Hallo Leute,

ich habe das Problem, dass ich trotz AntiVir-Guard und Firewall eine ganze Menge Viren auf dem PC habe.

Das Dumme an der Sache ist, dass mit AV ja beim Scannen SAGT, dass er 50 Viren und Bedrohungen gefunden hat. Aber er sagt gleichzeitig, dass er KEINE Dateien gelöscht, verschoben oder repariert hat! Und es gibt keinen Button zum manuellen Löschen der betroffenen Dateien!

Wie soll ich das denn jetzt hinbekommen?? Hab schon zig Konfigurationsmöglichkeiten probiert...i

mmm...

Er müsste dir sagen, wo er was gefunden hat. In Archiven löscht Antivir nie etwas, ebensowenig im Posteingang von Thunderbird. Die Sachen kann man aber manuell löschen.
Falls er Dateien im Cache- Ordner von deinem Browser gefunden hat, die kannst du auch einfach so löschen.

Seit wann benutzt du eigentlich Antivir? Das hört sich so an, als ob du es zum 1. Mal installiert hast, weil ansonsten hätte sich soviel Zeug gar nicht ansammeln dürfen ...

ich habe das Problem, dass ich trotz AntiVir-Guard und Firewall eine ganze Menge Viren auf dem PC habe.Der beste Virenscanner schützt den PC nicht vor Vergewaltigung durch den User.

Hmm, ich benutze AntiVir schon über 1 Jahr auf allen meinen Rechnern hier im Netzwerk.
Hmm, ob wohl durch eMule soviel reinkommt? Oder Thunderbird?

Bei mehr als 50 Viren bleibt fast nur das formatieren. (aber die gesicherten persöhnlichen Daten noch nach Viren überprüfen)

Denn das ist wirklich ne Menge und du kannst dir sonst nie sicher sein, einen Virenfreien Rechner zu haben.

Wie wäre es den Müll (AntiVir) zu deinstallieren und einen anderen Virenscanner zu installieren?
Avast ist z.B. auch für den Privatgebrauch kostenlos (Registrierung).
Die andere Frage ist ob du nichtmal dein Sicherheitskonzept ändern solltest.
50 Viren und einen faulen und dummen Virenscanner, da kann etwas nicht stimmen.

Stimmt... suche auch gerade einen anderen Scanner. BitDefender hat in der kostenlosen Version leider keinen Guard. Hat Avast das?

Ja, morgen installiere ich die ganze Kiste hier mal neu inklusive Formatierung...

Ohne zu wissen wo diese Viren gefunden wurden, kann man kaum sinnvoll helfen ... Aber nur so als Tip, der Virenscanner ist nicht das eigentliche Problem, das Sicherheitsloch sitzt woanders.

Stimmt... suche auch gerade einen anderen Scanner. BitDefender hat in der kostenlosen Version leider keinen Guard. Hat Avast das?

Ja, morgen installiere ich die ganze Kiste hier mal neu inklusive Formatierung...
Ja Avast hat einen.
http://www.avast.com/eng/avast_4_home.html

Stimmt... suche auch gerade einen anderen Scanner. BitDefender hat in der kostenlosen Version leider keinen Guard. Hat Avast das?

Ja, morgen installiere ich die ganze Kiste hier mal neu inklusive Formatierung...mmm...

Wenn es ein kostenloser sein soll, kannst du dich eigentlich nur für Antivir, Avast oder AVG entscheiden (Link zu den Scannern klick *grummel* in der Signatur ;)).

Von der Erkennungsleistung her ist laut dem Test http://www.av-comparatives.org/ (unter Comparatives) Antivir der beste von den 3, bedeutet aber nicht, dass er jeden Virus/ Trojaner/ Wurm/ ähnliches kennt.
Im Prinzip kann ein Virenscanner auch nicht alle kennen, schliesslich gibt es jeden Tag neue und interessant fand ich letztens, das Nod32 der einzige war, der einen Virus nicht erkannt hat ...
http://img285.imageshack.us/img285/7420/virussv5.th.png (http://img285.imageshack.us/my.php?image=virussv5.png)
Pic am 25.10.2006 erstellt, also erst vor 3 Tagen ;) ...

Hmm, ob wohl durch eMule soviel reinkommt?Hmm, das könnte die Malwareschleuder sein. Wenn der User Dateien ausführt, die nicht 100% vertrauenswürdig sind, braucht er sich nicht wundern, wenn er x verschiedene Viren auf der Platte hat. Besorg dir deine Raubkopien aus vertrauenswürdigen Quellen oder kauf dir deine Spiele/Musik/Filme einfach.

