Fabian Wosar

a-squared Anti-Malware 5.0 - Diskussionsthread zur Beta

Recommended Posts

Guest Julian

1.) Direkt nach der Installation ist kein Schutz aktiv, weder IDS, noch On Execution Scan. Nach einem Neustart gehts dann.

2.) Wenn man in einem Pop Up vom Scanner auswählt, den Start zuzulassen, dass Verhalten aber zu überwachen, und eine Regel dafür erstellt, dann blockiert a² den Start.

3.) Malware kann immer noch den Taskmanager abschalten.

Share this post


Link to post
Share on other sites

1.) Direkt nach der Installation ist kein Schutz aktiv, weder IDS, noch On Execution Scan. Nach einem Neustart gehts dann.

Ja, ist bekannt. Werden daher den User zum Neustart auffordern beim Update von 4.5 auf 5.0.

2.) Wenn man in einem Pop Up vom Scanner auswählt, den Start zuzulassen, dass Verhalten aber zu überwachen, und eine Regel dafür erstellt, dann blockiert a² den Start.

Wird weitergeleitet.

3.) Malware kann immer noch den Taskmanager abschalten.

Ja, sind einige Bugs prioritätstechnisch höher eingestuft worden. Sobald die abgearbeitet sind, kann ich mich wieder an die Implementation neuer Events machen.

Share this post


Link to post
Share on other sites
Guest Julian

Probier mal folgende Settings in Deine sandboxie.ini hinzuzufügen. Auf meinen Testrechnern funktioniert es damit:

OpenIpcPath=*\BaseNamedObjects*\{A2IPCMUTEX}a2_ipc

OpenPipePath=\Device\NamedPipe\{A2IPC}a2_ipc

Funktioniert bei mir nicht, das IDS gibt bei dem auf meinen Screens gezeigten Sample dann immer noch keine Warnung.

Share this post


Link to post
Share on other sites

So hab noch was, wenn das A²menu offen und nicht auf der Hauptseite ist, und man einen Scan per Kontext startet, wird der Scan zwar durchgeführt, aber es wird nicht zum Scanfenster gewechselt, das müsste man im Menu selber auswählen. Ist das gewollt?

Share this post


Link to post
Share on other sites
Guest Julian

1. Offenbar scannt der Wächter VB-Skripts auch beim Kopieren, obwohl er nur auf On Execution eingestellt ist:

1e4390416be84511b5a52b08816e5b8d.png ae2bab5ff491030b9bbdced0df02b5e1.png

2. Ich hatte gerade einen Freeze beim Starten von Firefox. Das System reagierte ansonsten normal, nur die a²-Prozesse hingen, z.B. ließ sich das Tray-Symbol nicht mehr bedienen.

Share this post


Link to post
Share on other sites

1. Offenbar scannt der Wächter VB-Skripts auch beim Kopieren, obwohl er nur auf On Execution eingestellt ist.

Siehe dazu meine Ausführungen hier:

http://support.emsisoft.com/topic/1451-a-squared-anti-malware-5-0-diskussionsthread-zur-beta/page__view__findpost__p__7697

2. Ich hatte gerade einen Freeze beim Starten von Firefox. Das System reagierte ansonsten normal, nur die a²-Prozesse hingen, z.B. ließ sich das Tray-Symbol nicht mehr bedienen.

Wurde der Firefox Prozess in Sandboxie gestartet? Ist das Problem reproduzierbar?

Share this post


Link to post
Share on other sites
Guest Julian

Wirklich? Bisher hat das Kaspersky-HIPS bei mir immer zuverlässig solche Skripts wirklich nur On Execution gescannt, beim Kopieren keinen Mucks.

Wurde der Firefox Prozess in Sandboxie gestartet? Ist das Problem reproduzierbar?

Ja. Nein. ;)

Ich konnte gerade FF mehrmals hintereinander ohne Probleme mit aktiviertem Scanner in Sandboxie starten.

Share this post


Link to post
Share on other sites

Wirklich? Bisher hat das Kaspersky-HIPS bei mir immer zuverlässig solche Skripts wirklich nur On Execution gescannt, beim Kopieren keinen Mucks.

Ich weiß nicht ob es mittlerweile noch funktioniert, aber es war bei Kaspersky z.B. möglich den Batch Interpreter (cmd.exe) umzubenennen und dann zu benutzen um ein Script auszuführen, daß von Kaspersky dann nicht als Script erkannt wurde. Selbiges hat IMHO auch mit den VBS Interpretern funktioniert (cscript.exe, wscript.exe). Ist aber schon eine Weile her.

