Moin!

http://www.abload.de/thumb/capture_16022010_21202gsm2.png (http://www.abload.de/image.php?img=capture_16022010_21202gsm2.png)

Bei einem Scan hat Microsoft heute voller Stolz einen Trojaner gefunden, nämlich Trojan:Win32/Orsam!rts (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aWin32%2fOrsam!rts&threatid=2147626071). Das gute Stück - nehmen wir mal an, es handelt sich nicht um einen Fehlalarm - kam mittels Baldurs Gate BiG World Setup auf meinen Rechner. Es befindet sich in der Mod Kivan and Deheriana Companions for BG2 v8.1 (http://www.camagna.net/g3mirror/kivan-v8.1.exe), wie sie auch bei Kerzenburg (http://kerzenburg.baldurs-gate.eu/showthread.php?t=34931) verlinkt wird. Vielleicht erbarmt sich ja ein Besitzer alternativer Virensoftware und überprüft den Fund.

Microsoft hat das Ding jedenfalls gleich nach einem weiteren Download zu Testzwecken mittels Firefox automatisch in Gewahrsam genommen, der ursprüngliche Download mittels "BiG Setup" lief allerdings an Security Essentials vorbei und kam ungeprüft aufs System. Ich habe daraufhin auf "System bereinigen" geklickt, in der Annahme die verdächtige Datei würde dann gelöscht. Weit gefehlt, sie wurde nur vom Ordner "C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy" in den Ordner "C:\ProgramData\Microsoft\Microsoft Antimalware\Quarantine\ResourceData\78" verschoben.

http://www.abload.de/thumb/capture_16022010_21234esld.png (http://www.abload.de/image.php?img=capture_16022010_21234esld.png)

Ich finde, Microsoft Security Essentials ist ein Usability Desaster erster Güte und für einen Marktführer ein Epic Fail. Mag mir jemand erklären, was unter "Computer bereinigen" zu verstehen war, wenn der Mist eben doch noch in Quarantäne bleibt. Das hätte ich in diesem Fall hinter "Aktion anwenden" vermutet, da oben bei "Empfehlung" schließlich "Quarantäne" als Aktion ausgewählt ist. :mad:

Neuster Kaspersky findet nichts in den ~300 Dateien.
Wenn der Upload passt, kann man auch http://www.virustotal.com/de/ nehmen.

Neuster Kaspersky findet nichts in den ~300 Dateien.

Ich habe auch gleich einen Fehlalarm vermutet. Die Datei ist schon lange unverändert Online und wurde bestimmt unzählige Male heruntergeladen und installiert, da hätte es bestimmt Beschwerden gegeben. Microsoft hat besagte Trojaner-Signatur dagegen erst vor einigen Tagen eingearbeitet.

Naj, vielleicht noch ein tapferer BitDefender, ein Norton-Lamer und ein Avira-Schmock ftw?! :up:

Wenn der Upload passt, kann man auch http://www.virustotal.com/de/ nehmen.
Die Seite findet auch nichts und das, obwohl sie insgesamt 40 Virenscanner drüberjagt (http://www.virustotal.com/de/analisis/ac3636fecf6297c7fb90cc3ebd1d5002b987ea835658ab5ca99e669b0190c1dd-1266355100) (unter anderem auch "Microsoft", vielleicht ältere Signaturdatei?!). Thx sei laut!

Bleibt die ursprüngliche Frage, was zum Geier soll man sich unter "Computer bereinigen" vorstellen? Findet das jemand intuitiv?

Ich finde, Microsoft Security Essentials ist ein Usability Desaster erster Güte und für einen Marktführer ein Epic Fail. Mag mir jemand erklären, was unter "Computer bereinigen" zu verstehen war, wenn der Mist eben doch noch in Quarantäne bleibt. Das hätte ich in diesem Fall hinter "Aktion anwenden" vermutet, da oben bei "Empfehlung" schließlich "Quarantäne" als Aktion ausgewählt ist. :mad:

Was ist jetzt das Problem? Das die Datei nicht gelöscht wurde oder das es scheinbar ein Fehlarlarm ist?

