Solution-Design

AM5 Ausnahmen ohne Funktion

Recommended Posts

In Version 4.5 war es so: Erkannte Dateien den Ausnahmen hinzufügen und die gerade hinzugefügte Datei verschwand aus dem Scan-Fenster als erkannte Malware. In Version 5 passiert gar nichts.

(Vista32 - Business)

Außerdem wäre es ganz nett, wenn man das Fenster "Ausnahmen bearbeiten" schon geöffnet hat, dort Dateien hinzuzufügen zu können. Aber, auch da nüscht. Habe das Fenster aufgerufen, nachdem ich Dateien per Kontext-Menü hinzugefügt habe.

Share this post


Link to post
Share on other sites

Ja dass habe ich auch festgestellt und heute an Emsisoft gemeldet. Nach einem Scan kann man nichts mehr in die Ausnahmen übernehmen (nur noch manuell über Menü / Wächter / Ausnahmeregeln, aber dieser Weg ist ja nicht Sinn der Sache.

gruß kf

Share this post


Link to post
Share on other sites

Heute kam Antwort von Emsisoft:

Auf Ihre Support-Anfrage zum Thema "Ausnahme-Funktion nach dem Scan funktioniert nicht" wurde eine Antwort gepostet:

--------------------------------------------------------------------------------

Hallo,

das Problem ist bereits bekannt und steht auf der Todo-Liste für das nächste Update.

------------------------------------------------------------------------------

Na mal sehen, wann das kommt.

gruß kf

Share this post


Link to post
Share on other sites

Das Problem konnte hier unter XP Pro SP3 zumindest nicht nachgestellt werden. Der Eintrag wurde aus der Ergebnissliste korrekt entfernt und auch in die Whitelist hinzugefügt.

@kf-forum, welche Windowsversion benutzen Sie?

Share this post


Link to post
Share on other sites

Ich benutze XP Pro SP3! Nach dem Scan markiere ich in der Trefferliste den entsprechenden Eintrag (Kästchen anklicken) und rufe dann per Maus-Rechts-Klick den Befehl "Zu den Ausnahmen hinzufügen" auf. Es passiert aber nichts!

Wie so kann das problem nicht nachgestellt werden, wenn mir Emsisoft noch gestern die obige Antwort per Mail schickt (Problem bekannt - steht auf todo-Liste)?

P.S. Der Hintergrundwächter ist bei mir deaktiviert, aber das ist sicher nicht die Ursache für das "Ausnhamen"- Problem.

MfG kf-forum

Share this post


Link to post
Share on other sites

Bekannt bezieht sich auf das das Problem bereits gemeldet wurde und Todo bedeutet auch das es erst verifiziert werden muss. Hier ist es nicht nachstellbar unter XP Pro SP3.

Wir werden selbstverständlich auch unter W7 und Vista testen. Wurde bei Ihnen EAM 5 komplett neu installiert oder über das Update eingespielt?

Share this post


Link to post
Share on other sites

EAM 5 wurde neu installiert, vorher habe ich 4.5 de-installiert und einen Neustart gemacht. Allerdings habe ich VOR der Installation von EAM5 in das Verzeichnis <c:/Programme/Emsisoft Anti-Malware> den Quarantäne-Ordner der alten 4.5 in dieses Verzeichnis kopiert. Aber mit der Quarantäne-Funktion habe ich auch keine Probleme.

Ach ja - ich arbeite noch innerhalb der Trial-Zeit! Aber es sollen ja ALLE Funktionen ohne Einschränkung funktionieren.

gruß kf

Share this post


Link to post
Share on other sites

Nach dem Update von heute (15.05., 19 Uhr) funktioniert die Ausnahmefunktion einwandfrei!!!

Allerdings noch ein kleiner Hinweis an die Entwickler: In der Ausnahmetabelle sieht man zwar die Bezeichnung des Trojaners etc., für den die Ausnahme gilt, ABER NICHT die Anwendung, die diesen Trojaner etc. mitgebracht hat (also beim Scannen infiziert war). Wenn man so eine Ausnahme später mal aufheben will, weiß doch kein Mensch mehr, welche Anwendung das war. Also diese Angabe gehört unbedingt in die Tabelle. Oder gilt die Ausnahme tatsächlich für den jeweiligen Malware-Typ anstatt für die (infizierte) Anwendung?

gruß kf

Share this post


Link to post
Share on other sites

Wenn Du den Eintrag via Kontextmenü anlegst, dann gilt die Ausnahme für den Malwarefund. Das bedeutet auch alle anderen Dateien mit der selben Diagnose gelten als "whitelisted". Wenn Du ausschließlich bestimmte Dateien zulassen willst, kommst Du um eine manuelle Erstellung der Ausnahme nicht herum.

