Infiziert Oder Nicht? Wie Soll Man Sich Da Sicher Fühlen?

Macke

Hi zusammen!

Obwohl ich seit Jahren die Kaspersky Internet Securities nutze, hatte ich mich vor einiger Zeit dazu entschieden, auch mal dem Produkt von Bitdefender eine Chance zu geben (unter anderem auch, weil es in einer Aktion der PC Welt eine 1-Jahres-Lizenz für lau gab).

Nach der Installation war ich äußerst enttäuscht (siehe entsprechender Thread), deinstallierte das Programm wieder und spielte erneut das Kaspersky-Produkt auf.

Jetzt, nach ein paar Wochen, fand ich heraus, dass sich die Größe/Version der Installationsdatei für das Bitdefender-Produkt mittlerweile geändert hat und folgerte daraus einfach mal, dass damit hoffentlich Veränderungen/Verbesserungen einher gehen.

Also installierte ich die Bitdefender IS 2013 vor kurzem testweise noch einmal auf meinem System (Windows 7 Home Premium 64 Bit).

Die Probleme von damals schienen nun gelöst worden zu sein und ich kann/könnte mich mit dem Produkt vielleicht etwas besser anfreunden.

Heute passierte allerdings folgendes:

Meine E-Mails rufe ich (unter anderem) online bei gmx.net ab.

Dort befand sich im SPAM-Ordner eine E-Mail, von der ich sicher war, dass sie schädlich sein würde (Kreditkarten-Daten sollten seitens "Amazon" überprüft werden) bzw. einen schädlichen Anhang enthielte.

Diesen Anhang (zip-Datei) wollte ich nun mit dem Bitdefender testen; dazu sollte er natürlich nicht geöffnet sondern lediglich an einem Ort auf meinem System gespeichert und der Schädling dann (oder hoffentlich schon vorher!) vom Bitdefender gescannt, erkannt und auch beseitigt bzw. in die Quarantäne verschoben werden.

Dazu betätigte ich in GMX diesen Button (das Ganze wurde jetzt mit einer Testdatei durchgeführt, da die Original-Mail bereits von mir gelöscht wurde!):

Hierauf sollte sich ja nun eigentlich ein Fenster der folgenden Art öffnen, in welchem ich dann "Datei speichern" wählen wollte:

Dazu kam es aber erst gar nicht; der Bitdefender schien "zum Glück" schon vorher anzuschlagen und ich konnte dies lesen:

Aber weshalb bitte steht nun dort: "Bitdefender konnte das Objekt nicht bereinigen. Ihr Computer ist nicht virenfrei." ?

Unter "Aktionen" ist bei mir eigentlich eingestellt: "Dateien in Quarantäne verschieben"

Dort ist aber nichts zu finden!

Ich habe sofort einen KOMPLETTEN Systemscan durchgeführt, es wurde allerdings "nichts" gefunden!

Nun meine Fragen:

1.) Weshalb wurde die zip-Datei, als ich sie lediglich abspeichern wollte und Bitdefender dabei den Schädling erkannte, nicht in die Quarantäne verschoben und weshalb nutzt Bitdefender statt dessen offenbar die Aktion "Aktionen ausführen" (was wohl "Bereinigen" bedeutet) ? Jetzt sieht es ja beihnahe so aus, als sei die zip-Datei geöffnet worden.

2.) Wurde die schädliche zip-Datei nun geöffnet oder nicht? Falls ja, weshalb? Ich habe dies nicht angewählt.

3.) Weshalb wurde bei dem System-Komplett-Scan gar nichts gefunden?

4.) Ist das System nun überhaupt infiziert oder nicht?

Das alles trägt ja wirklich "sehr" dazu bei, dass sich der User sicher fühlt........

Macke

Edit: "Toll" finde ich es auch dies hier:

Auf meinem System sind 1 Administrationskonto und 2 Benutzerkonten (Standardbenutzer) angelegt.

Wenn ich nach dem Booten des Notebooks das Administrationskonto starte, so erscheint stets das hier:

Ich frage mich (leider) erneut, wie Bitdefender IS 2013 neulich noch Testsieger werden konnte.

