Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Windows-Sicherheit wirklich empfehlenswert?

J

John22

gehört zum Inventar
Jemand hat sich ein neues Notebook (Windows 10 Version 1809) gekauft und ich hatte empfohlen nicht einen zusätzlichen Virenscanner wie vorher Avira zu installieren, sondern obiges eigene Windows-Programm zu nutzen, das früher ja Windows Defender hieß. Gleich beim ersten Test kam die Windows-Sicherheit ins schleudern wegen "mailpv.exe" von Nirsoft:

https://www.nirsoft.net/utils/mailpv.html

Es wird in dem Programm ein angeblicher Virus erkannt, den Avira am alten Notebook aber nicht gemeldet hat. Bei Virustotal sehen die Mehrzahl der Virusprogramme keinen Virus in der Datei.

Das Problem ist das bei ihm die Virusprüfung in einer Dauerschleife läuft und das auch noch nach einem Windows-Neustart. Nach einem Test bei mir steht in der Windows-Sicherheit "HackTool:Win32/Mailpassview" und in Klammern "Unter Quarantäne". Das Symbol rechts in der Taskleiste hat bei mir einen grünen Haken.

Bei ihm steht auch "HackTool:Win32/Mailpassview" aber zusätzlich "Aktiv" und es laufen darunter immer fünf blaue Punkte durch. Das Symbol rechts in der Taskleiste hat bei ihm einen roten Punkt. Das ist natürlich schlecht für sein Gefühl das Windows-Sicherheit laut mir besser sein soll als Avira.

Die Frage ist wie bekommt man das Problem gelöst weil auch ein Neustart nicht geholfen hatte. Die Datei wurde übrigens von einem USB-Stick gestartet. Ich habe den Stick zwar anschliessend abgezogen, aber das half nicht.

Während bei mir die genannte Datei in den Ordner
c:\ProgramData\Microsoft\Windows Defender\Quarantine\
verschoben wurde, ist bei ihm dort nichts vorhanden.
 
Anzeige
Na wenn ihr da nicht mit dem Feuer gespielt habt.

Ich würde jetzt den EEK von hier laden: https://www.emsisoft.com/de/home/emergencykit/
Diesen durchlaufen lassen. Wenn der EEK nichts findet, ist alles in Butter, wenn ja, räumt er auf.

Anschließend einen Neustart. Windows Update durchlaufen lassen und den Windows Virenscanner komplett scannen lassen.

Ansonsten reicht der Windowsscanner völlig aus. Er ist wie alle Virenscanner ein Schlangenöl. So richtig schützen kann kein Virenscanner! Es werden sekündlich hunderte neue Schadprogramme verbreitet, wovon nur ein Bruchteil erkannt wird. Meist erst viele Tage nach der ersten Entdeckung.
Bei dem Windows Virenscanner hat man softwaretechnisch am wenigsten mit Problemen zurechnen. Das ist der eigentliche Vorteil.
 
Im letzten (ich glaube von Dr. Windows verlinkten) Vergleichstest, den ich gelesen habe, hatte es für den Windows-Defender nur deshalb Punktabzug gegeben, weil er etwas mehr zu Fehlalarmen neigt.
NirSoft selbst warnt ja auf der Downloadseite vor Fehlalarmen. Wenn das schon angekündigt ist, kann Dein Freund so vorgehen:

Einstellungen >> Update&Sicherheit >> Windows-Sicherheit >> "Windows Defender Security Center öffnen"
kleine Schaltfläche mit dem Schild links "Viren- & Bedrohungsschutz" >> Einstellungen für Viren- & Bedrohungsschutz
Oberster Punkt "Echtzeitschutz" auf "Aus" - muss später natürlich wieder eingeschaltet werden.

Jetzt die Zeit nutzen für Download und ggf. Installation.

Danach ebenfalls in den Einstellungen für Viren- & Bedrohungsschutz weiter unten unter "Ausschlüsse":
Ausschlüsse hinzufügen oder entfernen
Ordner mit den installierten oder entpackten Programmdateien auswählen, siehe Screenshot.


Ordner von Defender-Überprüfung ausschließen.png


Jetzt kann der Echtzeitschutz (Wächterfunktion) wieder eingeschaltet werden.
Jedenfalls bis das verdächtige Programm ausgeführt wird ...
So oft wird die Passwortextraktion ja wohl nicht gebraucht. Notfalls also vor solchen Aktionen den Defender nochmal temporär abschalten.
 