Wusste jetzt nicht, welchen Satz ich wählen sollte. zuerst ist mir eingefallen: Das ist aber selten dämlich. Der zweite Satz: Diese Funktion war -meines Wissens- nicht immer so und sollte vielleicht noch mal überdacht werden. ;) Gut, erster Satz gestrichen. Trotzdem. Es ist sicherlich gut, wenn man Ausnahmen für eine bestimmte Malware erstellen und trotzdem eine Datei einer Ausnahmeliste hinzufügen kann. Aber dann sollte das Kontextmenü bitte nur die Datei hinzufügen und nicht die Malware. Hatte ich bisher in der Beta leider nie drauf geachtet.

emsi.png

Sieht tatsächlich so aus.. Mhm... Dann war es wohl auch schon in der alten Version so, wahrscheinlich. Ich persönlich halte den umgekehrten Fall für sinnvoller. Das über das Kontextmenü die Datei selbst als Ausnahme hinzugefügt und nicht direkt die Erkennung der Malware gekillt wird. Könnt ihr ja mal drüber nachdenken.

PS: Dein WorkArround hat perfekt funktioniert :-)

Edited by Solution-Design

Share this post


Link to post
Share on other sites

Wenn Du den Eintrag via Kontextmenü anlegst, dann gilt die Ausnahme für den Malwarefund. Das bedeutet auch alle anderen Dateien mit der selben Diagnose gelten als "whitelisted". Wenn Du ausschließlich bestimmte Dateien zulassen willst, kommst Du um eine manuelle Erstellung der Ausnahme nicht herum.

Diese Funktionsweise hat doch überhaupt keinen Sinn! Wer will denn, dass bei zukünftigen Scans sämtliche Dateien mit derselben Malware (die vorher 1x als Whitelist erfasst wurde) nicht mehr als infiziert erkannt werden? Sinnvoll ist nur, wenn das Kontextmenü die jeweilige Datei als Ausnahme zulässt und nicht den Malware-Typ.

Die Zulassung eines Malware-Typ's für ALLE Dateien (die von diesem Typ betroffen sind) könnte höchstens als manuelle Hinzufügung angeboten werden (also genau das Gegenteil zur jetzigen Regelung), wobei ich den Sinn immer noch nicht erkennen kann, eine bestimmte Malware immer zuzulassen. Für einen bestimmte Anwendung (Datei) sieht das anders aus, z.B. erkennt Anti-Malware bei mir die System-Datei eines Verschlüsselungsprogrammes als Trojaner (ist aber keiner), so dass ich das Programm sinnvoller Weise nach dem Scan über das Kontextmenü als Ausnahme definieren möchte.

Gruß kf

Share this post


Link to post
Share on other sites

Das ist ein "gebasteltes" Beispiel, bei dem EINE Anwendung unter 3 verschiedenen Namen läuft. Da macht es natürlich Sinn, DIESE Malware (die ja bei allen 3 Namen die gleiche ist) als Ausnahme zu definieren, wenn man das will.

Im Alltag sieht es doch wohl eher so aus, dass es sich NICHT um EINE Anwendung (Programm) mit 3 verschiedenen Namen handelt, sondern um z.B. (um beim Beispiel zu bleiben) 3 verschiedene Anwendungen / Programme, die alle mit der gleichen Malware infiziert sind. Aber wer will dann DIESE EINE Malware für ALLE 3 Programme zulassen? Wenn z.B. 2 der 3 Programme wirklich infiziert sind und 1 Programm ist eine Falscherkennung, dann will ich doch NUR das Programm mit der Falscherkennung als Ausnahme übernehmen und die beiden anderen Programme z.B. in die Quarantäne packen. DAS geht bei einer Gruppierung der Ergebnisliste nach der gefundenen Malware aber dann nicht über das Kontextmenü sondern man muss die Ausnahme per Hand einfügen.

Mir ist keine andere Anti-Malware-Software bekannt, die die Ergebnisliste des Scan's nach der Malware gruppiert, sondern es werden immer die infizierten Anwendungen aufgelistet und dahinter die entdeckte Malware. Dann kann man für jede Anwendung entscheiden, was man damit machen will.

Entwickler denken ja manchmal etwas "verquer" ... ;-) hier vielleicht auch?

Überdenkt diese Gruppierung der Ergebnisse und die Ausnahmefunktion doch noch mal, ich könnte mir vorstellen, dass meine obige Darstellung mehr die Meinung vieler Anwender deckt!