Das Problem ist letztlich, daß Du um zu erkennen ob ein Script ausgeführt wird oder nicht, Du den Interpreter kennen musst. Den kennt man aber nicht zwangsläufig. Zum einen kann man den wie gesagt einfach umbenennen und zum anderen sind einige Scriptsprachen auch direkt via Windows API nutzbar, so daß man sie in der eigenen Anwendung nutzen kann (VBS/VBA z.B.).

Im Allgemeinen sind Scripts äußerst selten auf normalen Systemen. Bedeutet eine Performancebeeinträchtigung sollte nicht auftreten durch den on-access Scan. Wenn man häufiger infizierte Scripts kopiert, sollte man entweder über entsprechende Exclusions verwenden oder aber alternativ den Extension Filter aktivieren und die Script Endungen entfernen.

Ja. Nein. ;)

Ich konnte gerade FF mehrmals hintereinander ohne Probleme mit aktiviertem Scanner in Sandboxie starten.

Ich start mal den Batch Job über Nacht und lass Firefox mal durchgehend in Schleife öffnen und beenden. Vielleicht bekomm ichs ja reproduziert.

Share this post


Link to post
Share on other sites

Nein ich hab nur die AntiMalware laufen.

Ich nutze euren Scanner nun schon seit 3 Jahren, ich war nie auf die Free angewiesen.

Ich kann dir auch nicht sagen, seit wann ich dieses Problem habe da ich zuvor das erste mal den Scanner aus dem Kontext starten wollte seit der Beta 5, um eine einzelne Datei zu scannen.

Sonst funktioniert die Beta bei mir einwandfrei!

Grüße Audrey

Share this post


Link to post
Share on other sites

Könntest Du mal bitte probieren das Kontextmenü zu deaktivieren, zu rebooten und dann wieder zu aktivieren? Die entsprechende Option gibts in den Einstellungen (Explorer Integration). Einfach um sicherzustellen, daß das Kontextmenü korrekt installiert ist.

Share this post


Link to post
Share on other sites
Guest Julian

Wenn ich den Guard von a² übers Trayicon ausschalte und diesen über das Actioncenter wieder einschalte...

d71a4a0ca425772b747f15b287adf66f.png

...startet er nicht wieder den Schutz, sondern nur das GUI, und das sieht dann etwas mitgenommen aus:

944d30eea1bdcee02498753d0475e330.png

Was mir auch nicht gefällt, ist dass man im Menü nicht sieht, dass man den Guard übers Tray abgeschaltet hat. Der User sieht sich sogar mit widersprüchlichen Informationen konfrontiert: Das Trayicon sagt "aus", das GUI "alles eingeschaltet und in Ordnung".

Share this post


Link to post
Share on other sites
Guest Julian

Wenn ich bei einer Meldung vom AV-Guard die Quarantäne auswähle, vollzieht er diese erst dann, wenn ich mich abmelde. Bis dahin ist nur der Zugriff auf die Datei gesperrt.

Share this post


Link to post
Share on other sites
Guest Julian

Das Actioncenter meldet mir gerade, dass a² deaktiviert wäre, ist aber nicht der Fall.

Der Fehler ist ja nicht gerade neu...

Share this post


Link to post
Share on other sites

Wenn ich bei einer Meldung vom AV-Guard die Quarantäne auswähle, vollzieht er diese erst dann, wenn ich mich abmelde. Bis dahin ist nur der Zugriff auf die Datei gesperrt.

Diese Situation kann eintreten, wenn eine Anwendung die Datei geöffnet hält und wir sie entsprechend nicht entfernen können. Das ist eine Limitierung des Dateisystems, die man ohne die Systemstabilität zu gefährden nicht umgehen kann. Sollte so eine Situation eintreten, isolieren wir die Datei vom System um eine Infektion auszuschließen und löschen die Datei entweder beim nächsten Reboot oder sobald die Anwendung die Datei wieder frei gibt.

Das Actioncenter meldet mir gerade, dass a² deaktiviert wäre, ist aber nicht der Fall.

Der Fehler ist ja nicht gerade neu...

