdem noch zusehenden Einträgen, mit dem Ergebnis "Update erfolgreich", nachgeschaut?

Geschrieben von: Catweazle 05.07.2009, 16:07

Also ich hab blos das hier:

Allgemeine Informationen:

Update Beginn: 03.07.2009 21:09:37
Update Ende: 03.07.2009 21:13:33
Dauer: 0:03:56

Update erfolgreich

Detail-Informationen:

1 Module, 158220 Bytes

Signatures\T3sigs.vdb (158220 Bytes) - geupdated ; Ikarus ?


Allgemeine Informationen:

Update Beginn: 03.07.2009 21:16:16
Update Ende: 03.07.2009 21:16:44
Dauer: 0:00:28

Keine Updates verfügbar

Detail-Informationen:

0 Module, 0 Bytes

Allgemeine Informationen:

Update Beginn: 04.07.2009 10:55:14
Update Ende: 04.07.2009 10:56:38
Dauer: 0:01:24

Update erfolgreich

Detail-Informationen:

1 Module, 471589 Bytes

Signatures\T3sigs.vdb (471589 Bytes) - geupdated ; Ikarus ?


Allgemeine Informationen:

Update Beginn: 04.07.2009 11:03:12
Update Ende: 04.07.2009 11:03:41
Dauer: 0:00:29

Keine Updates verfügbar

Detail-Informationen:

0 Module, 0 Bytes



Allgemeine Informationen:

Update Beginn: 04.07.2009 15:38:51
Update Ende: 04.07.2009 15:40:13
Dauer: 0:01:22

Update erfolgreich

Detail-Informationen:

1 Module, 128638 Bytes

Signatures\T3sigs.vdb (128638 Bytes) - geupdated ; Ikarus ?


Allgemeine Informationen:

Update Beginn: 04.07.2009 16:27:26
Update Ende: 04.07.2009 16:28:35
Dauer: 0:01:09

Keine Updates verfügbar

Detail-Informationen:

0 Module, 0 Bytes

Allgemeine Informationen:

Update Beginn: 04.07.2009 19:20:03
Update Ende: 04.07.2009 19:21:26
Dauer: 0:01:23

Update erfolgreich

Detail-Informationen:

1 Module, 138640 Bytes

Signatures\T3sigs.vdb (138640 Bytes) - geupdated; Ikarus ?


Allgemeine Informationen:

Update Beginn: 04.07.2009 21:54:37
Update Ende: 04.07.2009 21:56:01
Dauer: 0:01:24

Update erfolgreich

Detail-Informationen:

10 Module, 5336210 Bytes

a2freecontmenu.dll (224400 Bytes) - geupdated
a2freecontmenu64.dll (302736 Bytes) - geupdated
a2framework.dll (521872 Bytes) - geupdated
a2cmd.exe (457360 Bytes) - geupdated
a2service.exe (719392 Bytes) - geupdated
a2update.dll (584840 Bytes) - geupdated
engine.dll (555136 Bytes) - geupdated
a2free.exe (1451632 Bytes) - geupdated
Languages\en-us.lng (246884 Bytes) - geupdated
Languages\de-de.lng (271958 Bytes) - geupdated


Allgemeine Informationen:

Update Beginn: 04.07.2009 22:00:41
Update Ende: 04.07.2009 22:01:35
Dauer: 0:00:54

Keine Updates verfügbar

Detail-Informationen:

0 Module, 0 Bytes

Allgemeine Informationen:

Update Beginn: 05.07.2009 16:08:57
Update Ende: 05.07.2009 16:08:59
Dauer: 0:00:02



Detail-Informationen:

0 Module, 0 Bytes


Allgemeine Informationen:

Update Beginn: 05.07.2009 16:52:48
Update Ende: 05.07.2009 16:55:34
Dauer: 0:02:46

Update erfolgreich

Detail-Informationen:

10 Module, 4146510 Bytes

Signatures\T3sigs.vdb (209599 Bytes) - geupdated ; Ikarus ?
a2free.exe (1130043 Bytes) - geupdated
a2freecontmenu64.dll (130252 Bytes) - geupdated
a2freecontmenu.dll (105732 Bytes) - geupdated
a2update.dll (573517 Bytes) - geupdated
a2framework.dll (503933 Bytes) - geupdated
engine.dll (539878 Bytes) - geupdated
a2cmd.exe (216366 Bytes) - geupdated
a2service.exe (669967 Bytes) - geupdated
Signatures\20090705.sig (67223 Bytes) - geupdated; A² + Ikarus ?