Besorg dir deine Raubkopien aus vertrauenswürdigen Quellen oder kauf dir deine Spiele/Musik/Filme einfach.
Entweder heißt das Schwarzkopie/illegale/rechtswidrige Kopie oder Raubmordkopie. Wenn schon denn schon.

Im Prinzip kann ein Virenscanner auch nicht alle kennen, schliesslich gibt es jeden Tag neue und interessant fand ich letztens, das Nod32 der einzige war, der einen Virus nicht erkannt hat ...
http://img285.imageshack.us/img285/7420/virussv5.th.png (http://img285.imageshack.us/my.php?image=virussv5.png)
Pic am 25.10.2006 erstellt, also erst vor 3 Tagen ;) ...Ich sage es nicht gerne, aber irgendwie ist bei Jotti der Wurm drin.
Meine private Version von AntiVir Classic hatte in Fraps.exe (das bekannte Programm zum Messen der FPS, Version 2.3.3, Build 2671) den Trojaner TR/Agent.Fraps.A entdeckt und in die Quarantäne verschoben. So weit so gut. Dann habe ich das von Jotti gegenprüfen lassen. Ergebnis:

http://img125.imageshack.us/img125/4438/jottilp3.th.jpg (http://img125.imageshack.us/my.php?image=jottilp3.jpg)

AntiVir (Jotti) erkennt was Anderes, was schon mal etwas komisch ist. Aber irgendwie könnte man das vielleicht noch erklären. Aber, und das ist sicher nicht mehr so leicht zu erklären, es handelt sich hier um ein Fehlalarm, was mir Avira per Mail bestätigt hat, nachdem ich die EXE dort hingeschickt hatte. Spätestens seit dem 25.10 weiß das auch mein AntiVir:

http://img64.imageshack.us/img64/5609/antivirei6.th.jpg (http://img64.imageshack.us/my.php?image=antivirei6.jpg)

Das Bild oben von Jotti ist von heute! :|

So, ich glaub ich weiß jetzt, was da bei Jotti hängt. Die haben anscheinend in den Optionen/Erweiterte Gefahrenkategorien ein Häkchen bei Ungewöhnliche Laufzeitpacker gesetzt. So läßt sich der False Positiv bei mir rekonstruieren.
Sehr klug ist das aber nicht. Denn es ist definitiv keine Malware! Und es kann leicht jemanden verwirren, der damit nichts anfangen kann.

So, ich glaub ich weiß jetzt, was da bei Jotti hängt. Die haben anscheinend in den Optionen/Erweiterte Gefahrenkategorien ein Häkchen bei Ungewöhnliche Laufzeitpacker gesetzt. So läßt sich der False Positiv bei mir rekonstruieren.
Sehr klug ist das aber nicht. Denn es ist definitiv keine Malware! Und es kann leicht jemanden verwirren, der damit nichts anfangen kann.mmm...

Das lustige ist, das Nod32 mit ihrer Heuristik gerne werben und es so etwas merkwürdig, dass sie fast die einzigen sind, die die Variante von Spybot nicht erkannt haben.
Welche Einstellungen Jotti vorgenommen hat, weiß ich nicht. Ich denke auch nicht, dass man es so schnell erfahren kann.
Immerhin hast du herausgefunden, wieso es bei dir ein False- Positiv gab, was auch ein immerwiederkehrendes Problem ist.

mmm...

Das lustige ist, das Nod32 mit ihrer Heuristik gerne werben und es so etwas merkwürdig, dass sie fast die einzigen sind, die die Variante von Spybot nicht erkannt haben.
Welche Einstellungen Jotti vorgenommen hat, weiß ich nicht. Ich denke auch nicht, dass man es so schnell erfahren kann.
Immerhin hast du herausgefunden, wieso es bei dir ein False- Positiv gab, was auch ein immerwiederkehrendes Problem ist.
Na ja, damit wir uns nicht falsch verstehen: Es war bis etwa zum 25.10 ein False Positiv! Danach hat Avira die Signaturen geändert. Ich habe jetzt lediglich herausgefunden, warum Jottis AntiVir weiterhin fleisig die Fraps.EXE als infiziert kennzeichnet. Ich hatte dort nie ein Häkchen. Ich habe es nur eben mal probeweise gesetzt, und siehe da, mein AntiVir gibt die gleiche Meldung raus (wie Jotti). Aber nochmal: Bis zum 25. hielt AntiVir Fraps für einen Trojaner, ohne Häkchen bei den ungewöhnlichen Laufzeitpackern!