Das kann viele Ursachen haben. Insbesondere wenn mehrere Anwendungen installiert sind oder waren die sich dort eintragen, kann es zu einer Korruption der WSC Datenbank kommen. In dem Fall hilft dann ein Reset der Datenbank. Siehe dazu auch mein Posting hier:

http://support.emsisoft.com/topic/1569-a2-not-detected-by-windows-security-centre/page__view__findpost__p__7985

Share this post


Link to post
Share on other sites
Guest Julian

Diese Situation kann eintreten, wenn eine Anwendung die Datei geöffnet hält und wir sie entsprechend nicht entfernen können. Das ist eine Limitierung des Dateisystems, die man ohne die Systemstabilität zu gefährden nicht umgehen kann. Sollte so eine Situation eintreten, isolieren wir die Datei vom System um eine Infektion auszuschließen und löschen die Datei entweder beim nächsten Reboot oder sobald die Anwendung die Datei wieder frei gibt.

Dann sollte der User aber informiert werden, dass dem so ist, denn bisher scheint dann immer irgendein Programm ein Handle auf die Datei gehabt zu haben, oder anders gesagt: a² hat es nie umgehend verschoben.

Das kann viele Ursachen haben. Insbesondere wenn mehrere Anwendungen installiert sind oder waren die sich dort eintragen, kann es zu einer Korruption der WSC Datenbank kommen. In dem Fall hilft dann ein Reset der Datenbank. Siehe dazu auch mein Posting hier:

http://support.emsisoft.com/topic/1569-a2-not-detected-by-windows-security-centre/page__view__findpost__p__7985

Mal gucken, ob das hilft. Jetzt muss ich a² natürlich neu installieren, denn dessen Einträge sind natürlich auch mit weg. ;)

Ich konnte auch den WMI-Dienst wegen Abhängigkeiten nicht anhalten, im Safemode ging es dann.

Allerdings sind andere Programme da weniger anfällig: Weder mit Kaspersky noch Comodo hatte ich in den letzten Monaten jemals ein Problem mit dem Sicherheitscenter.

Share this post


Link to post
Share on other sites

Hallo,

bei mir tritt folgender Fehler auf:

Ich boote mein Notebook (Win XP SP 3), das a-squared-Tray-Icon erscheint, ich warte bis es die Schutzbereitschaft meldet, ich klicke das Tray-Icon an und starte ein Update, Ergebnis: das System friert ein, das Update wird nicht durchgeführt, a-squared lässt sich auch nicht mehr öffnen, der Maus-Cursor lässt sich zwar noch bewegen, aber es lässt sich kein anderes Programm mehr starten. Ich muss einen Hardware-Reset durchführen.

Gruß

Optimist

Share this post


Link to post
Share on other sites

Dann sollte der User aber informiert werden, dass dem so ist, denn bisher scheint dann immer irgendein Programm ein Handle auf die Datei gehabt zu haben, oder anders gesagt: a² hat es nie umgehend verschoben.

Beim on-execution Scan kann das durchaus häufiger der Fall sein, insbesondere wenn neben a-squared noch eine andere Sicherheitslösung läuft. Beim on-access Scan entsteht die Situation allerdings äußerst selten.

In Bezug auf den Hinweis: Im Allgemeinen sind solche Hinweise für Personen, die sich auskennen natürlich hilfreich. Weniger versierte Anwender werden allerdings nur verunsichert. Letztlich stellt eine Anwendung, die nicht sofort in Quarantäne geschoben werden kann ja kein Sicherheitsrisiko dar. Ich werd die Anregung aber mal an die GUI Entwickler weiterleiten.

Mal gucken, ob das hilft. Jetzt muss ich a² natürlich neu installieren, denn dessen Einträge sind natürlich auch mit weg. ;)

Im Normalfall legt der Service die Einträge automatisch an dann. Wenn nicht, sollte es genügen den Service neu zu installieren. Siehe dazu auch folgenden Post:

http://support.emsisoft.com/topic/1451-a-squared-anti-malware-5-0-diskussionsthread-zur-beta/page__p__7241entry7241

Allerdings sind andere Programme da weniger anfällig: Weder mit Kaspersky noch Comodo hatte ich in den letzten Monaten jemals ein Problem mit dem Sicherheitscenter.

Ich darf leider nichts genaueres zur WSC API sagen, aber die komplette Schnittstelle ist die Hölle. Teilweise ist die Microsoft Dokumentation äußerst ungenau und dann ist das WSC an sich auch nicht völlig bugfrei. Wenn man sich die Microsoft Newsgroups und eigentlich alle Firmenforen mal ansieht, wird man auch sehen, daß wir nicht die einzigen sind die Probleme mit der API haben und selbst Microsofts eigene Produkte haben Probleme mit der Integration. Wobei bei uns erschwerend hinzu kommt, daß wir die Microsoft Entwicklungstools nicht verwenden.