100

Obwohl ich seit Jahren die Kaspersky Internet Securities nutze, hatte ich mich vor einiger Zeit dazu entschieden, auch mal dem Produkt von Bitdefender eine Chance zu geben

Aber weshalb bitte steht nun dort: "Bitdefender konnte das Objekt nicht bereinigen. Ihr Computer ist nicht virenfrei." ?[

Unter "Aktionen" ist bei mir eigentlich eingestellt: "Dateien in Quarantäne verschieben"

Dort ist aber nichts zu finden!

Ich habe sofort einen KOMPLETTEN Systemscan durchgeführt, es wurde allerdings "nichts" gefunden!

Nun meine Fragen:

1.) Weshalb wurde die zip-Datei, als ich sie lediglich abspeichern wollte und Bitdefender dabei den Schädling erkannte, nicht in die Quarantäne verschoben und weshalb nutzt Bitdefender statt dessen offenbar die Aktion "Aktionen ausführen" (was wohl "Bereinigen" bedeutet) ? Jetzt sieht es ja beihnahe so aus, als sei die zip-Datei geöffnet worden.

2.) Wurde die schädliche zip-Datei nun geöffnet oder nicht? Falls ja, weshalb? Ich habe dies nicht angewählt.

3.) Weshalb wurde bei dem System-Komplett-Scan gar nichts gefunden?

4.) Ist das System nun überhaupt infiziert oder nicht?

Da liest Du am besten meinen hier verfassten Beitrag. Der sollte all Deine Fragen beantworten. Hoffen wir mal, dass die Entwicklungsabteilung das irgendwie mitbekommt, die Fehler dann zeitnah behoben werden und man sich durch den Vorsprung des Mitbewerbers (Händeln von verschlüsselten IMAP4-Verbindungen und direkte Untersuchung/Bearbeitung von Mailanhängen) angespornt fühlt. Wenn sie es dann ebenfalls hinbekommen und umsetzen könnten, wäre Bitdefender unschlagbar. :-)

Macke

Da liest Du am besten meinen hier verfassten Beitrag. Der sollte all Deine Fragen beantworten. Hoffen wir mal, dass die Entwicklungsabteilung das irgendwie mitbekommt, die Fehler dann zeitnah behoben werden und man sich durch den Vorsprung des Mitbewerbers (Händeln von verschlüsselten IMAP4-Verbindungen und direkte Untersuchung/Bearbeitung von Mailanhängen) angespornt fühlt. Wenn sie es dann ebenfalls hinbekommen und umsetzen könnten, wäre Bitdefender unschlagbar. :-)

Hi!

Der Unterschied zu Deinem Problem besteht aber meines Erachtens darin, dass Du die Mail offenbar über einen E-Mail-Cient (Thunderbird, Microsoft Outlook, etc.) abgerufen hast, ich hingegen online über einen Webmailer.

Um das jetzt mal mit Kaspersky zu vergleichen: wenn man dort E-Mails über einen E-Mail-Client abruft, werden diese durch die Komponente Mail-Anti-Virus gecheckt, rufe ich allerdings Mails über einen Webmailer ab, so wird der Schutz über die Komponenten Web-Anti-Virus bzw. Datei-Anti-Virus gewährleistet.

Bei Bitdefender weiß ich z.B. gar nicht, welche Komponente nun diese Warnung im Zusammenhang mit dem schadhaften Mail-Anhang rausgegeben hat: "Zugriffs-Scan" oder "Active Virus Control"?

"move files to quarantine"[bUG]:

-Es öffnet sich ein Hinweisfenster (leider nicht bis man reagiert, sondern nur kurz!); Klickt man auf Details, kommt man zum Ereignislog

-Der Zugriff auf die Zip-Datei wird blockiert

-Das Ereignislog zeigt: Datei ist als infiziert erkannt; Bitdefender konnte nicht bereinigen; Computer ist nicht virusfrei; Name des Schädlings

-Das Log bietet keine Aktionen an (nur "get help")

-Quarantäne ist leer

Wenn der Zugriff auf die Datei (so wie Du meinst) blockiert wurde, weswegen sieht es dann laut Ereignislog so aus, als sei mein Notebook nun infiziert?