John22.

Lösche mal den Ordner bzw. die Anwendung. Meldung sollte dann weg sein.
 
Ich habe auch schon Fehlermeldungen zu NirSoft-Tools erhalten. Sowohl einige dieser Tools, als auch einige von Sysinternal haben Code, der einem Virencode sehr ähnlich ist.
Ich habe beide Ordner in die "Ausschlüsse" aufgenommen, da ich nicht auf die Tools verzichten wollte, und habe nun Ruhe.
 
Das Probleme ist das der Ordner nicht mehr da ist, weil er auf einem USB-Stick war, den ich natürlich jetzt bei mir zuhause habe. Wird der Virenscanner solange suchen bis ich wieder hinkomme und das Teil anschliesse? Ich finde überhaupt keine Einstellungen wo ich Ordner ausschliessen kann. Alles hat sich von der Umstellung vom Windows Defender auf Windows-Sicherheit verändert.
 
Big Eddie C. schrieb:
Jetzt die Zeit nutzen für Download und ggf. Installation.

Danach ebenfalls in den Einstellungen für Viren- & Bedrohungsschutz weiter unten unter "Ausschlüsse":
Ausschlüsse hinzufügen oder entfernen
Ordner mit den installierten oder entpackten Programmdateien auswählen, siehe Screenshot.

...

Jetzt kann der Echtzeitschutz (Wächterfunktion) wieder eingeschaltet werden.
Jedenfalls bis das verdächtige Programm ausgeführt wird ...
So oft wird die Passwortextraktion ja wohl nicht gebraucht. Notfalls also vor solchen Aktionen den Defender nochmal temporär abschalten.
Zum Vergrößern anklicken....

Das genannte Programm soll garnicht installiert werden. Es war nur als Test gedacht. Genutzt wurde es nur auf dem alten Notebook um das vergessene Mailkonto-Passwort zu finden. Da hatte Avira nicht gemeckert.

Ich werde den beschriebenen Ablauf aber mal machen, auch wenn es in Version 1809 den Windows Defender Security Center nicht mehr gibt, aber die Ausschlüsse-Einstellungen habe ich gefunden.
 
Ich habe den WSCC Windows System Control Center da ist die ganze Software von Nirsoft, Systernals unvm. auf dem USB Stick als auch auf meinem PC drauf, lässt sich einfach einfacher und besser Aktualisieren, selbstverständlich sind das Hackingtools und die sollte in der Regel auch jedes Antiviren Programm auch finden bzw. auch Alarm schlagen, vereinfacht aber meine Arbeit als Administrator auf der Arbeit um einiges wenn Chef nicht da ist und ich irgendwelche Passwörter benötige um irgend ein Mailkonto neu einzurichten.

Selbstverständlich muss ich vor dem Ausführen von zb. Mail PassView vorher eine Ausnahmegenehmigung im Windows Defender erstellen damit es keinen Fehlalarm gibt zb. P:\Apps\WSCC, du kannst also eine Ausnahme erstellen oder im Windows Defender auf Windows-Sicherheit im Schutzverlauf wenn du es vergessen hast den Alarm wieder deaktivieren.

schutzverlauf 2019-05-15 223906.jpg

Falls an dieser stelle etwas gefunden wurde was bei mir nicht der Fall ist kannst du es dort deaktivieren.
 
John22 schrieb:
Das genannte Programm soll garnicht installiert werden. Es war nur als Test gedacht. Genutzt wurde es nur auf dem alten Notebook um das vergessene Mailkonto-Passwort zu finden. Da hatte Avira nicht gemeckert.
Zum Vergrößern anklicken....
Das kann man natürlich auch wie folgt sehen: Avira ist nicht wirklich in der Lage, einen PC zu schützen.

Wenn Programme wie mailpv.exe in meiner Registry nach Daten suchen, möchte ich das schon wissen. Es kann ja auch mal sehr gut sein, daß so ein Programm nicht von mir selbst gestartet wurde ...

Oft sind solche Zugaben auch in Downloads von manchen sehr populären Webseiten mit dabei. Da ist es schon gut, wenn der Defender da Alarm schlägt.
 
