Thema: Merkwürdigkeiten von Avira, vermutlich

[dada]

Problem: Avira fing an rumzumosern wegen irgendwelcher Bedrohungen. Nach einer Weile habe ich die Meldungen einfach verärgert weggeklickt. Am selben Vormittag hatte es noch Definition Updates wie üblich gegeben. Eine Stunde später nahm ich mir die Sache mal vor. Avira weigerte sich, Updates oder Scans zu machen. Als letztes Update wurde der 9.7. angegeben, obwohl am 20.7. noch eins gekommen war. Deinstallieren wurde verweigert, manuelles Löschen der Verzeichnisse auch. Auf Jürgens Rat ( natürlich ca 1 Uhr morgens ) habe ich dann MS security installiert und laufen lassen--> keine Meldung. Danach dann Spybot wirken lassen mit ca. 200 weniger wichtigen Meldungen und ein paar Trojanern mittelmäßiger Sicherheitsstufe. Die habe ich alle eliminieren lassen, allerdings ohne Erfolg für Avira, denn eine Neuinstallation oder Deinstallation  war weiter nicht möglich.
Defcon 3!
Rechner im protected Mode neu gestartet und die Avira Verzeichnisse gesucht und umbenannt (in "Shit"). Dann Rechner neu gebootet und die Shit Verzeichnisse gelöscht, was problemlos funktionierte. Dann Registry geöffnet und alle Avira Keys gesucht und gelöscht. Danach Reboot und Avira aus dem Netz neu installiert. Das ging alles sauber und die Sache funktioniert wieder ohne merkwürdige Gefahrenmeldungen.
Keine Ahnung, was das Ganze ausgelöst hat!

[Dragonix]

ein paar Trojanern mittelmäßiger Sicherheitsstufe

Ehrliche Meinung? System neu aufsetzen.

[dada]

die Trojaner wurden natürlich rausgeworfen

[Dragonix]

Total egal. Ich halt's da mit "Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig."
Siehe http://www.oschad.de/wiki/Kompromittierung

Du weißt nicht was da schon alles kaputt ist. Kein Hersteller irgendeiner Anti-Schadsoftware wird dir garantieren, dass er weiss, analysiert und rückgängig macht, was da manipuliert wurde (was auch alleine wegen der gigantischen Menge nicht möglich ist). Ergo hast du vielleicht den Trojaner entfernt, aber höchstwahrscheinlich nicht alle "Konsequenzen".

[Jürgen]

Diese Position kann ich durchaus verstehen, und weitestgehend halte ich mich auch selbst daran.

Allerdings findet der Spybot auch gerne Schädlinge z.B. in Downloads, die noch nie geöffnet wurden, in Archiven usw.
Damit er sich nicht langweilt bzw. zum Funktionstest gibt's hier daher an besonderer Stelle genau zwei solcher Archivdateien, die tatsächlich zwei ziemlich fragwürdige Tools beinhalten.

Ansonsten habe ich hier für wirklich alles Wichtige einen Haufen portabler Anwendungen im Einsatz, und sowohl die als auch Dokumente, Musik, Filme & Co. werden ziemlich regelmäßig einfach per Kopie gesichert.
Und zwar wechselweise auf zwei externe Platten und auf den Zweitrechner. Dazu ein paar Sticks mit dem Wichtigsten auch für unterwegs.
 
Das bedeutet, ein Umzug auf einen anderen Rechner oder eine Neuinstallation wäre quasi im Handumdrehen erledigt.
Grundinstallation, ein paar Details hinbiegen (Desktop-Icons, Dateitypen u.ä.), feddisch...

So bin ich weder von der Hardware noch von der OS-Installation wirklich abhängig.

Jürgen

p.s.
@ dada

Sollte bei Dir tatsächlich irgendein Schädling schon aktiv (gewesen) sein, übe zuerst einmal etwas Zurückhaltung bei brisanten Dingen wie Online Banking.
Prüfe statt dessen ganz massiv auf mögliche Manipulationen, möglichst auf einem anderen Rechner oder per frisch installierter Zweit-Platte.
Passworte ändern zunächst NUR im Falle tatsächlicher Angriffe.
Und da, wo's nicht viel Umstände macht, wie z.B. am DSL-Router.

Wer eventuell schon Daten abgegriffen haben sollte, wird sich natürlich von einer Neuinstallation nicht mehr abhalten lassen.
Da würde man sich in falscher Sicherheit wiegen...
Suche weiter nach Rootkits usw., na klar. 

[Hans Vader]

Auch ich würde diese kompromittierte Installation komplett Endsorgen!
Falls Du keine regemäßigen Backups gemacht hast wird es dafür Zeit.
Also Musik, Videos, Fotos ....

Aber unbedingt mit Hilfe eines richtigen Betriebssystems .
Z.B. mit einer Lubuntu - Live - CD. Das Netz bietet hierfür genug Tips.

Auch für Online - Banking gibt es spezielle Linux - Distros.
Z. B. : http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html

Ebenfalls würde ich darüber nachdenken evtl. ein Dualboot - System zu benutzen.
Also Ubuntu / Windows auf einer Platte. Geht natürlich auch mit 2 Platten.
Trotzdem bleibt Sicherheit immer relativ.

[dada]

Vielen Dank für eure Anteilnahme und Anregungen!
Ich betreibe ein Dual-Boot System und mache regelmäßig Backups meiner Daten auf eine externe Platte. Extra Virenscans mache ich gelegentlich mit einer Rescue CD, die mit dem Pinguin läuft . Ich gerate auch nicht leicht in Panik, denn für mich ist ein mit dem Internet verbundener PC nie sicher, aber, no risk no fun! Dazu habe ich ein paar vermutlich saubere Images von C rumliegen, mit denen ich leicht zurückgehen kann, wenn es wirklich nötig sein sollte.
Alles, was bei etlichen Scans als verdächtig gefunden wurde, war nicht wirklich gefährlich. Meine Kontoverbindungen kontrolliere ich sowieso regelmäßig denn auch ein frisch installierter PC kann schon beim Einstecken des LAN Steckers verseucht werden, ohne dass man es merkt. Man darf sich deshalb NIE in Sicherheit wiegen.
Gefährliche Malware hätte vermutlich über einen Registry Eintrag den Virenscanner sofort wieder blockiert, was aber nicht passiert ist und beim Stöbern heute im Netz fand ich schnell heraus, dass mein Problem ein bekannter Fehler von Avira ist, der unter bestimmten Umständen auftreten kann. Die von Avira vorgeschlagene Behebungsroutine beschreibt ziemlich genau das, was ich schon gemacht hatte.
Und wie Jürgen habe ich einen kleinen (harmlosen) Aufwecker auf der Platte!
Ich ziehe also mal den Schluß, dass es ein Software Fehler und keine Attacke war. Mein Aufmerksamkeitsniveau bleibt aber noch eine Weile über Normal.

[Joutungwu]

Falls du nur den kostenlosen Avira Virenscanner benutzt, könntest du meiner Meinung nach besser zu MS Security Essentials wechseln. Welcher Virenscanner ausreicht, besser oder der Beste ist, können selbst "IT-Sicherheitsexperten" nicht sicher ausagen. Da gibts häufig Streit drum... zuletzt gabs mal Ärger mit Stiftung Warentest.
MS Security Essentials hat jedoch zumindest einen Vorteil für den Normalo-Benutzer, nämlich dass dieser Scanner sich im Gegensatz zu einigen kostenpflichtigen Scannern (Bsp.: Norton Antivirus Suite) schön im Hintergrund hält und im Gegensatz zu den meisten kostenlosen Scannern (Bsp.: Avira, AVM) den Benutzer nicht mit nervender Werbung zuballert. MS SE besitzt außerdem ausreichende bis umfangreiche, aber meiner Meinung nach leicht verständliche Einstellungsmöglichkeiten. Ich empfehle MS SE oft an Leute weiter, die keinen kostenpflichtigen Scanner benötigen, also eigentlich an alle privaten Benutzer die ich so kenne.

[dada]

Danke! MS SE läuft nach Jürgens Rat auch schon bei mir und scheint sich mit Avira nicht zu beißen, mal sehen, wie das weiter geht. Und das ist wahr, der MS SE wird im Normalbetrieb gar nicht bemerkt.

[Hans Vader]

Für das tägliche "rumhängen" im Internet empfiehlt Dr. Vader einen Linux - Pc o. gar einen Mac.
Zusätzliche Bloatware ala Norton u.s.w. ist dann nicht von Nöten.

Allerdings ist MS Essentials + die Windowsfirewall eine gute Wahl wenn es denn unbedingt Windows sein muss.
Ich fahr ich hier gerade testweise ein Lenovo Core I7 Notebook in Verbindung mit Windows 8.1 .
Da mir das Notebook nicht gehört kann ich aber nicht einfach Ubuntu parallel installieren. 

[Joutungwu]

Beim Parallelbetrieb zweier Virenscanner kann es evt. vorkommen, dass ein Scanner die Viren-Definitionen oder das Quarantäne-Verzeichnis des anderen scannt, sofern diese Verzeichnisse nicht ausgeschlossen sind.
Das könnte Fehlalarme auslösen und die Scanner könnten versuchen sich gegenseitig die Virendefinitionen in die Quarantäne zu ziehen oder zu löschen. Sozusagen, ein kleiner "Cyberwar" auf dem eigenen Rechner...   

[dada]

  , hehe, aber das habe ich schon gemacht. Wäre aber interessant zu sehen, ob sowas wirklich passiert.

[Jürgen]

Offenbar hält hier die Mehrheit der Hartnäckigen MSE (bzw. unter 8 alias Defender) für eine gute Wahl unter den kostenlosen Lösungen, so wie auch ich.

MRT und Spybot S&D sind gute Ergänzungen, die sich auch keinesfalls damit beißen.

So habe ich seit langer Zeit auch alle Rechner anderer eingerichtet, die ich betreue.

Gegen Hijacker und anderen Unfug, den blöde Allesklicker aktivieren, hilft das nicht selbsttätig, aber immerhin habe ich bei solchen bislang nur relativ harmloses händisch nachputzen müssen.
Etwas Hirn und Regedit, das genügt selbst dann immer noch.
Wirklich Übles habe ich bei den von mir betreuten Rechnern schon lange nicht mehr erlebt.
Bei solchen, die ich erst verseucht kennengelernt habe, dagegen sehr wohl.
Die wurden dann, nach Datensicherung per Tux, komplett und ordentlich neu aufgesetzt, und soweit möglich, das neurale System der User auch...   

Jürgen