Merkwürdiges Verhalten des Avira Echtzeitschutzes Einstellungen

[SLE]

Nicht merkwürdig. Ich habe noch etwas übersehen.

Scherzprogramme? Nimmt man das ernst müsste das Programm permanent anschlagen.

Zum Speed: Bei Avira hatte ich oft das Phänomen, dass es in VMs deutlicher zu spüren war als andere Bremsen, auf echten Systemen nicht so. V.a. on-execution ist es ganz passabel.

Zu der 9 von 10 Problematik: Cachingphänomene würde ich nicht ausschließen.

[dietlmann]

@Solution-Design: Auf dem Rechner, auf dem das Problem auftrat ist Win8.1 installiert. Habe die Sache aber unter einer VM mit Windows XP ebenfalls nachstellen können. Wenn ich den Eindruck erweckt habe, das es irgendwie mit dem Booten zusammenhängt, dann habe ich dich auf die falsche Spur geführt. Auch eine ganze Zeit nach dem Hochfahren kann die Sache beobachtet werden.

Hab´s gerade noch mal gehabt, der File geht durch. Anschließend Test mit Eicar, wird sofort erkannt Die Sache ist irgendwie kompliziert. Aber Avira hat zuvor ein Signatur-Update durchgeführt.

[dietlmann]

@SkeeveDCD: Es handelt sich um Win8.1 (noch ohne das Win 8.1 Update, aber mit allen anderen Updates und Patches). Verwendet wurde der IE11, Addons: Evernote, Microsoft Office Lync und OneNote, sonst keine Plugins. Avira Free 14.03.350, Scan-Engine 8.03.18.04. Avira war nur mit Echtzeitschutz installiert, Erkennungskategorie APPL war eingeschaltet, Intelligente Dateiauswahl. Keine andere Sicherheitssoftware. Konnte die beschriebene Beobachtung bisher nur mit dieser einen Adware "Free Opener" machen, egal ob bei Chip oder auf der Herstellerseite selbst gedownloaded.

Da das Phänomen auch in einer rudimentären VM mit Windows XP und IE8 auftritt, ohne weitere Installationen außer Avira Free, werde ich versuchen hier mal einen Log mit dem Support-Collector zu erstellen. Hab nur gerade keine Zeit

Der Beitrag wurde von dietlmann bearbeitet: 17.04.2014, 10:27

[Krond]

...Bei Avira....V.a. on-execution ist es ganz passabel.....

Schade, dass es in den neueren Versionen kein On-Execution mehr gibt. Man kann nur einstellen, dass beim Lesen und/oder Schreiben geprüft wird. Bei Ausführung lässt sich nicht (mehr) einstellen.

[SkeeveDCD]

Ok, dann teste ich das ebenfalls mit einer VM und IE.

[SkeeveDCD]

Schade, dass es in den neueren Versionen kein On-Execution mehr gibt. Man kann nur einstellen, dass beim Lesen und/oder Schreiben geprüft wird. Bei Ausführung lässt sich nicht (mehr) einstellen.

Es gab noch nie eine extra Option für On-Execute Scan, er ist per Default an - und die Funktionalität wurde und wird auch nicht entfernt. Dann würde der Cloud-Scan ebenfalls nicht mehr funktionieren.

[Krond]

Wenn man Wilders-Kommentaren glauben kann, dann war die Einstellung aber früher anders.

[SkeeveDCD]

Wenn man Wilders-Kommentaren glauben kann, dann war die Einstellung aber früher anders.

Welche Avira Version soll das gewesen sein? Vielleicht mit Avast verwechselt? Da gibt es eine extra Option dafür.

[SkeeveDCD]

@dietlmann:

Beim Test in der VM konnte ich das Problem nicht reproduzieren. Avira Free 14, IE 8, Win7 64 bit. Die Datei von Freeopener wird immer als APPL/DomaIQ.Gen5 geblockt.

[Krond]

Welche Avira Version soll das gewesen sein? Vielleicht mit Avast verwechselt? Da gibt es eine extra Option dafür.

Nichts mit Avast verwechselt....

Siehe Wilders: http://www.wilderssecurity.com/threads/avira.345492/
Beitrag 1606 ist interessant: http://www.wilderssecurity.com/threads/avi...65#post-2356451
Da wird sogar ein Beitrag im Avira-Forum gepostet: https://forum.avira.com/wbb/index.php?page=...threadID=157056

Also so, als ob man bei Avira nichts wüsste davon, ist es ja nicht gerade. Nur weil die (ihr) Leute bei Avira meinen (meint): "We start a step-by-step process to remove from the user interface those options which we think are obsolete, not used by anyone anymore or are active by default and it makes no sense to deactivate them." (eigentlich dachte ich, ihr wisst, was in eurem eigenen Forum vorgeht, Sorry, der Seitenhieb musste jetzt sein auf deine obige Feststellung, dass es nie eine solche Einstellung gab), heißt das noch lange nicht, dass KEINER diese Option verwendet hätte. Ganz im Gegenteil, bei On-Execution würden sicher mehr Leute das Ding verwenden.