Nichts desto trotz werd ich die entsprechenden Entwickler nochmal bitten die Implementation zu überprüfen. Ich werd auch nochmal schauen ob ich es irgendwie schaffe mein Action Center dazu zu bringen a-squared nicht zu erkennen.

Ich boote mein Notebook (Win XP SP 3), das a-squared-Tray-Icon erscheint, ich warte bis es die Schutzbereitschaft meldet, ich klicke das Tray-Icon an und starte ein Update, Ergebnis: das System friert ein, das Update wird nicht durchgeführt, a-squared lässt sich auch nicht mehr öffnen, der Maus-Cursor lässt sich zwar noch bewegen, aber es lässt sich kein anderes Programm mehr starten. Ich muss einen Hardware-Reset durchführen.

Klingt nach einem Deadlock. Ich hab bereits 2 mögliche Ursachen dafür identifiziert und arbeite grade an dem Fix. Es würde mir aber helfen wenn Du testweise einmal den Surfschutz und den Behavior Blocker deaktivieren könntest und überprüfen könntest ob das Problem weiterhin besteht.

Share this post


Link to post
Share on other sites

Klingt nach einem Deadlock. Ich hab bereits 2 mögliche Ursachen dafür identifiziert und arbeite grade an dem Fix. Es würde mir aber helfen wenn Du testweise einmal den Surfschutz und den Behavior Blocker deaktivieren könntest und überprüfen könntest ob das Problem weiterhin besteht.

Das Problem besteht nicht mehr, wenn ich den Behavior Blocker und den Surfschutz deaktiviere.

Share this post


Link to post
Share on other sites

Vielen Dank dafür. Dann handelt es sich bei dem Deadlock bei Dir wahrscheinlich um eines der Probleme, die ich grade bearbeite. Ein entsprechender Fix sollte Anfang nächster Woche verfügbar sein. Bis dahin würde ich entweder empfehlen nicht direkt nach dem Start zu updaten oder aber alternativ den Behavior Blocker und Surfschutz deaktiviert zu lassen bis das entsprechende Update verfügbar ist.

Share this post


Link to post
Share on other sites

Hatte einen "Deadlock" beim ersten Neustart nach Vanilla-Installation von 4.5 mit Update auf die aktuelle Beta.

Musste neustarten per Knopf, da auch der Taskmanager nicht aufgerufen werden konnte.

Bitte noch berücksichtigen:

habe ich einen Scan laufen, welcher als 2. Trayicon zu sehen und aufzurufen ist, und ich klicke mich durchs Menü und schließe dieses, schließt sich auch der Scan... das ist nervig!

Share this post


Link to post
Share on other sites
Guest Julian

Beim on-execution Scan kann das durchaus häufiger der Fall sein, insbesondere wenn neben a-squared noch eine andere Sicherheitslösung läuft. Beim on-access Scan entsteht die Situation allerdings äußerst selten.

In Bezug auf den Hinweis: Im Allgemeinen sind solche Hinweise für Personen, die sich auskennen natürlich hilfreich. Weniger versierte Anwender werden allerdings nur verunsichert. Letztlich stellt eine Anwendung, die nicht sofort in Quarantäne geschoben werden kann ja kein Sicherheitsrisiko dar. Ich werd die Anregung aber mal an die GUI Entwickler weiterleiten.

Danke :)

Deine Erklärung für diesen Umstand klingt auch plausibel.

Im Normalfall legt der Service die Einträge automatisch an dann. Wenn nicht, sollte es genügen den Service neu zu installieren. Siehe dazu auch folgenden Post:

http://support.emsisoft.com/topic/1451-a-squared-anti-malware-5-0-diskussionsthread-zur-beta/page__p__7241entry7241

Hat geklappt, a² meldet sich wieder korrekt im Actioncenter. Wenn deine These stimmt, sollte das Problem nicht mehr auftreten, denn andere Sicherheitssoftware, die sich einträgt, ist nicht installiert.

Danke für dein umfangreiches Feedback.

Share this post


Link to post
Share on other sites

Edit: Hab mal mit ein paar Files herumgespielt. Mhmmm...

Fang ich mal mit folgendem Experiment an. Man starte den Scan, währenddessen rufe man im Menü zum Beispiel die Reports auf. Ergebnis:

a2scan.th.png

Hier ein weiteres Beispiel: Scan starten, ins Menü wechseln, dort ein Protokoll aufrufen:

a2betascan.th.png

Zum Quarantäne-Problem.

