Merkwürdiges Verhalten des Avira Echtzeitschutzes Einstellungen

[simracer]

Das ersetzt keine Protokollierung ;-) Spannend wäre jetzt was du bewiesen hast? Das der Installer zwar sehr gründlich ist, aber dennoch was hinterlässt - oder ob ein Drittanbieteruninstaller mal wieder das entfernen zweier Kleinigkeiten verhinderte ;-)

Aber vor allem zerrammel dir die Festplatte(n) nicht, wenn du so oft scannst

Ob ich mir meine Festplatte zerrammel oder nicht, das lass mal mein Bier sein und ich kann dir zwar dir nicht befriedigende Beweise liefern, aber Fakt ist: Die Infektionen wurden nachdem gefunden nachdem Free Opener zuerst installiert und danach wieder deinstalliert wurde.

Der Beitrag wurde von simracer bearbeitet: 17.04.2014, 14:25

[SLE]

Ob ich mir meine Festplatte zerrammel oder nicht, das lass mal mein Bier sein

Spassbremse ;-)

Fakt ist: Die Infektionen wurden nachdem gefunden nachdem Free Opener zuerst installiert und danach wieder deinstalliert wurde.

Welche Infektionen? 2 Traces einer Adware sind keine Infektion

[dietlmann]

... hier geht es ja auch um Free Opener. wenn ich dietlmann richtig verstanden habe.

Nein, eigentlich nicht Der Free Opener ist mir völlig egal, es geht mir um das sonderbare Verhalten des Guard, welches ich zufällig beim Download des Free Openers festgestellt habe.
Aber ich freue mich über eine lebhafte Diskussion, solange es nicht zu weit vom Thema weg geht

[Schattenfang]

Ich tippe auf ein Windows-Caching-Problem. Habe so etwas bei anderen OA-Modulen auch schon häufiger gehabt. Glaube nicht, dass das an Avira im Speziellen liegt.

[simracer]

Spassbremse ;-)

Mach dich meinetwegen nicht verrückt wie oft ich noch XP quäle bevor ich mir Windows 7 zulegen darf

Welche Infektionen? 2 Traces einer Adware sind keine Infektion

Ja das hast du mal vor längerer Zeit erklärt das Traces Überbleibsel einer entfernten Infektion(en)sind

Der Beitrag wurde von simracer bearbeitet: 17.04.2014, 15:08

[SkeeveDCD]

Adware und PUA (potentially unwanted application) ist nicht unbedingt das Gleiche!

Und ich kann auch nur stark davon abraten, irgendwelche von diesen mehr oder weniger optionalen "Tools" zu installieren.

Unsere Erfahrung zeigt, das scheinbar die Malware-Autoren ein neues Betätigungsfeld gefunden haben und jetzt eben derartige PUA produzieren. Hart an der Schmerzgrenze und gerade eben so harmlos, das eine Klassifizierung als Malware nicht ok ist.

Ich konnte das APPL Erkennungsproblem übrigens jetzt in der VM nachvollziehen. Es scheint aber nur APPL/* zu betreffen, eine TR/Dropper.Gen z.B. wurde normal geblockt.

[dietlmann]

@SkeeveDCD: Okay, habs auch reproduzieren können auf einer VM mit nacktem Win7 Home SP1 und frisch installiertem Avira Free mit /APPL-Erkennung. Zunächst wurde Datei erkannt aber nach einem Neustart und anschließendem Update ging das File wieder durch. E-Mail mit Screenshots und Protokolldateien hab ich an heuristik2@avira.com gesendet.

Der Beitrag wurde von dietlmann bearbeitet: 17.04.2014, 16:09

[Solution-Design]

In meiner XP-Installation in einer VM ist es nicht nachvollziehbar. Egal wie viele Neustarts auch immer. Egal ob über Download oder Plug&Play vom Dektop zum Desktop. Es wird immer erkannt.