Ein bisschen über den Tellerrand schauen und nicht die User bevormunden wollen, wäre schon nicht schlecht. Das versuchen andere AV´s auch schon seit längerer oder kürzerer Zeit (Beispiel Kaspersky) und dass dies nicht unbedingt der Kundenbindung zu Gute kommt, ist schon klar (hoffentlich zumindest).

Warum nimmt man solche Einstellungen raus? Ist mir nicht gerade verständlich.

Der Beitrag wurde von Krond bearbeitet: 17.04.2014, 12:25

[SkeeveDCD]

In keinen dieser Beiträge wird On-Execute erwähnt. Wenn ich dich richtig verstehe, willst du Scan ONLY on-execute der Performance wegen, oder?
Falls ja, was ist mit Scripten, Dokumenten, Exploits in Java, Flash, PDF? Alle diese Dateien werden nicht "executed", es gibt nur Datei öffnen (oder anlegen).

Das Problem bei diesen Optionen ist, das die User nicht wirklich einschätzen können, wie sehr sie damit die Schutzfaktor verändern und potentiell zu sehr einschränken.

Aber ich bin auch kein Fan davon, den Usern zu bevormunden.

[dietlmann]

@SkeeveDCD: Danke für die Mühe Ich werde beim nächsten Mal, wenn das Phänomen auftritt, die Sache dokumentieren. Wie bereits erwähnt, ich habe den Verdacht, dass der "Fehler" immer nur nach einer Signatur-Aktualisierung auftritt.

[SkeeveDCD]

Hmm, wieviel Zeit liegt grob zwischen dem Update und dem Download-Versuch?

Wie gesagt, der Bug ist sehr interessant für uns, da ich schon ein paar Mal den Guard + Update in Verdacht hatte, aber wir das nie reproduzieren konnten bisher. :-( Da der Bug hier zuverlässig reproduzierbar ist, ist die Situation ideal für Research um den Bug endlich auf die Schliche zu kommen :-)

[SLE]

betreff: on-execute
In Avira hieß die Option doch "beim lesen", die Alternative war "lesen und schreiben" - das gibt es nicht mehr?
Und sowas greift doch dann, je nach Implementierung, beim öffnen aller Dateitypen und prüft auch was denn da ausgeführt wird. Denn die ganze Exploitproblematik beruht doch auch nur im Wesentlichen darauf, dass Scripte a.) etwas erstellen und/oder b.) Code ausführen.

Scanner die immer on-access rumrattern, nur weil etwas gespeichert wird oder von A nach B kopiert, ok für den der es will. Aber eine Nichtdeaktivierbarkeit hierbei ist in meinen Augen eine Bevormundung.

[dietlmann]

Hmm, wieviel Zeit liegt grob zwischen dem Update und dem Download-Versuch?

Wie gesagt, der Bug ist sehr interessant für uns, da ich schon ein paar Mal den Guard + Update in Verdacht hatte, aber wir das nie reproduzieren konnten bisher. :-( Da der Bug hier zuverlässig reproduzierbar ist, ist die Situation ideal für Research um den Bug endlich auf die Schliche zu kommen :-)

Okay, und ich dachte schon ich leide so langsam unter Paranoia Habs durch Zufall entdeckt und mich dann (wie ich halt gestrickt bin) an dieser Merkwürdigkeit "festgebissen" Ich probiere es halt schon seit ein paar Wochen sporadisch immer wieder mal. Die Aktualisierung geschieht ja i.d.R. beim Systemstart, der Rechner kann also auch schon ne Stunde an sein, wenn der Fehler auftritt. Wenn er aber auftritt, dann reagiert der Guard auch bei wiederholten Versuchen im Anschluss nicht. Übrigens verückterweise wird die Datei im Control-Center als letzt gescannte Datei auch angezeigt. Boote ich den Rechner dann und versuche es anschließend erneut, funktioniert alles wieder perfekt.

Und noch eine Beobachtung, die ich schon erwähnte, wenn die Datei durchgeht und ich anschließend mal versuche den Eicar runter zu laden, springt der Guard direkt an. Also kein generalisiertes Problem, es hängt anscheinend nur mit manchen Signaturen zusammen.

Der Beitrag wurde von dietlmann bearbeitet: 17.04.2014, 13:48

[simracer]

Adware ist da ja nicht mal böse. Die deinstalliert man wieder und gut ist. Und das man bei Programminstallationen auf die (evtl. unerwünschten) Beilagen achten muss, ist ja nicht erst seit Gestern neu.