Kannst du nicht selbst definieren was in einem solchen Fall mit verseuchten Dateien geschehen soll? Ich sitze gerade am Firmen-Notebook mit TrendMicro OfficeScan, kann also nicht nachsehen. Ich meine jedoch in den Settings der MSE irgendwas in die Richtung gesehen zu haben. Dort kann man sicherlich auch einstellen, das der erkannte Bösewicht gleich gelöscht wird. Und Fehlalarm hatte jeder der "großen" Anbieter schon mal ... da ist ein MSE ebenso wenig die Ausnahme wie Avira, TrendMicro, Symantec oder sonstwer. Und wenn es wirklich ein Fehlalarm ist/war, wäre ich persönlich froh wenn die Datei noch in der Quarantäne liegt ;)

Edit: Microsoft? Marktführer? In Sachen AV? :usweet:

Ne, es geht nicht darum dass es nicht gelöscht werden kann. Sondern darum dass wenn man auf Computer bereinigen klickt die Datei in die Quarantäne verschoben wird und nicht gelöscht wird. Ich habs hier auch getestet und dasselbe Verhalten.

Was ist jetzt das Problem? Das die Datei nicht gelöscht wurde oder das es scheinbar ein Fehlarlarm ist?
Schau dir den ersten Screenshot an. Zwei Buttons zur Auswahl, einmal "Computer bereinigen", einmal "Aktionen anwenden". Ferner ist oben unter "Empfehlung" als Aktion "Quarantäne" angegeben, dort kann man auch "Entfernen" einstellen.

Ich bin intuitiv davon ausgegangen, dass "Computer bereinigen" die Datei in jedem Fall löscht, während "Aktionen anwenden" die Datei in Quarantäne verschiebt, weil dies eben zu jenem Zeitpunkt die oben ausgewählte Aktion darstellte.

Tatsächlich ist dies nicht so, beide Buttons verschoben in meinem Fall die Datei in Quarantäne. Ich hatte gehofft, dass mir jemand eine nachvollziehbare Erklärung geben kann, was sich Microsoft dabei gedacht hat. Eine gewisse Freude am Bashing kann ich natürlich nicht ausschließen, aber das ist doch Murks, oder etwa doch nicht?!

@Walkman
Warst schneller! :)

avast meldet auch nix:cool:

So, folgendes hab ich festgestellt. Bei "Computer bereinigen" führt er die Aktion aus, die unter "Einstellungen>Standardaktionen" festgelegt ist. Wählt man "Empfohlene Aktion", führt er dabei das aus was er jeweils für das richtige hält. Bei "Aktion anwenden" führt er das aus was man in der DropDown Box jeweils ausgewählt hat. Wenn man also in den Einstellungen unter Standardaktionen überall Entfernen wählt, sollte er bei "Computer bereinigen" infizierte Objekte immer löschen.

avast meldet auch nix:cool:

avast taugt leider nix seit ver 5.
jotti sagt :http://virusscan.jotti.org/en/scanresult/99d1da8cf3cf6b99247c31fd711a64cef363a273
filterbit ist der meinung:http://www.filterbit.com/results.cgi?uid=9e6w6elc4s9ryq0c854dnp4ds99w97yo

asquared :
a-squared Free - Version 4.5
Last update: 2/15/2010 11:39:38 PM

Scan settings:

Scan type: N/A Objects: C:\Users\hueresiechbischdugail\Desktop\kivan-v8.1.exe
Scan archives: On / Heuristics: Off / ADS Scan: On

Scan start: 2/16/2010 11:50:41 PM C:\Users\VAiO\Desktop\kivan-v8.1.exe detected: Trojan.Generic!IK

avast taugt leider nix seit ver 5.
Erzähl mir mehr. :|

Erzähl mir mehr. :|
http://www.youtube.com/watch?v=qVxlZOoUhV0
http://www.youtube.com/watch?v=qVxlZOoUhV0
içi (http://www.googlefight.com/index.php?lang=en_GB&word1=avast&word2=microsoft+essentials)

Ne, Spass bei/zur Seite, ich mag Avast seit der 5er einfach nicht mehr. Und ob man dem Tester von Remove Malware.com vertrauen kann, muss jeder fuer sich selbst entscheiden.