MfG kf

Share this post


Link to post
Share on other sites

OK, dann bin ich ein Old-School-Men :rolleyes:

Von den Mayer-Players nutze ich NOD32 und da ist mir so eine Gestaltung der Trefferliste (bisher) nicht aufgefallen. Nun gut, stelle ich die Ausnahmen eben per Hand ein.

gruß kf

Share this post


Link to post
Share on other sites

Trotzdem muss ich noch mal intervenieren, auch wenn die Mayor-Player es genauso machen, MUSS es ja nicht sinnvoll sein. Eine "Dummheit" wird nicht dadurch besser, dass sie von vielen wiederholt wird.

Man stelle sich vor, 1 Trojaner befällt auf einem Rechner 2 Programme oder Programmkomponeten. Da die beiden Programme / Komponenten aber keine Trojaner sind, packe ich diesen Trojaner in die Ausnahmeliste. Einen Tag später wird in anderen Programmen der gleiche Trojaner gefunden, diesmal aber nicht als Falschalarm. Da dieser Trojaner der Whitelist hinzugefügt ist, darf er munter weiter werkeln. Sorry, aber ich kann diese Logik der Ergebnisliste nach Art der Malware nicht sinnvoll finden.

Zum Vergleich mal ein Beispiel aus einer anderen Welt - den Autos. Da findet die Werkstatt einen Riss in der Karosserie, weil der aber an keinem tragenden Teil ist, bleibt er als "Ausnahme" einfach bestehen. Würde die Werkstatt jetzt wie die Whitelist von Emsisoft arbeiten, würde sie bei allen weiteren Duchsichten des Autos nach keinen Rissen mehr suchen bzw. gefundene Risse akzeptieren, selbst wenn sie an wichtigen Teilen wie den Bremsen wären.

Nach meiner Logik würde die Werkstatt IMMER nach Rissen suchen und ich kann dann entscheiden, dass mir der Riss in der Karosserie egal ist, aber der Riss in den Bremsen nicht. DAS ist doch sinnvoll!

Haben wir hier einen gemeinsamen "Denkausfall" aller Mayer-Player-Programmierer ... (ist natürlich humorvoll gemeint)?

gruß kf

  • Upvote 1

Share this post


Link to post
Share on other sites

Hallo fabian,

für Humor bin ich immer zu haben! Es geht hier ja nicht um sinnlosen Streit, sondern ich finde, dass meine Argumente und das Beispiel mit dem Auto doch vernünftig sind oder?

Nochmal: wenn ich eine Malware in die Whitelist packe, werden andere Programme, die mit diesem Trojaner infiziert sind, beim Scann ignoriert und können herum werkeln. Den Sinn kann ich einfach nicht erkennen. Sorry.

gruß kf

Share this post


Link to post
Share on other sites

Die Tatsache das die Funktion seit Version 2.0 in exakt der Form vorhanden ist und seit diesem Zeitpunkt sich absolut niemand der rund 5 Millionen hinzugekommenen User beschwert hat, spricht eigentlich für sich.

Nein, tut sie -denke ich- nicht. Da dieses Thema nie so deutlich behandelt wurde, die Ausnahmeregeln nicht so gut konfiguriert werden konnten.

Man stelle sich vor, 1 Trojaner befällt auf einem Rechner 2 Programme oder Programmkomponeten. Da die beiden Programme / Komponenten aber keine Trojaner sind, packe ich diesen Trojaner in die Ausnahmeliste. Einen Tag später wird in anderen Programmen der gleiche Trojaner gefunden, diesmal aber nicht als Falschalarm. Da dieser Trojaner der Whitelist hinzugefügt ist, darf er munter weiter werkeln. Sorry, aber ich kann diese Logik der Ergebnisliste nach Art der Malware nicht sinnvoll finden.

Fabian, könntest du dieses mal beantworten?

Und jetzt die Gretchenfrage, wie bekommt man das Problem gelöst? Denke mit automatischem Aufruf des Ausnahme-Konfigurationsfensters, in welchem man dann auswählen darf, ob nur die Anwendung(en), oder gleich die Erkennung der Malware white-gelistet wird.

Benutze selbst dutzende Tools, welche Anti-Malware als Malware deklariert. In Vorversionen habe ich scheinbar selbst nie wirklich darüber nachgedacht. Aber ich denke, der Wunsch zur Änderung ist angebracht.

Edit: Bei Symantec gibt es kein solchen Kontext-Aufruf. Dort wird manuell das Ausnahmeregelfenster aufgerufen und entweder die Malwareerkennung unter Hinzufügen des Programmes nur für das Programm selbst, oder die NieMehr-Erkennung durch whitelisten der Malware Systemweit eingetragen. Ungefähr so, wie das Ausnahmefenster bei Anti-Malware jetzt schon arbeitet. Nur ist dieses besser konfigurierbar.

