Unterschied "aktion Für Alle/dieses Objekt(e)" Und "aktionen Ausführen"

christoph.kuhn

Leider habe ich im Handbuch keinen Hinweis gefunden, was den Unterschied der beiden Einträge betrifft:

• Aktion für alle/dieses Objekt(e)
• Aktionen ausführen

Was bewirken die beiden Befehle?

cc-bit

Ich denke, daß Dir das selbe aufgefallen ist, wie mir:

Eine der vielen Programmier-Ungereimtheiten bei Bitdefender.

Ich habe inzwischen verschiedene "Sterbephasen" durchgemacht: Wundern, mit Bitdefender kommunizieren, Ärgern, Frustriertsein, Resignieren ...

100

Bitdefender entscheidet bei einem Schädlingsfund auf Basis der infizierten Datei- und Schädlingsart automatisch, was es damit macht und was möglioh ist:

Bei einem Fund, der aufgrund der Signaturen eindeutig als Schädling erkannt werden konnte, wird, sofern man im On-Access-Scanner keine benutzerdefinierte Einstellung der Aktion vorgenommen hat, zuerst versucht die Datei zu bereinigen. Falls das fehlschägt, wird versucht die Datei in Quarantäne zu verschieben.

Spekulation: Falls auch das fehlschlägt, wird vermutlich gelöscht. Falls nun auch das fehlschlagen sollte, weil die Datei z. B. im Zugriff ist, wird sie vermutlich blockiert.

Exkurs: In der Konfigurationsdatei vshield.xml (C:\Program Files\Bitdefender\Bitdefender 2015\settings) sieht man dies unter den Profilen (Einträge >Aktion>infected>first>disinfect und >second>move). Hat man im Scanner die benutzerdefinierte Einstellung "In Quarantäne verschieben" eingestellt wird für first und second move eingestellt. Bei der Einstellung "Zugriff verweigern" wird analog dazu für beide deny eingestellt.

Bei einem unklarem Verdachtsfund des On-Access-Scanners, aufgrund der Heuristik, wird zuerst versucht die Datei in Quarantäne zu verschieben. Falls dies fehlschlagen sollte, weil es sich z. B. um einen Anhang einer E-Mail handelt und dieser natürlich nicht von der E-Mail abgetrennt werden kann, wird versucht die Datei zu blockieren.

Spekulation: Sollte dies fehlschlagen, wird nachgefragt. Jetzt kann man die Aktion auswählen. Dummerweise nützt das kaum etwas, da Bitdefender ja bereits vergeblich versucht hat Aktionen durchzuführen.

Exkurs: In der bereits besagten vshield.xml sieht man dies ebenfalls unter den Profilen (Einträge >Aktion>suspect>first>move und >second>deny). Diese Einträge werden durch eine benutzdefinierte Einstellung des On-Access-Scanners übrigens nicht verändert.

"Aktionen ausführen" bedeutet, Bitdefender soll aufgrund seiner Einstellungen und Algorithmen für alle weiteren Funde dieses Scans selbst entscheiden, was zu tun ist und für die weiteren Funde dieses Scans nicht mehr nachfragen. Die Nachfrage kam, weil für mindestens einen der Funde alle automatischen Aktionen fehlschlugen.

"Aktion für dieses Objekt" bedeuted, dass er nur für dieses eine Objekt automatisch entscheiden soll. "Löschen" und "Keine Aktion ausführen" erkären sich ja von selbst.

Eine allgemeine Empfehlung kann ich da nicht aussprechen. Wenn es keine wichtige Datei ist und es ein Backup gibt, würde ich "Löschen" wählen. Bei E-Mails würde ich auf jeden Fall "Keine Aktion ausführen" wählen und die E-Mail im E-Mail-Client selbst löschen. Soweit ich weiß, rät Bitdefender bei E-Mails in einem erscheinenden Pop-Up auch dringend zu dieser Vorgehensweise.