[dietlmann]

In meiner XP-Installation in einer VM ist es nicht nachvollziehbar. Egal wie viele Neustarts auch immer. Egal ob über Download oder Plug&Play vom Dektop zum Desktop. Es wird immer erkannt.

Mach mal ein Update und versuche es danach noch mal.

[Gast_Jeannie87_*]

Wie bereits erwähnt, ich habe den Verdacht, dass der "Fehler" immer nur nach einer Signatur-Aktualisierung auftritt.

Hatte heute mittag manuell ein Signatur-Update gezogen und danach den Download mit Free Opener auf der HP gestartet,die Adware wurde nicht erkannt.
Jetzt gerade noch einmal ohne Signatur-Update probiert,die Adware wird erkannt.

[dietlmann]

Hatte heute mittag manuell ein Signatur-Update gezogen und danach den Download mit Free Opener auf der HP gestartet,die Adware wurde nicht erkannt.
Jetzt gerade noch einmal ohne Signatur-Update probiert,die Adware wird erkannt.

Exakt meine Beobachtung
Es hängt also irgendwie mit dem Update zusammen. Bleibt nur zu hoffen, dass dies mit nur wenigen Adware-Signaturen so ist, weil ansonsten hätte der Avira-Guard ein riesen Sicherheitsproblem.

[Solution-Design]

Habt gewonnen. Um dahin zu kommen, darf Avira aber nicht selbst ein Update fahren (was vorgegeben ist). War nun alles eine Sache der Geschwindigkeit.

[dietlmann]

Um dahin zu kommen, darf Avira aber nicht selbst ein Update fahren (was vorgegeben ist). War nun alles eine Sache der Geschwindigkeit.

Sorry dass ich widersprechen muss, aber ich habe nicht jedesmal ein manuelles Update gefahren, bevor das Problem aufgetreten ist. Das war nur um das Problem schnell zu reproduzieren. In den letzten Wochen ist das Problem wiederholt aufgetreten nach dem automatischen Update, welches Avira Free alle 6 Stunden abruft.

Trotzdem entspannte Ostertage an alle

[Solution-Design]

Sorry dass ich widersprechen muss, aber ich habe nicht jedesmal ein manuelles Update gefahren, bevor das Problem aufgetreten ist.

Seltsam. Das habe ich gestern schon x-mal versucht, konnte es nie verifizieren. Erst heute, bevor das 6-stündige Update gefahren wurde, hat es mit dem manuellen funktioniert.

Edit: gepimpt

Der Beitrag wurde von Solution-Design bearbeitet: 18.04.2014, 19:20

[dietlmann]

@SkeeveDCD: Gibt es neue Erkenntnisse, was den Bug angeht? Eine Beobachtung kann ich noch ergänzen: Wenn der Guard die Adware durchlässt und ich danach in der Guard-Konfiguration von "Intelligente Dateiauswahl" auf "Dateierweiterungsliste", "Alle Dateien" oder umgekehrt umschalte, funktioniert die Echtzeiterkennung auch wieder (bis zum nächsten Mal).

Der Beitrag wurde von dietlmann bearbeitet: 22.04.2014, 20:11

[dietlmann]

Gerade zum ersten Mal den Echtzeitscanner-Bug an einer anderen "Adware" beobachtet. Beim Versuch den neuen Mediamarktprospekt bei Chip herunterzuladen, bekommt man den Chip-Downloader auf die Platte, bei Avira eigentlich bekannt als "APPL/Downloader.A.15". Der Guard lässt ihn durch, manueller Scan will ihn in Quarantäne schicken. Der Bug (wenn er auftritt) betrifft wohl die gesamte Erkennungskategorie "APPL"

Hat sich also trotz des großen Updates gestern diesbezüglich nichts getan

[dietlmann]

Der Bug scheint mit der neuen Version 14.0.5.444 gefixt, er lässt sich bei mir jedenfalls nicht mehr reproduzieren

[Mike]

Siehste geht doch.