Ich glaube ich bin nicht up to date.

Catweazle

Geschrieben von: dragonmale 05.07.2009, 16:15

... kann ich so nicht beurteilen, allerdings

bekommst du definitiv Ikarus Updates ...

Nachtrag:
Übrigens, wenn bei einem manuellen Update (im Fenster) von"Additional Signatures" die Rede ist, dann sind damit die Ikarus-Updates gemeint ...

Geschrieben von: Catweazle 05.07.2009, 18:36

Also du meinst ich besitze auch die Ikarus updates, also bin ich auf dem neuesten Stand mit dem updates, also alles in drockenen Tüchern.

Aber warum hat Aymibien 66 Module laufen bei sich, und bei mir sind es nur 24 Module, wenn ich sie nun richtig gezählt hatte ...?

Danke für deine Bemühungen, und Antwort.

Catweazle

Geschrieben von: claudia 05.07.2009, 23:58

Ist die Frage ernst gemeint?
Ich glaube Du bist Urlaubsreif!

Nichts für ungut
Claudia

Geschrieben von: Tanzbaer 06.07.2009, 22:16

[attachment=4978:sshot_1.png]

So sieht es bei mir aus Catweazle

Geschrieben von: Anubis 08.07.2009, 10:17

Seit heute Morgen habe ich im Systray Symbol von A Squared plötzlich ein kleines rotes Kreutzchen. Was ist denn nu ?

Geschrieben von: Kenshiro 08.07.2009, 10:24

Kannst die selbe Frage ins http://forum.emsisoft.com/Default.aspx?g=topics&f=6 posten. Vll wissen die Rat

Geschrieben von: Ironhide 08.07.2009, 10:32

Tue mal den Wächter beenden und neustarten.

Gruss,
Ironhide

Geschrieben von: Aasblume 08.07.2009, 10:42

Installationsreste vom MOORHUHN... "Wer den Schaden nicht hat..." ich weiß, also sorry und den Humor nicht verlieren!

Geschrieben von: Catweazle 11.07.2009, 19:53

Wahrscheinlich ein FP, aber man weiß ja nie....

a-squared Free - Version 4.5
Letztes Update: 11.07.2009 19:32:53

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 11.07.2009 19:34:11

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1247317814875003 gefunden: Trace.TrackingCookie.cms!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1247317814875004 gefunden: Trace.TrackingCookie.cms!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1247330977468000 gefunden: Trace.TrackingCookie.pop!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1247331275515000 gefunden: Trace.TrackingCookie.humanclick!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1247331275515002 gefunden: Trace.TrackingCookie.humanclick!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1247331286031000 gefunden: Trace.TrackingCookie.humanclick!A2
C:\Dokumente und Einstellungen\Holger\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\Cache\FB4F307Cd01 gefunden: Trojan.IFrame.P!IK