Hatte auch mal neugierdehalber den Free Opener runtergeladen(AV meckerte nichts)und dann ausgeführt. Zuerst griff ja noch OA Free ein: dann hab ich OA Free beendet und den Installer neu gestartet, mein AV muckste sich nicht und ich installierte dann Free Opener und lehnte jede Zusatzsoftware per Deciline explizit ab. Als die Installation fertig war, deinstallierte ich Free Opener wieder, machte mit Malwarebytes Free eine Vollständige Überprüfung der Systempartition C und Malwarebytes Free fand nichts. Dann machte ich mit Emsisoft Emergency Kit einen Smart Scan und der fand was:

Emsisoft Emergency Kit - Version 4.0
Letztes Update: 17.04.2014 14:20:51
Benutzerkonto:

Scan Einstellungen:

Scan Methode: Smart Scan
Objekte: Rootkits, Speicher, Traces, C:\WINDOWS\, C:\Programme\

PUPs-Erkennung: An
Archiv Scan: Aus
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: Aus
Direkter Festplattenzugriff: Aus

Scan Beginn: 17.04.2014 14:28:13
C:\DOKUME~1\UWEMAY~1\LOKALE~1\Temp\APN-Stub gefunden: Application.Win32.WebToolbar (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\FREEZE.COM gefunden: Application.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\W3I gefunden: Application.InstallAd (A)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\apn gefunden: Application.AppInstall (A)

Gescannt 91873
Gefunden 4

Scan Ende: 17.04.2014 14:42:45
Scan Zeit: 0:14:32

Zu deiner Aussage das man Adware einfach nur wieder deinstallieren solle weil es dann gut sei SD, stimme ich dir somit nicht uneingeschränkt zu.

Der Beitrag wurde von simracer bearbeitet: 17.04.2014, 13:47

[SLE]

@simracer:
Bei dir hat EAM die Clouderkennung eingegriffen (Signatur) das eigentliche HIPS hast du gar nicht gesehen. Neben dieser Kleinigkeit: Die Funde sind Spuren, einige Sachen im Temp Ordner die nach 30 Tagen automatisch verschwinden und 2 Ordner in der Registry. Nichts was man im PC-Betrieb merkt. Spricht für eine sehr gründliche Deinstallation, da hinterlassen viele andere Programme mehr Reste ;-) Zudem wäre zu belegen, ob sie überhaupt von dieser Installation kommen - dazu müsstet du die Installation protokollieren, wie man est bei einem richtigen Softwaretest macht.

/Thread-Gekaper-off

Der Beitrag wurde von SLE bearbeitet: 17.04.2014, 14:02

[dietlmann]

Zu deiner Aussage das man Adware einfach nur wieder deinstallieren solle weil es dann gut sei SD, stimme ich dir somit nicht uneingeschränkt zu.

Unter dieser Adware sind Fake-AVs und angebliche Systemoptimierer, die sich dermaßen fest ins System verbeißen und den unerfahrenen User dermaßen mit irgendwelchen Meldungen attackieren, Addons die Suchanfragen auf dubiose (virenverseuchte) Seiten umlenken, Werbung manipulieren oder direkt Browser-Hijacker... Ich kenne einige Leute, die schon an diesem Zeug in der Vergangenheit verzweifelt sind. Direkt gefährlich mag Adware nicht sein, aber sie erhöht die Wahrscheinlichkeit dass der User sich was Gefährliches einfängt und manchmal macht sie den Rechner fast unbenutzbar.

[simracer]

@simracer:
Bei dir hat EAM die Clouderkennung eingegriffen (Signatur) das eigentliche HIPS hast du gar nicht gesehen. Neben dieser Kleinigkeit: Die Funde sind Spuren, einige Sachen im Temp Ordner die nach 30 Tagen automatisch verschwinden und 2 Ordner in der Registry. Nichts was man im PC-Betrieb merkt. Spricht für eine sehr gründliche Deinstallation, da hinterlassen viele andere Programme mehr Reste ;-) Zudem wäre zu belegen, ob sie überhaupt von dieser Installation kommen - dazu müsstet du die Installation protokollieren, wie man est bei einem richtigen Softwaretest macht.

/Thread-Gekaper-off

Nur nebenbei bemerkt SLE: heute vormittag meldete ein Detail Scan mit Emsisoft Emergency Kit ein sauberes System, dann installierte ich vorhin diesen Free Opener, deinstallierte den wieder mit IObit Uninstaller und machte nach dem Malwarebytes Free Scan den gezeigten Smart Scan mit Emsisoft Emergency Kit. Und was dein vermeintliches Thread Gekaper angeht: hier geht es ja auch um Free Opener. wenn ich dietlmann richtig verstanden habe.

[SLE]

Nur nebenbei bemerkt SLE: heute vormittag meldete ein Detail Scan mit Emsisoft Emergency Kit ein sauberes System, dann installierte ich vorhin diesen Free Opener, deinstallierte den wieder mit IObit Uninstaller und machte nach dem Malwarebytes Free Scan den gezeigten Smart Scan mit Emsisoft Emergency Kit. Und was dein vermeintliches Thread Gekaper angeht: hier geht es ja auch um Free Opener. wenn ich dietlmann richtig verstanden habe.

Das ersetzt keine Protokollierung ;-) Spannend wäre jetzt was du bewiesen hast? Das der Installer zwar sehr gründlich ist, aber dennoch was hinterlässt - oder ob ein Drittanbieteruninstaller mal wieder das entfernen zweier Kleinigkeiten verhinderte ;-)

Aber vor allem zerrammel dir die Festplatte(n) nicht, wenn du so oft scannst