Diese Situation kann eintreten, wenn eine Anwendung die Datei geöffnet hält und wir sie entsprechend nicht entfernen können. Das ist eine Limitierung des Dateisystems, die man ohne die Systemstabilität zu gefährden nicht umgehen kann. Sollte so eine Situation eintreten, isolieren wir die Datei vom System um eine Infektion auszuschließen und löschen die Datei entweder beim nächsten Reboot oder sobald die Anwendung die Datei wieder frei gibt.

Das Dateien festgehalten werden, lässt sich leider nicht feststellen- ProzessExplorer zeigt nichts dergleichen an. Zumindest gibt es einen Unterschied: Es lassen sich bis auf wenige Dateien alle löschen, für wenige Dateien wird ein Reboot angeboten. Löschen ist also fast ok (warum es bei einigen Dateien trotzdem zu dieser Meldung kommt, kann wohl nur von a-squareds Entpacker festgehalten ferden).

In die Quarantäne dagegen verschieben geht gar nicht. Jedes File wird erst nach... dorthin verschoben. Irgendwas hakt da. Version 4.5 hat damit zumindest keine Probleme.

Share this post


Link to post
Share on other sites

Keine Ahnung, warum mir das vorher nicht aufgefallen ist aber:

Wenn ein Alarm Popup offen ist, in meinem Fall ein Alarm zur Host-Verbindung (über Firefox geöffnete Webseite), und man dann den Schutz von a² via Kontextmenü auf disabled setzt während das Fenster im Hintergrund auf Antwort des Users wartet, hängt sich a² auf. Nur ein Neustart hilft da...

Kann das jemand bestätigen?

Community Alarm Reduktion ist aktiv, Dateiscanner auf schnellster Einstellung, SurfSchutz aktiv.

Share this post


Link to post
Share on other sites
Guest Julian

1.) Ich hatte einen "kleinen Freeze" beim Starten von VMware Workstation. a² verhinderte das Starten. Das GUI (von a²) war dabei noch bedienbar, aber nicht ansprechbar, ich konnte z.B. trotz Auswählens der Option nicht den Guard anhalten.

2.) Scans, die übers Kontextmenü angestoßen werden, brauchen oft eine Extraeinladung: Beim ersten Versuch fangen sie nicht an zu scannen, beim zweiten Mal gehts dann.

Btw: Was für Funktionen des IDS sind denn nach dem heutigen Update auf x64 noch weiterhin inaktiv?

Edit: Warum ist eigentlich die Comm. basierte Alarmreduktion in der Beta standardmäßig aus?

Edited by Julian

Share this post


Link to post
Share on other sites
Warum ist eigentlich die Comm. basierte Alarmreduktion in der Beta standardmäßig aus?

Danke für die Reports. Das Update von Heute umfasst nur eine ganze Reihe von GUI Änderungen. Siehe auch den Changelog hier:

http://changeblog.emsisoft.com/2010/03/01/beta-update-2010-03-01/

Die Events sind übrigens nicht nur unter x64 deaktiviert. Der Behavior Blocker wird im Laufe der Woche aber ebenfalls aktualisiert. Die genaue Changelog steht noch nicht fest. Was definitiv enthalten sein wird ist ein Fix, der alle "Soft Freezes" (= Maus lässt sich noch bewegen, aber nichts reagiert) behebt, die von uns reproduziert werden konnten.

Share this post


Link to post
Share on other sites

Die GUI läuft jetzt sehr stabil. Kann auch während eines Scans durch Vielklickerei nicht aus dem Tritt gebracht werden. Super!

Unter XP-SP3 sind nun auch die Quarantäneprobleme verschwunden. War wohl doch ein umfangreicheres Update.

Share this post


Link to post
Share on other sites

Eine Frage:

Wenn man recht viel in der Quarantäne vorliegen hat, dieses dann irgendwann löscht... Die Grafik ist beim Löschen recht verzerrt. Hier würde ich gerne statt eines verzerrten Scrollen einen Laufbalken sehen. Oder was ähnliches. Und nach Verschwinden des Laufbalkens wäre die Quarantäne dann wieder aktualisiert sichtbar. Schönheitsding für das nächste Mal :rolleyes:

Ähnlich wie hier:

Share this post


Link to post
Share on other sites

Windows 7 64- Bit System.

Bei mir friert der komplette Laptop ein sobald die Verhaltensanalyse eingeschaltet ist.

Kann nach einem neustart überhaupt nichts machen, friert nach ungefähr 1 Minute sofort ein.

