Avira meldet plötzlich "Viren"befall ?!

Internet Internet Sicherheit
#1

Hallo!

WIN 8.0

Ich war ein DAU und habe zum Download eines Hotfixes einer Game-Mod (vertrauenswürdig) nicht den zu klein angezeigten Link dieses Downloads angeklickt, sondern den viel zu gross angezeigten Download-Button für Nervprogramme (Toolbars und ähnliche "Mal"ware).

Als mir dies nach 3 Minuten auffiel, habe ich natürlich nach der Deinstallation dieser "Mal"Software einen adware-cleaner und auch alles an Sicherheitssoftware (stets aktuell) über die Platte laufen lassen, was an Bord ist. (Virenscanner,Spybot,Malwarebytes). Auch die Registry wurde mehrfach durchgecheckt.

Anschliessend habe ich, nachdem nix weiter beanstandet wurde, den freien Festplattenspeicher überschreiben lassen. Hierbei wurde auch die MFT gereinigt. Gerade als der Slackspace (hier können sich Fragmente gelöschter Dateien befinden) überschrieben werden sollte, bekam ich vom Avira AntiVir 3 Meldungen über Viren/Bösartige Programme, die auf Dateien zugreifen würden.

Diese wurden in Quarantäne geschickt.

Ich war zu diesem Zeitpunkt nicht im www. Mich wundert hierbei, dass diese Meldung nicht früher kam und auch späterhin nichts mehr gefunden wurde. Kann es sein, dass sich Avira an dem Überschreiben des Slackspace störte bzw. zu übervorsichtig war?

Gruß
vdmaster

#2

Hallo!
Ich machs kurz, AVIRA hat manchmal eine lange Leitung. Vor ein paar Tagen was Ähnliches mit einer e- Mail erlebt. Allen Mist gelöscht. Am Nachmittag einen Virenscan laufen lassen, Fund null.In der Nacht automatischer Scan, am Morgen steht da, Datei xxxx
in die Quarantäne verschoben, die hatte ich aber deffinitiv schon gelöscht, AVIRA hat anscheinend Reste gefunden.
MfG
airblue21

#3

Hallo,
wozu den Slackspace überschreiben? Windows wird aus diesem Clusterbereich nie eine Datei laden, es weiß ja, dass sich dort nur unbrauchbare Fragmente befinden können. Der Slackspace ist ja nichts anderes als der unbenutzte Speicherraum eines nicht voll gefüllten Clusters. Hier befinden sich nahezu immer Fragmente gelöschter Dateien (und natürlich auch zuvor gelöschter Malware).
Bei einer forensichen Untesuchung kann der Inhalt des Slackspace Hinweise auf zuvor installierte Daten geben. Ob Avira derartige Untersuchungen ausführt, weiß ich allerdings nicht. Die Meldung des Virenscanners sollte eigentlich darüber Auskunft geben. Andernfalls trägt diese Feature ja nur zur Verunsicherung bei.

LG Culles

#4

Hallo airblue21,

Ich machs kurz, AVIRA hat manchmal eine lange Leitung. Vor ein
paar Tagen was Ähnliches mit einer e- Mail erlebt. Allen Mist
gelöscht. Am Nachmittag einen Virenscan laufen lassen, Fund
null.In der Nacht automatischer Scan, am Morgen steht da,
Datei xxxx
in die Quarantäne verschoben, die hatte ich aber deffinitiv
schon gelöscht, AVIRA hat anscheinend Reste gefunden.

Das kann auch daran liegen, dass neue Viren erst erkannt werden, wenn die Analyse abgeschlossen und das Update ausgeliefert worden ist. Dies dauert meist um einen Tag, zwischen der Erstmeldung an Avira und dem Update der Virensignatur.

Möglicherweise erkannte Avira beim ersten Scan noch nicht alle Signaturen.
Zwischen Nachmittag und Nacht gab es bestimmt ein Update. :smile:

MfG Peter(TOO)

#5

Hallo!

Dass WIN aus diesem Bereich nix einlesen würde, war mir nicht bekannt. Es ist eben ein von der SW gesetzter Standard. Der Begriff slackspace ist mir da auch das erste Mal über den Weg gelaufen.

Gruß
vdmaster

#6

Hallo!

Um die Antwort von Peter(TOO) einzubeziehen: War Dein PC/NB zwischen Löschung und nächtlicher Analyse mit dem Internet verbunden? Denn nur so hätte AVIRA ja auch ein Update installieren können. Wobei diese Wahrscheinlichkeit (naagelneuer Virus) gemessen an der Vielzahl von Viren ohnehin sehr, sehr niedrig ist.

Gruß
vdmaster

#7

Hallo!
Ja, das gab es, habe nicht daran gedacht.
Gruß
airblue21