Avira ist nicht wirklich in der Lage, einen PC zu schützen.
Zum Vergrößern anklicken....

Soweit würde ich nun nicht gehen, das Avira nicht dazu in der Lage ist einen PC zu schützen, viele Leute setzen auf Avira und bezahlen auch noch Geld dafür.
In der Regel reicht aber auch schon unter Windows 10 der Windows Defender wobei mir da für einen Richtigen Virenschutz noch diverse Einstellungen einfach fehlen und auch die Einfachen Einstellungen wie Ausnahmen sind mir zu sehr versteckt und in fast jeder Windows 10 Version wieder wo anders untergebracht.
Wodurch es für den Normalen User fast unmöglich wird die Einstellungen überhaupt zu finden zudem fehlt mir einfach eine Einstellung für Potenziell unerwünschte Programme, Candy Crush würde da bei mir als erstes drunter fallen.

Im Übrigen geben sich aber die ganzen Antiviren Programme nicht besonders viel und auch der Windows Defender ist nicht unfehlbar zumal das Programm relativ einfach auch als Gast deaktivierbar ist.

Es gibt schon noch andere Antivirus Programme die nicht nur auf gestartet Programme von Nirsoft und Systernals reagieren, ich finde das auch sehr wichtig das diese Bedrohung gefunden wird weil dieses Programm könnte ja auch nicht nur ich in der Firma einsetzen sondern auch andere Mitarbeiter und andere Personen die nichts mit der Firma zu tun haben.
 
John22 schrieb:
...
Ich werde den beschriebenen Ablauf aber mal machen, auch wenn es in Version 1809 den Windows Defender Security Center nicht mehr gibt, aber die Ausschlüsse-Einstellungen habe ich gefunden.
Zum Vergrößern anklicken....
@John22, und was ist das?
Defender_imSystray.jpg
Meine Windows-Version ist 1809 (Build 17763.503), und da gibt es das Sicherheitscenter in Systray noch.
 
Das Symbol ist auch bei mir vorhanden. Aber seit 1809 ist der Begriff doch verschwunden und wurde durch Windows-Sicherheit ersetzt.
In den ganzen Einstellungen zu Windows-Sicherheit finde ich nicht mehr das Wort Defender. Nur wenn ich in der Windows-Suche nach Defender suche finde ich zwei Suchergebnisse:
- Windows Defender-Einstellungen > Windows-Sicherheit
- Windows Defender Firewall > da lande ich wirklich dort in der alten Systemsteuerung

Hier übrigens das vor kurzem gemachte Scannen der ganz oben genannten Datei in Virustotal:

https://www.virustotal.com/gui/file...eba5e62da661d8dbae7c99205a2e74d24ba/detection
 
John, stößt du dich jetzt daran, dass die Begriffe geändert wurden?
Wenn du "Windows Sicherheit" (früher Sicherheitscenter) über den Systray öffnest, hast du doch alle Einstellungen, die du für die Sicherheit deines Systems benötigst. Da brauchst du nicht die Suche zu bemühen.
Über "Viren- & Bedrohungsschutz" kommst du zum Beispiel auch in die Einstellungen vom Defender.
 
Na wenn ihr da nicht mit dem Feuer gespielt habt.

Ich würde jetzt den EEK von hier laden: https://www.emsisoft.com/de/home/emergencykit/
Diesen durchlaufen lassen. Wenn der EEK nichts findet, ist alles in Butter, wenn ja, räumt er auf.
Zum Vergrößern anklicken....
Muss man nicht wirklich kommentieren, oder?
About NirSoft Freeware
Lesen hilft, war schon immer bekannt.

Und dass ein Antivirus bei einem "mail pass view" anspringen sollte, leuchtet auch irgendwo ein.

Und die übliche Leier zu VT - Webseite zumachen, wenn es noch mehr irritiert. VT bietet ja nicht nur die Erkennungen an, sondern weitere Infos. Will man die nicht lesen, zu machen!

Warum man bei einer Meldung wie hier zweifeln kann, spricht doch für Windows defender, nicht dagegen. Lieber einmal mehr melden als gar nicht wie bei den üblichen Krücken, wo man wie erwähnt auch noch rigoros betuppt wird, weil kostet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben