Author Topic: Automatische Erkennung fragewürdig, was soll das?  (Read 10032 times)

0 Members and 1 Guest are viewing this topic.

Offline wovde

  • Newbie
  • *
  • Posts: 12
Automatische Erkennung fragewürdig, was soll das?
« on: January 14, 2019, 04:38:26 PM »
Was mir schon öfters aufgefallen ist: Ich bekomme eine Mail mit Virus im Anhang. Datei speichere ich auf der Festplatte. Es passiert: NICHTS
Dann prüfe ich die Datei manuell mit der Funktion "Gezielter Scan". Dann wird mir die Datei von Avast als Virus gemeldet. Das geht überhaupt nicht. Dafür brauche ich kein Anti-Virenprogramm. Ist das jetzt einfach nur schlecht programmiert?


 

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76032
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #1 on: January 15, 2019, 07:50:27 AM »
- Welches Avast..? (Free/Pro/IS/Premier)
- Welche Version..?
- Betriebssystem..? (32/64 Bit..? - welcher SP/Build..?)
- Andere sicherheitsbezogene Software installiert..?
- Welches AV-Programm hast du vorher verwendet..?

Willkommen im Forum,
Asyn
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline K_Lesnik

  • Avast team
  • Full Member
  • *
  • Posts: 186
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #2 on: January 15, 2019, 09:37:59 AM »
Hallo,
die Datei sollte auf jeden Fall beim Download erkannt und blockiert werden. Je nachdem, ob Du einen Mail-Client nutzt, wäre dafür der Mail-Schutz oder der Webschutz zuständig.
Falls beide Schutzmodule aktiv sind und die Datei nicht erkannt wird, melde sie am besten bei den Avast Thread-Labs.
https://www.avast.com/de-de/report-malicious-file.php

Grüße

Offline wovde

  • Newbie
  • *
  • Posts: 12
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #3 on: January 15, 2019, 01:23:35 PM »
- Welches Avast..? (Free/Pro/IS/Premier)
Free

- Welche Version..?
19.1.2360 (Build 19.1.4142.0)

- Betriebssystem..? (32/64 Bit..? - welcher SP/Build..?)
Windows 7 64bit, SP1

- Andere sicherheitsbezogene Software installiert..?
Nein

- Welches AV-Programm hast du vorher verwendet..?
kein anderes

Willkommen im Forum,
Asyn


« Last Edit: January 15, 2019, 01:28:44 PM by wovde »

Offline wovde

  • Newbie
  • *
  • Posts: 12
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #4 on: January 15, 2019, 01:40:37 PM »
Hallo,
die Datei sollte auf jeden Fall beim Download erkannt und blockiert werden. Je nachdem, ob Du einen Mail-Client nutzt, wäre dafür der Mail-Schutz oder der Webschutz zuständig.
Falls beide Schutzmodule aktiv sind und die Datei nicht erkannt wird, melde sie am besten bei den Avast Thread-Labs.
https://www.avast.com/de-de/report-malicious-file.php

Grüße
genau das habe ich mir auch gedacht, ist aber leider nicht passiert. Dateianlagen werden bei meinem Mailclient in einem separaten Verzeichnis gespeichert, d.h. bereits beim Mailempfang kam keine Meldung, obwohl die Malware direkt beim Mailempfang auf die SSD geschrieben wurde. Die Malware ist in der Signatur enthalten und wird erkannt, bei der manuellen Prüfung. Bei Virustotal wird die Malware auch als "durch Avast erkannt" gelistet. Es ist also kein Problem der Signatur. Das heisst Avast hat hier 2x versagt:
- beim Empfang der E-Mail und bei der Speicherung der infizierten Dateianlage (eine .doc Datei) hätte Avast die Datei erkennen müssen.
- ich habe die Datei im Windows Explorer mehrmals (!) in andere Verzeichnisse verschoben und bewegt. Auch hier hätte Avast aktiv werden müssen

Beim E-Mail Schutz habe ich "eingehende und ausgehende Mails prüfen" zwar deaktiviert (ich möchte nicht, dass meine TLS Verbindung zum Mailserver durch einen MITM Server geht, auch wenn es sich um einen Avast-Server handelt).  Das ändert aber nichts daran, dass der Dateischutz beim Schreiben der infizierten Datei hätte aktiv werden müssen.

Frage: werden .doc Dateien standardmäßig beim "Datei-Schutz" überprüft?


Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76032
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #5 on: January 15, 2019, 02:14:27 PM »
- Welcher Mail-Client und Version..?
- Hast du ein Beispiel & Screenshot für uns..?

PS: Was meinst du mit "Die Malware ist in der Signatur enthalten"..??
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline wovde

  • Newbie
  • *
  • Posts: 12
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #6 on: January 15, 2019, 03:12:50 PM »
- Welcher Mail-Client und Version..?
- Hast du ein Beispiel & Screenshot für uns..?