Achtung¡¡ : die im video genannte url, sollte man nicht ansurfen. FF blockiert das meiste, wer aber immernoch mit ie surft sollte diese "test url seite" nicht aufrufen. ich/weder der Tester von RemoveMalware.com haften nicht fuer irgdw.verursachten Schaeden!!

Bei "Computer bereinigen" führt er die Aktion aus, die unter "Einstellungen>Standardaktionen" festgelegt ist.
Interessant, danke fürs ausprobieren! Mit "Computer bereinigen" kann man also ggf. Bedrohungen der mittleren Warnstufe zulassen und alles darüber in die Quarantäne schieben. Außerdem (und ich mag mich irren) gibt es keine brauchbare Dokumentation zur Funktionsweise der nur auf den allerersten Blick selbsterklärenden Buttons. :up:

Mal andersrum, wie bekommt man denn Dateien aus der Quarantäne wieder heraus?

Interessant, danke fürs ausprobieren! Mit "Computer bereinigen" kann man also ggf. Bedrohungen der mittleren Warnstufe zulassen und alles darüber in die Quarantäne schieben. Außerdem (und ich mag mich irren) gibt es keine brauchbare Dokumentation zur Funktionsweise der nur auf den allerersten Blick selbsterklärenden Buttons. :up:

Mal andersrum, wie bekommt man denn Dateien aus der Quarantäne wieder heraus?
Verlauf-> Unter Quarantäne gestellten Elemente->Entfernen/Wiederherstellen

(Das bekommt man auch ohne Handbuch raus.)

http://www.abload.de/thumb/capture_17022010_11570sxih.png (http://www.abload.de/image.php?img=capture_17022010_11570sxih.png) http://www.abload.de/thumb/capture_17022010_11563vzaa.png (http://www.abload.de/image.php?img=capture_17022010_11563vzaa.png)

...und weil Abload gerade tilt...
http://img42.imageshack.us/img42/408/capture17022010115636.th.png (http://img42.imageshack.us/i/capture17022010115636.png/)http://img641.imageshack.us/img641/9014/capture17022010115707.th.png (http://img641.imageshack.us/i/capture17022010115707.png/)

Mit Verlaub, aber das ist doch der nächste Usability Fail. Man muss den Listenfilter (Anzeigefilter) durchschalten, um aus heiterem Himmel Zugriff auf Funktionen zu erlangen? :freak:

Ich finde die Bedienung auch schwul. Aber wenns Dir nicht gefällt haus halt wieder runter. Kostet ja auch nix. Verstehe die Aufregung nicht.
Und zum Scann ansich. Scheint eher ein Zufallsfund zu sein. Wird ein Generator dahinterliegen, wo die Scanner eh gern mal anschlagen.

Generator? :confused:

Ich gestehe, ich habe vielleicht das falsche Unterforum gewählt. Im "Diskussionsforum Software" wäre ich um die hilfeforentypischen Antworten "wayne?!" und "benutz halt was anderes!" womöglich herumgekommen. :tongue:

Allerdings finde ich nicht, dass es zu viel verlangt ist, sich mal kurz mit der Software auseinander zu setzten und sich mal die Optionen anzusehen. Also wenn man nicht gerade ein DAU ist. Dort wäre dann alles ohnehin klar geworden. Gerade bei AV-Scannern sollte man doch als erstes mal in die Optionen und den Kram so einstellen, wie es einem gerade passt (vorallem wann der vollständige Scan ablaufen soll). Ich hab's dann die Einstellung eben auf "löschen" gesetzt und gut ist.