Unter "Bitdefender konnte nicht bereinigen; Computer ist nicht virusfrei" verstehe ich irgendwie nicht: "Der Zugriff auf die Datei bzw. Ihre Ausführung wurde geblockt, da sie einen Schädling enthielt! Aber alles ist ok, da sie gar nicht erst ausgeführt wurde."

Ich weiß bis jetzt nicht, ob das Notebook nun infiziert ist oder nicht.

Könnte Bitdefender sich da vielleicht auch mal etwas anderes einfallen lassen, um User zu beruhigen?

100

Hallo Macke,

in der Einstellung "in Quarantäne verschieben" des Antivirus-Schilds, wird der Zugriff auf gefundene Schädlinge blockiert. Sie werden nicht gelöscht, desinfiziert oder in Quarantäne verschoben, sondern bleiben am Fundort. Will man die Schädliche Datei nun doch öffnen, wird dies von Bitdefender verhindert:

Wenn Du einen System-Scan ausgeführt hast und das Ergebnisfenster keine Funde angezeigt hat, kannst Du beruhigt davon ausgehen, dass der Schädling nicht mehr da ist. Wenn er während des Scans noch da gewesen wäre, hätte Bitdefender ihn gelöscht und dies im Abschlussfenster angezeigt.

Vermutung: Da Du die Mail/den Anhang per Website abgerufen hast, hat ihn wohl der Zugriff-Scan im Browsercache blockiert. Wenn Du im IE eingestellt hast, dass der Cache beim Schließen des Browsers geleert wird, ist der Schädling dadurch gelöscht worden. Deshalb konnte der System-Scan nichts mehr finden.

Der System-Scan löscht übrigens alles was er findet - ungefragt und ohne Backup!

Für den Zugriff-Scan gibt es einen Workaround. Mit der Einstellung "Zugriff verweigern" hat man wenigstens manuell die Möglichkeit, Funde wiederherstellbar in die Quarantäne zu verschieben:

Das automatische Verschieben unter der Einstellung "In Quarantäne verschieben" funktioniert ja wegen eines BUGs nicht. Und mit der Einstellung "Aktionen ausführen" wird automatisch und sozusagen 'geheim' gelöscht. Da gibt es nicht einmal einen Eintrag in der Ereignisanzeige.

Macke

Das automatische Verschieben unter der Einstellung "In Quarantäne verschieben" funktioniert ja wegen eines BUGs nicht. Und mit der Einstellung "Aktionen ausführen" wird automatisch und sozusagen 'geheim' gelöscht. Da gibt es nicht einmal einen Eintrag in der Ereignisanzeige.

Hi "100"!

Sorry, aber wenn eine Internetsecurity, die als Testsieger angepriesen wird, es nicht einmal schafft, einen Schädling in die Quarantäne zu verschieben bzw. im anderen Fall gleichzeitig alles löscht, was ihr vor die Flinte kommt (denn bei einer irrtümlich erkannten Datei wäre dies ja auch der Fall gewesen), war es das für mich erstmal wieder mit dem Thema "Bitdefender".

Zudem finde ich die "Information" (Bitdefender konnte nicht bereinigen; Computer ist nicht virusfrei!) in diesem Zusammenhang äußerst irreführend und beunruhigend.

Schade, ich hatte mich eigentlich über die kostenlose Jahreslizenz gefreut; aber mittlerweile kann ich schon fast verstehen, weshalb man diese bei PC Welt "rausgehauen" hat.

Ich frage mich wirklich, weshalb solche augenscheinlichen Fehler NIE bei irgendwelchen "Testinstituten" auftreten!

....in der Einstellung "in Quarantäne verschieben" des Antivirus-Schilds, wird der Zugriff auf gefundene Schädlinge blockiert. Sie werden nicht gelöscht, desinfiziert oder in Quarantäne verschoben, sondern bleiben am Fundort.

Weshalb wird mir dann aber dies nicht auch im Ergebnisfenster angezeigt? Dort steht ja schließlich nicht "blockiert" bzw. "Zugriff wurde verweigert". Dies passiert ja offenbar erst, wenn man die Datei öffnen möchte.