100

Ich habe noch etwas vergessen:

Bei einem On-Demand-Scan (die Scans, die man selbst startet) ändert Bitdefender die Einstellungen des On-Access-Scanners (Hintergrund-/Zugriff-Scanner) für die Zeit des On-Demand-Scans. Der On-Access-Scanner untersucht für diese Zeit keine Archive und für Funde aufgrund von Signaturen gilt dann: >Aktion>infected>first>disinfect und >second>move. Einstellungen, welche man über die Konfigurationsoberfläche im Bereich On-Access-Scanner vorgenommen hat, gelten während eines On-Demand-Scans nicht. Es wird das Profil ondemand in der vshield.xml verwendet, welches sich ganz unten befindet.

Für Verdachtsfunde aufgrund der Heuristik gilt während dieser Zeit dann: >Aktion>suspect>first>deny und >second>deny (also immer Zugriff verweigern).

Allgemeine Anmerkung zu den Aktionen bei suspekten Dateien: Diese Aktionen lassen sich über die Konfigurationoberfläche überhaupt nicht konfigurieren.

Wegen all dieser Eigenheiten habe ich die vshield.xml schon seit der Version 2013 immer selbst angepasst. Das funktioniert bei mir wunderbar und wie gewünscht. Allerdings darf man dann keine Einstellungen des On-Access-Scanners mehr über die Konfigurationsoberfläche ändern oder auch nur bestätigen, sonst sind die Anpassungen dahin und müssen erneut vorgenommen werden, was nur im abgesicherten Modus von Windows geht.

100

Im Bild von cc-bit sieht man, dass die Nachfrage kam, weil Bitdefenders Handlungsversuch wohl scheiterte ("keine Aktion wurde durchgeführt").

Auf einem E-Mail-Account ohne Spamfilter hatte ich gerade zwei E-Mails mit jeweils schädlichem Anhang (in einem Zip-Archiv) bekommen. Nach den Funden durch einen Kontextscan des Benutzerorders, welcher die E-Mail-Archive von Windows Live Mail enthält, bietet mir Bitdefender übrigens nur drei Auswahlmöglichkeiten an, wie es mit den Funden verfahren soll: "Aktionen auführen" (Bitdefenders automatische Behandlung des Fundes), "Löschen" und "Keine Aktion ausführen". Diese drei Auswahlmöglichkeiten kann ich oben für beide Funde global einstellen, oder neben den Funden für jeden individuell.

Wähle ich "Aktionen auführen" (also Bitdefenders automatische Behandlung), bekomme ich die Warnung wegen der Mailarchive. Diese kommt aber leider nicht bei der Auswahl "Löschen", obwohl diese natürlich auch hier unbedingt angebracht wäre. Bei "Keine Aktion" kommt sie natürlich nicht, da hier ja nichts passieren könnte.

100

Mir ist gerade aufgefallen, dass ich mich selbst habe in die Irre leiten lassen. Peinlich, peinlich!

Der oberste Eintrag bei der globalen Auswahl ("Aktion für alle Objekte") bzw. der oberste Eintrag bei der individuellen Auswahl ("Aktion für dieses Objekt") ist gar keine Auswahlmöglichkeit, sondern sieht nur unglücklicherweise so aus. Es ist lediglich die Aufforderung, etwas aus den (drei) Auswahlmöglichkeiten des zu öffenden Dropdownmenüs auszuwählen.

Die Art der Aufforderung ist etwas unglücklich gewählt. Man hätte sie andersfarbig oder kursiv gestalten, oder eine andere Bezeichnung dafür wählen sollen (z.B "Auswahl für alle Objekte vornehmen" bzw. "Auswahl für dieses Objekt vornehmen"

100

Wie man im ersten Bild meines vorletzten Beitrags sieht, ist in der englischen Version deutlicher zu erkennen, dass es sich nicht um eine Auswahlmöglichkeit handelt, sondern um die Aufforderung etwas aus den darunterstehenden Möglichkeiten auszuwählen. Die Missverständlichkeit bezieht sich also auf die unglückliche Übersetzung in der deutschen Version. "Auswählen - alle Objekte" bzw. "Auswählen - dieses Objekt" wäre deutlich besser gewesen.

Fazit: Es gibt immer nur die drei Auswahlmöglichkeiten "Aktionen ausführen", "Löschen" und "Keine Aktion ausführen".