Na ja, damit wir uns nicht falsch verstehen: Es war bis etwa zum 25.10 ein False Positiv! Danach hat Avira die Signaturen geändert. Ich habe jetzt lediglich herausgefunden, warum Jottis AntiVir weiterhin fleisig die Fraps.EXE als infiziert kennzeichnet. Ich hatte dort nie ein Häkchen. Ich habe es nur eben mal probeweise gesetzt, und siehe da, mein AntiVir gibt die gleiche Meldung raus (wie Jotti). Aber nochmal: Bis zum 25. hielt AntiVir Fraps für einen Trojaner, ohne Häkchen bei den ungewöhnlichen Laufzeitpackern!mmm...

Naja, lieber ein False- Positiv, als etwas, was nicht erkannt wird ;).

Problem ist eh, dass es egal ist, welchen Virenscanner man nimmt, man wird immer wieder über Probleme stolpern (Resourcen, Schädling erkannt, aber keine Entfernung möglich usw.) ...

mmm...

Naja, lieber ein False- Positiv, als etwas, was nicht erkannt wird ;).

Problem ist eh, dass es egal ist, welchen Virenscanner man nimmt, man wird immer wieder über Probleme stolpern (Resourcen, Schädling erkannt, aber keine Entfernung möglich usw.) ...
Das sehe ich genauso. Es darf nur nicht zu häufig vorkommen, sonst denkt man sich im falschen Moment, daß es sowieso nur ein False Positiv ist.
Bis jetzt bin ich sehr zufrieden mit AntiVir. Zur sicherheit habe ich noch Kaspersky IS 6.0, sozusagen als zweite Meinung. Aber der ist nicht aktiv. Mein Wächter ist AntiVir. Und er kommt sogar aus Deutschland. :)
Aber so gut AntiVir auch ist, manchmal bauen die auch echte Klöpse, was zum Wundern:

Hi Ihr,

habe meinen Worst-Day erlebt...

Lade mir vor wenigen Tagen das neue Antivir-Update und lasse anschliessend mit dem Scanner meine ganzen lokalen Laufwerke überprüfen.

So weit so gut, nur bemerkte ich dabei erstmals, dass Antivir beim Scan auch meine Outlook.pst-Datei komplett und die darin enthaltenen Outlook-Ordner für Outlook-Ordner scannt. Ist das eine Neuerung?
Prompt kommen Virenmeldungen (über - mir bekannte und noch benötigte - im Outlook-Papierkorb liegende Viren-Mails).

Meine Einstellungen im Antivir für die "Behandlung" solcher Fälle:
1. Dateien in Quarantäne kopieren,
2. Datei reparieren und falls nicht möglich, dann
3. löschen.

Im Report stand nach dem Scannen der LWs, dass meine *.PST-Dateien gelöscht wurden.

Mir ahnte Böses...
Im Win-Explorer im DatenLW keine Outlook.PST mehr, auch auf den beiden eingebauten Backup-HDDs keine *.PST mehr im den Backupordnern.
Hat Antivir doch einfach ratzfatz meine Outlook.PST-Dateien incl. derer Sicherungskopien gelöscht.

Eine kleine Hoffnung keimt noch - der Quarantäneordner...
Doch dort ist nur eine rel. unwichtige Archiv.PST aufgeführt.

Scharf nachdenken, was ist da denn um Gottes Willen schiefgelaufen?

Der Windoof-Explorer sagt mir für C: ca. 500MB freien Speicher - eigentlich genug, habe ich doch die Auslagerungsdatei auf E:, die Temp-Verzeichnisse auf D: und die Anwendungen auf F:

Antivir ist aber regelwidrig standardmässig aber so eingestellt, dass er den Quarantäneordner auf C:\Dokumente und Einstellungen\usw. anlegt anstelle, den Winregeln folgend, den in der Registry eingestellten TMP-Pfad zu verwenden.

Nun hebt sich der Schleider - ist also folgendes passiert:
Antivir findet Viren im Papierkorb der Outlook.pst, kopiert also die PST - (bzw. versucht es zumindest) in den Quarantäneordner (welcher per default auf C: liegt, das aber zu klein ist, die grosse Outlook.PST-Datei mit 680MB aufzunehmen).
Ohne Fehlermeldung übergeht AntiVir kalt lächeln das Problem und löscht sogleich die originalen Outlook.pst sowohl im Datenlaufwerk als auch auf der 4-Wochen-Backup-HDD und auf der wöchentliches-Backup-HDD.
Warum ist das passiert? Weil die Programmierer von AntiVir Classic (und wohl auch in der Premium-Version) den Returncode der Verschiebung in den Quarantäneordner auszuwerten vergessen haben.