Hab es nach mehreren versuchen nun geschafft die Verhaltensanalyse auszuschalten, nun läuft alles wieder. Schade, aber werde nun warten, bis dieses Problem behoben wurde.

Grüße :)

Share this post


Link to post
Share on other sites

Von der Verwendung aller 3 Lösungen gleichzeitig würd ich abraten. Oder treten die von Dir beschriebenen Probleme auch auf, wenn nur Sandboxie und Anti-Malware installiert sind?

Share this post


Link to post
Share on other sites
Guest Julian

Oder treten die von Dir beschriebenen Probleme auch auf, wenn nur Sandboxie und Anti-Malware installiert sind?

So meine ich das eigentlich. ;)

Share this post


Link to post
Share on other sites

Seit einigen Tagen registriert sich die AntiMalware nicht mehr im Windows Sicherheitscenter (Actioncenter) Windows 7.

Wird das wieder oder soll ich die Warnungen ignorieren?

Grüße

Audrey

Share this post


Link to post
Share on other sites

Mit dem heutigen Update sollten alle von uns reproduzierbaren Ursachen für System Freezes behoben sein. Ich möchte darauf hinweisen, daß das Update erst nach einem Reboot vollständig aktiv ist.

Sollten bei jemandem nach dem Update und einem Reboot noch Freezes auftreten, wäre es nett wenn sich diese Personen via Mail bei [email protected] melden könnten.

Share this post


Link to post
Share on other sites

Seit einigen Tagen registriert sich die AntiMalware nicht mehr im Windows Sicherheitscenter (Actioncenter) Windows 7.

Wird das wieder oder soll ich die Warnungen ignorieren? [...]

Hier gibts ein Workaround dafür.

Share this post


Link to post
Share on other sites

Hi,

wie kommt es eigentlich, dass a-squared auf einem Windows 7 und Windows XP System immer einen Neustart nach einem IKARUS Signaturen Update möchte, auf einem Windows Vista System aber nicht?

Share this post


Link to post
Share on other sites

Hi,

nur um sicher zu gehen, dass ich es nicht vergessen habe mitzuteilen:

1. OnDemand scannen von Netzwerkfreigaben funktioniert nicht, egal ob es per Kontextmenü oder per Eigener Scan angestoßen wird.

2. OnAccess Erkennung auf Netzwerkfreigaben funktioniert auch nicht so richtig, das Ausführen der Datei wird zwar unterbunden, es erscheint aber keine Warnmeldung seitens Anti-Malware.

Share this post


Link to post
Share on other sites

Hallo,

mir ist noch aufgefallen, dass keine Meldung kommt, wenn Riskware ausgeführt wird. Es kommt einfach nur, dass man die Datei nicht öffnen kann, wegen Berechtigungen. Es wird auch nicht im Protokoll angezeigt, dass etwas geblockt wurde oder eine Regel erstellt.

Sobald man den Haken bei "Riskware melden" entfernt, kann die Datei ausgeführt werden.

Share this post


Link to post
Share on other sites
Guest Julian

Beobachtungen zum aktuellen Stand:

a² gibt Warnmeldungen bei UAC-Abfragen (liegt vll. an englischer Win 7 Version?):

425f7b8365e4e0d8c80e12f112b2c9ce.png

Eine weitere Warnmeldung gab es, als ich mir die Regeln von einem Programm ansehen wollte:

ad9d3f961c9f483fcb3e87daf2a68fb0.png

Das Windows Actioncenter wird gar nicht mehr unterstützt. Ich dachte erst, auf meinem Host wär was versaut, aber auf einer sauberen VM sieht es nicht anders aus:

79e88d34f5e440f3f236141fd0e444df.png

Irgendwie scheint nach einem ersten Neustart nach der Installation der Selbstschutz nicht richtig zu funktionieren, ich kann dann die a2guard.exe über den Taskmanager killen.

Die Quarantäne-Funktion beim Dateiwächter funktioniert immer noch nicht richtig. Beim IDS tut sie dies aber ohne Probleme, also wird a² sich selbst blockieren, wie es S-D schon vermutete.

Und leider kann Malware immer noch den Taskmanager abschalten. Allerdings scheint das IDS ja wieder an Umfang dazugewonnen zu haben, so meldet es z.B. jetzt auch direkten Sektorzugriff.

Aber ist es auch wirklich vollständig? Ich hab z.B. noch nie eine Warnmeldung bezüglich dessen gesehen, dass Malware versteckt Daten hertunerladen würde.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.