Gescannt

Dateien: 183586
Traces: 372114
Cookies: 1685
Prozesse: 23

Gefunden

Dateien: 1
Traces: 0
Cookies: 6
Prozesse: 0
Registry Keys: 0

Scan Ende: 11.07.2009 20:22:39
Scan Zeit: 0:48:28

Datei FB4F307Cd01 empfangen 2009.07.11 18:45:03 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/41 (4.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.07.11 Trojan.IFrame.P!IK
AhnLab-V3 5.0.0.2 2009.07.11 -
AntiVir 7.9.0.204 2009.07.11 -
Antiy-AVL 2.0.3.1 2009.07.10 -
Authentium 5.1.2.4 2009.07.11 -
Avast 4.8.1335.0 2009.07.10 -
AVG 8.5.0.387 2009.07.11 -
BitDefender 7.2 2009.07.11 -
CAT-QuickHeal 10.00 2009.07.10 -
ClamAV 0.94.1 2009.07.11 -
Comodo 1618 2009.07.11 -
DrWeb 5.0.0.12182 2009.07.11 -
eSafe 7.0.17.0 2009.07.09 -
eTrust-Vet 31.6.6608 2009.07.10 -
F-Prot 4.4.4.56 2009.07.11 -
F-Secure 8.0.14470.0 2009.07.11 -
Fortinet 3.120.0.0 2009.07.11 -
GData 19 2009.07.11 -
Ikarus T3.1.1.64.0 2009.07.11 Trojan.IFrame.P
Jiangmin 11.0.706 2009.07.11 -
K7AntiVirus 7.10.790 2009.07.11 -
Kaspersky 7.0.0.125 2009.07.11 -
McAfee 5673 2009.07.11 -
McAfee+Artemis 5673 2009.07.11 -
McAfee-GW-Edition 6.8.5 2009.07.11 -
Microsoft 1.4803 2009.07.11 -
NOD32 4235 2009.07.11 -
Norman 6.01.09 2009.07.10 -
nProtect 2009.1.8.0 2009.07.11 -
Panda 10.0.0.14 2009.07.11 -
PCTools 4.4.2.0 2009.07.11 -
Prevx 3.0 2009.07.11 -
Rising 21.37.52.00 2009.07.11 -
Sophos 4.43.0 2009.07.11 -
Sunbelt 3.2.1858.2 2009.07.11 -
Symantec 1.4.4.12 2009.07.11 -
TheHacker 6.3.4.3.365 2009.07.11 -
TrendMicro 8.950.0.1094 2009.07.10 -
VBA32 3.12.10.8 2009.07.11 -
ViRobot 2009.7.11.1831 2009.07.11 -
VirusBuster 4.6.5.0 2009.07.11 -
weitere Informationen
File size: 53945 bytes
MD5...: 2a2fb5798dc31fa7e2a978aa0aeefa86
SHA1..: 3670d309e78c7c597488c1998fe84b0351a6cb7f
SHA256: 06b686ffa5ddf20760b0a32c9046fe32d51d2ebdb5d0b2f1ef54f3768480e810
ssdeep: 768:HaHGmEss+lmNP+CzVpmksu/foJcJvZrDe0aSIfgwvIQRpgB7Mtk/I29:6HGm
i+82CBpmksu/foJcBZrlR9
PEiD..: -
TrID..: File type identification
HyperText Markup Language (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Und das hier ist beim löschen der cokies passiert, A2 USB variante hat ein Bug Report erstellt, den poste ich hier im momment nicht, habe ich aber an das A² Team gesand.

Catweazle

Geschrieben von: Catweazle 11.07.2009, 20:07

Und was meint ihr ?

Kaspersky, Malwarebytes' Anti-Malware, SUPERAntiSpyware meldet bei mir nichts !

Catweazle

Geschrieben von: Catweazle 11.07.2009, 20:12

Also ein Update, gab es in der Vergangenheit auch nicht, so das es gefixt wurde wen es sich dabei wirklich im ein FP handeln würde.

Catweazle

Geschrieben von: citro 11.07.2009, 20:39

Eine infizierte Webseite (?)

Sende die .html Datei zu Avira und KAV, bis Montag hast spätestens das Ergebnis.

Geschrieben von: Catweazle 11.07.2009, 20:46

Wie kommst du drauf ?

Verstehe dein posting nicht...!?

Catweazle

Geschrieben von: Catweazle 11.07.2009, 20:53

...es müßten dan doch viele diesen Fehlarlarm haben, oder ?

Catweazle

Geschrieben von: citro 11.07.2009, 20:54

Na die Datei in deinem Cache und der Frage nach dem evtl. FP - ich dachte du bist schon lange genug dabei...
nichts für ungut

Geschrieben von: Catweazle 11.07.2009, 20:55

???

Ich stelle mich wieder "Dumm" an ?!

Catweazle