Sprich, die Ereignisanzeige gehört ja offenbar zu "Aktion ausführen" und nicht zu "Zugriff verweigern" oder "Dateien in Quarantäne verschieben", obwohl letzteres angewählt ist.

Sprich, man wählt eigentlich "In Quarantäne verschieben", es erfolgt aber "Zugriff verweigern", doch die Ereignisanzeige stammt von "Aktion ausführen"?

Was mir zudem ziemlich sauer aufstößt: Immer wenn ich eine Einstellung des benutzerdefinierten Zugriff-Scans ändern möchte, wird stets aufs Neue das Passwort abgefragt, obwohl ich bei "Diese Nachricht während dieser Sitzung nicht mehr anzeigen" einen Haken gesetzt habe! Wenn nichtmals diese Einstellung gespeichert wird (neben der Einstellung "In Quarantäne verschieben"....), frage ich mich, was bei der Bitdefender IS eigentlich noch so alles im Argen liegt.

Gruß,

Macke

100

Hallo Macke,

ich habe gerade wenig Zeit, habe aber gestern noch einige Tests gemacht und dabei weitere Erkenntnisse gewonnen.

Ich wollte während eines System-Scans schauen, ob die auf dem Desktop gespeicherte und von Bitdefender zuvor erkannte Datei bereinigt oder gesperrt wurde. Dabei musste ich mit Entsetzen feststellen, dass mir der Zugriff auf die doppelt gepackte zip-Datei gewährt wurde und der Schädling (eine ausführbare com-Datei) tatsächlich noch vorhanden war. Bitdefender hatte im User/Human-Modus nicht einmal gewarnt. Ich hatte die zip-in-zip-Datei allerdings einfach nur geöffnet und nicht per Kontextmenü entpackt. Wahrscheinlich hätte Bitdefender beim tatsächlichen Zugriff auf den Schädling reagiert, aber darauf ankommen lassen wollte ich es bei diesem echten Exemplar natürllich nicht.

Dass bei einem System-Scan die Einstellungen auf der benutzerdefinierten Registerkarte des Zugriff-Scan verändert sind, hatte ich ja schon früher bemerkt und es im Forum auch schon geschrieben. Das Dumme ist, dass diese angezeigten Einstellungen tatsächlich auch angewendet werden. Man kann sie verändern, aber beim nächsten System-Scan werden wieder die alten Einstellungen verwendet. Man kann die Einstellungen also nicht dauerhaft speichern. Vorgenommene Veränderungen gelten nur für den aktuellen System-Scan. Die Einstellungen für den Zugriff-Scan werden hingegen dauerhaft gespeichert, werden aber vom System-Scan temporär überschrieben.

Nun habe ich mich auf die Suche nach dem Speicherort der Einstellungen gemacht. Es ist die vshield.xml unter C:\Program Files\Bitdefender\Bitdefender 2013\settings. Man kann sie per Rechtsklick bearbeiten. Dazu habe ich eine Kopie auf den Desktop gelegt, sie dort bearbeitet und sie dann im abgesicherten Modus von Windows in den Ursprungsordner zurück kopiert. Die Originaldatei hatte ich zuvor, zwecks Sicherungskopie, umbenannt.

Bearbeitet habe ich den letzten Abschnitt <profile name="ondemand"> und da den Scan von Archiven und auch gleich den von Bootsektoren <scan_boot>1</scan_boot> <scan_archives>1</scan_archives> eingeschaltet (1 bedeutet eingeschaltet, vorher stand da 0).

Bezüglich der Option "In Quarantäne verschieben" hatte ich einen Verdacht, der sich bei weiteren Tests, diesmal mit den Testdateien von eicar.org bestätigt hat: Bitdefender kann kurioserweise Archive von Schädlichen bereinigen indem es diesen aus dem Archiv löscht und es leer zurück lässt. Verschieben kann er aber weder das schädliche Archiv noch deren deren Inhalt - zumindest nicht über die unter dem Zugriff-Scan ausgewählte Option. Manuell geht es ja später, wenn zuvor die Option "Zugriff verweigern" eingestellt wurde. Bitdefender kann Schädlinge mittels der automatischen Verschiebeoption nur dann verschieben, wenn sie nicht in einem Archiv liegen. Mit den beiden eicar-Testdateien eicar.com & eicar.com.txt klappt das also. Mit den beiden Archiven nicht.