Share this post


Link to post
Share on other sites

Generell versteh ich den Aufschrei nicht zumal das Kontextmenue ausschliesslich eine Ausnahmeregel fuer den on-demand Scan anlegt. Wird versucht die Datei zu starten gibts immer noch ne Meldung, was das komplette immer wieder skizzierte Szenario zusammenfallen laesst. Wenn die Datei dort ausgenommen wird, ist die Ausnahme auch an die Datei gebunden, da eindeutig ist welche Datei der User denn genau whitelisten will.

OK, diese Erklärung über das Verhalten ist erstmal positiv entgegen zu nehmen. Es geht auch nicht um einen Aufschrei. Wie ich schon sagte:

Benutze selbst dutzende Tools, welche Anti-Malware als Malware deklariert.

Dabei handelt es sich laut Erkennung um die vielseitigsten Tools. Diese zu whitelisten ist für mich dann selbstverständlich. In der alten Version habe ich dieses dann auch getan und beim Aufruf kam keine erneute Meldung (soweit ich mich erinnere). Wenn das nun allerdings doch passiert, ist die Welt fast in Ordnung. Trotzdem halte ich es für fortschrittlich, dass auch beim OnDemand-Scan bei Hinzufügen über das Kontextmenü die Ausnahmeliste erscheint, in welcher der Nutzer selbst entscheiden kann, ob die Malware-Erkennung in eine Whitelist aufgenommen, oder nur das Programm aus der Erkennung herausgenommen wird. Das wäre sauber. Immerhin erkennt Ikarus manche Riskware auch mal gerne als Trojaner.

Share this post


Link to post
Share on other sites

(A)Generell versteh ich den Aufschrei nicht zumal das Kontextmenue ausschliesslich eine Ausnahmeregel fuer den on-demand Scan anlegt. Wird versucht die Datei zu starten gibts immer noch ne Meldung, was das komplette immer wieder skizzierte Szenario zusammenfallen laesst.

(B) Wenn die Datei dort ausgenommen wird, ist die Ausnahme auch an die Datei gebunden, da eindeutig ist welche Datei der User denn genau whitelisten will.

zu (A)

Das muss einem ja mal gesagt werden. Wenn ich es richtig verstehe, kann ich also eine Malware in die Whitelist packen und beim Start des Programmes (in dem diese Malware erkannt wurde) erscheint trotz Whitelist ein Hinweisfenster, dass noch einmal auf die enthaltene (in die Whitelist aufgenommene) Malware hinweist. Und ich kann dann entscheiden, ob ich das Programm endgültig starten will oder blockieren. Ist das so? OK, DANN wäre das eine akzeptable Lösung, die die Sicherheit nicht gefährdet.

zu (B)

Geht es bei (B) um einen Eintrag von Malware in die Whitelist oder die manuelle Ausnahme einer Datei? Ich hab den Text nicht ganz verstanden.

P.S. Es geht nicht um AUFSCHREI, wir diskutieren nur Nutzerfreundlichkeit und das doch besser hier im Forum.

gruß kf

Share this post


Link to post
Share on other sites

... Und jetzt die Gretchenfrage, wie bekommt man das Problem gelöst? Denke mit automatischem Aufruf des Ausnahme-Konfigurationsfensters, in welchem man dann auswählen darf, ob nur die Anwendung(en), oder gleich die Erkennung der Malware white-gelistet wird.

Genau, das finde ich auch den richtigen Weg.

Share this post


Link to post
Share on other sites

Hallo,

wenn ich hier mal anknüpfen darf, ich habe einen Ordner mit ziemlich vielen Demos aus Demoscene.

Beim Detail Scan treten aufgrund von UPX usw. relativ oft Fehlalarme auf.

Wenn ich diese nicht nur melden, sondern auch auch whitelisten möchte, tritt nach ca. dem dritten bis sechsten mal "-> Rechtsklick -> Zu den Ausnahmen hinzufügen" ein Freeze der a2start.exe auf.

Dabei sinkt der private Arbeitssatz schlagartig auf 360k und der Arbeitssatz auf 472k. Wenn ich versuche, das Fenster nochmals in den Vordergrund zu bringen, bietet 7 x64 (DEP aktiviert) nur mehr "Prozess beenden" und "auf Antwort warten" an. Es passiert allerdings nix mehr, auch wenn man den Prozess mehr als eine Viertelstunde weiterlaufen lässt, er hat auch kenen CPU-Zeit Verbrauch mehr.

Das Problem trat schon bei der Free Version 4.5 auf und ist bei mir reproduzierbar...

Share this post


Link to post
Share on other sites

Ich habe gerade mal einen Detailscann laufen lassen,

es fanden sich nur FP's. Habe dann 2 davon auf "ausnahme" stellen wollen, aber nun hängt Antimalware leider... das Fenster lässt sich schließen, Anti Malware läuft normal weiter. Denke das gehört mit zum Topic!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.