Meine Hoffnungen schwinden, ein letztes Aufbäumen gegen das Unausweichliche - Filerecovery!
Aber Antivir hat die Original-Speicherbereiche so säuberlich zerhackstückelt, dass nicht mal mit Spezialprogrammen die wichtige Outlook.pst von einer der drei Platten zu retten war.

Die letzte Datensicherung der Outlook.pst auf einem anderen Rechner ist übrigens vom Jan.06...

Inzwischen habe in der Antivir-Konfiguration den Quarantäneordner auf mein Temp-Laufwerk umgeleitet, auf diesem ist immer genügend Platz. Weiter habe ich inzwischen die letzte verbliebene Datensicherung der Outlook.pst(Stand: Jan 2006) in das Datenverzeichnis zurückkopiert und diese Datei in der Konfig des Antivir-Scanner als auch im -Guard unter "Ausnahmen" eingetragen.

Was lernt man daraus?
1. Keine Backup-Strategie ist so sicher, als dass diese nicht durch amoklaufende, unsauber programmierte Anwendungen ausgehebelt werden könnte.
2. Es geht nichts über Datensicherung auf NICHT ÜBERSCHREIBBAREN Datenträgern (habe ich leider unterlassen).
3. Niemals Antivir benutzen, wenn der Platz auf dem im Antivir konfigurierten Temp-Verzeichnis kleiner/gleich der grössten, möglicherweise virenbehafteten Datei auf dem System ist. Alles, was grösser ist als Temp, geht bei obigen Einstellungen verloren.

Sämtliche anstehenden Termine, die Adressen und Eintragungen des letzten 3/4 Jahrs - alles flöten, trotz gleich zwei aktueller Sicherungskopien auf zwei verschiedenen HDDs... Man möchte es nicht für möglich halten.
Könnte jemanden würgen - den Programmierer, der den Fall einer aus Platzgründen nicht möglichen Kopie in das Quarantäneverzeichnis nicht berücksichtigt hat...
So gingen mir trotz nahezu perfekter Datensicherung meine sämtlichen Outlook-Eintragungen der letzten 9 Monate verloren.

Schade, dass dieses Problem das Unternehmen überhaupt nicht zu interessieren scheint. Bekam ich auf meine Mail-Meldung lediglich den lapidaren Hinweis, dass die Freeware-Version nicht gesupportet wird und ich mich hier im Forum auszulassen hätte.
Wenn ich einem Unternehmen einen Fehler mitteile, der unter einer bestimmten Konstellation zu dramatischem und unwiderruflichem Datenverlust führen kann, hätte ich schon etwas mehr Interesse an diesem Problem erwartet...

GrüsseHallo v.weed,

das Problem wurde zur Behebung an unsere Entwicklung weitergegeben und wird mit einem der nächsten AntIVir Releases gefixt.

Zukünftig werden also keine unvollständige Datei in der Quarantäne erstellt, wenn der Speicherplatz nicht ausreicht.


__________________
Stefan Berka
Avira GmbH

http://forum.antivir.de/thread.php?threadid=13596

Das mit dem Update ist ein Fehler seitens Avira.

Grund ist laut meinem Provider fder folgende:
"Wir haben das Problem "Antivir Updates" in den letzten Tagen von mehreren Seiten zugetragen bekommen und es genauer untersucht, was nicht trivial war, weil man auf derartigen Unfug erst mal kommen muss.

Das eigentliche Problem ist:

Der (Domain)Provider der Fa. Avira - wir vermuten, dass es Network Solutions ist - sperrt DNS Anfragen, die vom Quellport 1024 kommen.

Hintergrund:

Im Internet gibt es zwar die Domainnamen, die dem Menschen helfen, sich die Adresse einer Website, etc. zu merken, die Rechner kommunizieren aber auf Basis von IP Adressen. Um das eine mit dem anderen zu verbinden, gibt es Domain Name Server (DNS), die Namen in IP Adressen übersetzen (und umgekehrt).

Wenn nun Ihr PC ein Antivir-Update holen will, fragt er zunächst nach der IP Adresse eines Download Servers namens "dl1.avgate.net". Statt "dl1" wird auch "dl2" bis "dl6" verwendet, um die Last zu verteilen. Diese Frage stellt der PC zunächst dem DNS Dienst auf dem TGNET/wireless Empfänger, der sie an andere Name Server im Internet weiterreicht. Beim Weiterreichen werden Datenpakete vom Quellport 1024/UDP an den Zielpport 53/UDP gesendet, wie das bei DNS so üblich ist.