Bei den Tests mit den gezippten eicar-Dateien und der Einstellung "Aktion ausführen" habe ich eine weitere Entdeckung gemacht: Beim Klick auf die Downladlinks meldet sich Bitdfender mit dem Hinweisweisfenster (user-modus) und Logeintrag, dass die Datei infiziert sei, sie nicht bereinigt werden konnte und der PC nicht virenfrei sei. Das stimmte auch, obwohl ich die Datei gar nicht gespeichert hatte. Windows meldet nämlich, dass der Zugriff verweigert sei und es Administratorberechtigung benötigen würde, was ich aber abgelehnt hatte. Ein späterer System-Scan fand die Datei dann aber doch in den "Temporary Internet Files\Low\Content.IE5\". Ein erneuter Test ergab allerdings, dass Bitdefender beim absichtlichen Versuch die Datei dort zu öffnen, den Zugriff verweigert. Ein Sicherheitsrisiko bestünde also nicht.

Zum Kennwortschutz von Bitdefender: Die Option "Kennwort für diese Sitzung speichern" bedeutet, dass Bitdefender das Kennwort für die Dauer speichert, in der das Anwendungsfenster von Bitdefender geöffnet ist. Sitzung bezieht sich sich also nur auf das geöffnete Fenster von Bitdefender. Sobald Du es schließt ist die Sitzung beendet. Wenn man den Haken nicht setzt, wird man bei jeder Änderung, die man in der aktuellen Sitzung des Anwendungsfensters machen möchte, erneut nach dem Kennwort gefragt.

Noch etwas zu gespeicherten Scan-Protokollen: Wenn man diese xml-Dateien mit dem IE 8/9/10 öffnet, werden nicht alle Protolleintraäge angezeigt. Man muss den IE erst mit F12 in den Entwicklermodus schalten und dann den Dokumentenmodus auf IE5-Quirks setzen. Der IE blendet dann unten noch diese Hinweisleiste ein, dass Elemente geblockt wurden. Das muss man noch zulassen, damit man die Spalten des Protokolls mit einem Klick auf das Pluszeichen erweitern kann.

Bei den gespeicherten.

Bitdefender hat zweifellos die beste Erkennungsrate, aber an den Konfigurationsmöglichkeiten und der Fehlerfreiheit, hinsichtlich der Aktionen und der Logeinträge, besteht noch Verbesserungsbdarf! Auch die Anzeigedauer des Meldungsfensters im Use/Human-Modus sollte bis hin zu "manuell schließen" konfigurierbar sein.

100

Nachtrag

Während eines System-Scans wird auch im User/Human-Modus keine Meldung ausgegeben, wenn man sich die Testdateien von eicar.org herunterläd. Der Modus hat auch nicht fälschlicherweise gewechselt - das habe ich geprüft.

Es meldet sich hier leider niemand von Support. Ich denke mal, dass der hier dennoch mitliest und die Kritik hoffentlich als konstruktiv auffasst, denn als solche ist sie gedacht! Sie soll helfen Fehler zu beheben und das Produkt, das ja schon mit seinen guten Erkennungsraten glänzt, besser benutzbar zu machen.

Macke

Es wäre irgendwie ganz "nett", wenn sich hier endlich auch mal jemand seitens Bitdefender zu diesen Problemen äußert.

Vielleicht sollte man mal erkennen, dass sich hier gewisse User (darunter potentielle Neukunden) Stunden um die Ohren schlagen und umfangreiche Posts verfassen, nur um diversen Bugs auf die Schliche zu kommen, die mitunter sehr nervend und kräftezehrend sind.

Wenn dazu allerdings keinerlei Resonanz seitens der Verantwortlichen kommt, verlässt einen irgendwann die ######, das Produkt noch weiter zu "testen", geschweige denn irgendwann einmal zu kaufen.

Edit: "Sorry", dass ich L.u.s.t. geschrieben habe und selbst dieser Ausdruck hier schon "gepixelt" wird....