PS: Was meinst du mit "Die Malware ist in der Signatur enthalten"..??
Ich nutze die Software "TheBat". Da ich aber den E-Mail Schutz für eingehende und ausgehende E-Mails deaktiviert habe, sollte das keine Rolle spielen, da hier offensichtlich der Datei-Schutz versagt hat. Die Malware ist in den Virendefinitionen von Avast enthalten, das meinte ich mit Signatur. Ich kann folgendes sagen: die Malware ist eine .doc Datei, die Malware ist: VBA:Downloader-FVK [Trj]
Selbst beim Hochladen auf Virustotal kommt keine Meldung von Avast, obwohl die Datei dabei sowohl vom Webbrowser als auch vom Windows Dateisystem mehrmals munter angefasst wird.

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76032
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #7 on: January 15, 2019, 03:24:20 PM »
1. Download Avast Free Antivirus: https://files.avast.com/iavs9x/avast_free_antivirus_setup_offline.exe
2. Folge exakt der Anleitung: https://forum.avast.com/index.php?msg=552606
3. Avast mit dem Installationsprogramm aus Punkt 1 neu installieren.
4. System neu starten.

Sag Bescheid wie's danach läuft...
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline wovde

  • Newbie
  • *
  • Posts: 12
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #8 on: January 15, 2019, 03:28:20 PM »
wo sind in der Avast Benutzeroberfläche eigentlich die verfeinerten Einstellungen zum Dateischutz geblieben, wie hier beschrieben:
https://help.avast.com/de/av_free/18/settings_sh_std_on_exec.html

So Optionen wie "Beim Schreiben prüfen" oder "Beim Öffnen prüfen" gibt es nicht mehr?

Offline wovde

  • Newbie
  • *
  • Posts: 12
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #9 on: January 15, 2019, 03:30:55 PM »
1. Download Avast Free Antivirus: https://files.avast.com/iavs9x/avast_free_antivirus_setup_offline.exe
2. Folge exakt der Anleitung: https://forum.avast.com/index.php?msg=552606
3. Avast mit dem Installationsprogramm aus Punkt 1 neu installieren.
4. System neu starten.

Sag Bescheid wie's danach läuft...

Was ist der Grund für die Deinstallation im Safe-Mode? Damit der Rechner nicht schutzlos ist während der Deinstallation?

Offline TerraX

  • Avast Evangelist
  • Starting Graphoman
  • ***
  • Posts: 6563
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #10 on: January 15, 2019, 04:28:50 PM »
wo sind in der Avast Benutzeroberfläche eigentlich die verfeinerten Einstellungen zum Dateischutz geblieben, wie hier beschrieben:
https://help.avast.com/de/av_free/18/settings_sh_std_on_exec.html

So Optionen wie "Beim Schreiben prüfen" oder "Beim Öffnen prüfen" gibt es nicht mehr?
Siehe hier: https://forum.avast.com/index.php?topic=224225.msg1488998#msg1488998

TerraX
Win10 64bit / Avast Premium Security / MBAM Free / Firefox ESR [NS/uBO] / Thunderbird / AOS/ASB

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76032
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #11 on: January 15, 2019, 04:29:09 PM »
Bevor wir hier lange herumtüfteln, wäre das der einfachste Weg für einen sauberen Ansatz.
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline wovde

  • Newbie
  • *
  • Posts: 12
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #12 on: January 15, 2019, 08:07:36 PM »
Hallo,

ich habe Avast ensprechend der Anleitung im abgesicherten Modus deinstalliert und neu installiert. Leider keine Änderung. Die Malware-Datei wird über Avast "Gezielter Scan" als Malware erkannt. Der Dateischutz erkennt die Datei aber nicht als Malware wenn ich z.B.
- die Datei auf Virustotal hochlade
- ich die Datei von einem Verzeichnis in ein anderes Verzeichnis kopiere

In beiden o.g. Fällen müßte der Dateischutz anschlagen, wenn der Dateischutz so arbeitet, wie beworben.  Deshalb noch einmal meine Frage: sind .doc Dateien in den Standardeinstellungen des Datei-Schutzes als zu prüfende Dateitypen enthalten?


Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76032
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #13 on: January 16, 2019, 06:17:56 AM »
Leider gibt's keine Liste der Dateitypen, warte auf Antwort von KL.

PS: Könntest du bitte den Link zum VT-Ergebnis posten..!?
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline K_Lesnik

  • Avast team
  • Full Member
  • *
  • Posts: 186
Re: Automatische Erkennung fragewürdig, was soll das?
« Reply #14 on: January 16, 2019, 09:34:26 AM »
Hi,
ich denke, das sollte in Rücksprache mit dem Kundendienst geklärt werden. Hast Du die Datei noch? Dann mach bitte ein Ticket unter support.avast.com auf und schicke sie als Passwort-geschütztes ZIP-Archiv mit, und führe bitte in der Beschreibung Deinen Nutzernamen im Forum an.
Welche Kategorie Du bei der Anfrage wählst, ist egal, nur nimm nicht "Malware melden", da diese Anfragen automatisch bearbeitet werden.

Die Bearbeitung kann leider aktuell etwas länger dauern, gibt zur Zeit recht viele Anfragen.

Grüße