Dass der DNS Dienst den Port 1024 verwendet - es ist der erste frei wählbare Port auf jedem System mit IP Kommunikation - liegt daran, dass der DNS Dienst mit dem Hochfahren des Empfängers gestartet wird und sich diesen ersten freien Port reserviert. Der DNS Dienst könnte auch den Port 1025 verwenden und tatsächlich ist das auf einigen Empfängern so, die bereits länger gelaufen sind - wie z.B. der von Herrn ******, der mittlerweile Port 1026 verwendet - weil gewisse Vorgänge am Empfänger auch mal den DNS Dienst neu starten. Wenn der Quellport nicht 1024 sondern 1025, 1026, etc. ist, funktionieren Antivir-Updates.

Es bleibt festzuhalten:

1) Gelinde gesagt, ist es eine absolut seltsame Idee von Network Solutions, Anfragen vom Quellport 1024 zu sperren. Network Solutions hat das auch nicht immer so gemacht, denn sonst hätte es schon wesentlich früher Probleme gegeben. Das Problem tritt erst seit ein paar Tagen auf.

2) Es ist nichts falsch daran, dass sich der DNS Dienst des TGNET/wireless Empfängers nach dem Start den Port 1024/UDP für die durch ihn weitergeleiteten Anfragen reserviert. Als 2er-Potenz (2 hoch 10) ist 1024 der erste, frei durch Anwendungen nutzbare Quellport. Ich vermute sogar, dass bei Network Solutions ein Fehler in der Firewall Regel existiert: Statt "größer/gleich 1024" hat dort jemand versehentlich "größer 1024" eingestellt, um den Bereich der zulässigen Quellports zu definieren.

Wir haben diese Zusammenhänge gestern an den Support der Fa. Avira weitergeleitet, befürchten aber, dass sich angesichts der sehr seltsamen Hintergründe dort niemand damit auskennen wird und in der Folge nichts passiert. Ob wir noch andere Zuständige (z.B. bei Network Solutions) anschreiben werden, wollen wir heute überlegen. "

Was meinen Sie vom Support dazu ?

Könnte man die Firewall mal schnell überprüfen ?^^

Mfg
Olli
Hallo,

das Problem mit dem geblocken Port 1024 konnte nachvollzogen werden, wir arbeiten mit Network Solutions an der Klärung von diesem Sachverhalt.


__________________
Stefan Berka
Avira GmbH

http://forum.antivir.de/thread.php?threadid=14044&threadview=0&hilight=&hilightuser=0&page=1

:lol:

Im Prinzip kann ein Virenscanner auch nicht alle kennen, schliesslich gibt es jeden Tag neue und interessant fand ich letztens, das Nod32 der einzige war, der einen Virus nicht erkannt hat ...
http://img285.imageshack.us/img285/7420/virussv5.th.png (http://img285.imageshack.us/my.php?image=virussv5.png)
Pic am 25.10.2006 erstellt, also erst vor 3 Tagen ;) ...
Kennst Du die Seite (http://www.virustotal.com/en/indexf.html)? Habe ich heute entdeckt. :)
Scheint mir etwas besser zu sein als Jotti: Ca. 25 Scanner am Start, AntiVir ist konservativer eingesellt – beanstandet Fraps dort nicht. Schau mal rein.

http://img346.imageshack.us/img346/4881/virustotalby5.th.jpg (http://img346.imageshack.us/my.php?image=virustotalby5.jpg)

Kennst Du die Seite (http://www.virustotal.com/en/indexf.html)? Habe ich heute entdeckt. :)
Scheint mir etwas besser zu sein als Jotti: Ca. 25 Scanner am Start, AntiVir ist konservativer eingesellt – beanstandet Fraps dort nicht. Schau mal rein.

http://img346.imageshack.us/img346/4881/virustotalby5.th.jpg (http://img346.imageshack.us/my.php?image=virustotalby5.jpg)mmm...

Jup, kannte ich schon. Verlinke ich hin und wieder drauf, wenn jemand hier unbekannte Viren anschleppt ;). Das Problem ist, man bekommt da keine Übersicht über bereits vorhandene Scans und bei meinen kleinen Scans, die ich gemacht habe, haben eigentlich beide irgendwas gefunden.