Avira zerstört Steganos Software

Hallo,

"zerstört" habe ich bewusst gewählt, weil eine Rekonstruktion aus der Quarantäne nicht funktioniert. Was ich heute mit Avira Antivirus erlebt habe, verschlägt mir den Atem.

EDIT: Mittlerweile habe ich eine Antwort erhalten. Da es mir aber nicht gelingt, diese zu kommentieren (es gibt nirgendwo ein Sende-Button beim Kommentarfeld), füge ich meinen Kommentar zur Antwort jetzt hier ganz unten ein!

Aber zunächst die Ausgangslage:

- Windows 7

- Avira Antivirus 15.0.2101.2070 registriert und lizensiert bis 10.1.2023

- Steganos Privacy Suite 19, registriert

- Steganos Security Suite 5, registriert

Alles lauffähig und gepflegt. Die alte SSS5 nutze ich noch wegen des praktischen, kleinen Passwortmanagers.

So, und nun gestern Abend SystemKOMPLETTscan gestartet, der dauert bei mir fast 24 Stunden, deshalb mach ich den nur sehr selten. Like Filewalker meldet heute:

5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
8717627 Dateien ohne Befall
195441 Archive wurden durchsucht
1 Warnungen
4 Hinweise
2159 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Soweit, so gut. Die 4 verschobenen Dateien waren 3xHEUR/APC und 1xOpenCandy, ok. Aber was ist mit der fünften? Kein Hinweis! Lukes Fenster geschlossen, und dann kam der Knaller: Knapp 1000 Dateien in der Quarantäne! Praktisch das komplette Steganos PS19-Verzeichnis - aber glaubt mal nicht, dass sich das jetzt so einfach managen ließe. Das Fenster mit den Quarantäne-Einträgen ist klein und lässt sich nicht maximieren! Die Spalte mit den Dateinamen ist zu schmal und lässt sich nicht erweitern! Es werden maximal 10 Dateien mit verkrüppeltem Namen pro Seite angezeigt. Der vollständige Name wird erst sichtbar, wenn man die Maus drauf ruhen lässt. Macht das mal bei knapp 1000 Dateien!

So, und spätestens jetzt wird mir der Support schreiben, dass ich doch bitte das Steganos-Verzeichnis in die Ausnahmen eintragen solle. DA STEHT ES ABER BEREITS, denn ich bin vor einem Jahr schon einmal auf die ... gefallen mit Avira und Steganos. Ok, also ein Blick in die Log-Datei von Avira. Wo, bitte schön, finde ich die denn wieder, nachdem ich sie einmal geschlossen habe? In den "Einstellungen" kann ich sie sehr schön konfigurieren, aber das ganze Avira-Programm bietet keine Möglichkeit, sie anzuzeigen. Ein Schelm, wer dabei etwas Schlechtes denkt. Erst im Forum habe ich einen Hinweis vom Support gefunden: c:\ProgramData\Avira\Antivirus\LOGFILES\

So, und was sagt das Log? Das hier:
Das Verzeichnis 'C:\Program Files (x86)\Steganos Privacy Suite 19\' wurde von der Suche ausgenommen!
Avira, jetzt ihr, bitte!

Und offensichtlich war nicht nur die Steganos PS19 abgeräumt worden. Auch mein Passwordsafe aus der Steganos SS5 verweigerte den Dienst und fragte nach der Lizenz. Die unter anderem genau da drin gesichert ist (zum Glück nicht nur da).

Zunächst wollte Avira aber einen Systemneustart durchführen, was kaum aufzuhalten ist. Danach war das Steganos PS19 Installationsverzeichnis komplett weg (vorher waren noch ein paar wenige Dateien drin, die wohl gerade gesperrt waren). Ratzeputz kommentarlos einfach alles weg und NICHTS davon steht im Log!

Also die letzte Partitionssicherung herausgekramt, als Laufwerk gemountet und den Steganos PS19 Ordner wieder zurück kopiert. Anschließend musste der Lizenzschlüssel neu eingegeben werden, und mit dem vom Steganos SS5 konnte auch der alte Safe neu aufgesetzt und mit Tricks rekonstruiert werden. Puhhh...

Hier meine Fragen an Avira:

- Warum wird die komplette Steganos PS19 mit ihren über 900 Dateien als Bedrohung eingestuft?

- Warum funktioniert die Ausnahmeregel bei Steganos PS19 nicht?

- Warum erscheint die Verschiebung in Quarantäne nicht im Log?

- Warum funktioniert die Wiederherstellung aus der Quarantäne nicht?

- Warum kann man die Logs nicht mehr einsehen, ohne den Support zu fragen?

- Warum sind auch die beiden Steganos Lizenzen gelöscht?

Antivir mit Luke Filewalker war mal richtig gut. Das sieht man auch noch, wenn die alten Programmteile sichtbar werden. Die ganze neue Avira Oberfläche da drüber ist nicht nur überflüssig sondern regelrecht eine Behinderung, wie man beim Arbeiten mit dem Quarantäne-Management sofort feststellen muss. Das waren andere Programmierer, vermute ich. 

Avira, wir haben einen Vertrag. Ich zahle, und ihr liefert. Jetzt bitte qualifizierte Antworten auf jede der Fragen!

Michael Born 

Mein Kommentar zur Antwort von Felix:

Hallo Felix,

schön, dass ich zwar nach zwei Wochen dann doch noch eine ernsthafte, engagierte und detaillierte Antwort bekommen habe. Ich hatte schon das Schlimmste befürchtet. Unkommentiert stehen lassen kann ich sie jedoch nicht.
Zur Auflistung der Ausgangslage:

Windows 7: Ich war soeben mit dem betroffenen PC auf der Avira-Seite "https://www.avira.com/de/internet-security" und bekomme dort unter "Systemanforderungen" angezeigt: "Ihr System ist kompatibel". Den Screenshot mit dem grünen Häkchen spare ich mir jetzt hier, ansonsten kein Kommentar meinerseits mehr dazu.

Steganos PS19 und SS15:  Seit wann entscheidet das Alter einer Software darüber, ob sie sich böswillig verhält oder nicht? Weiterhin hätte der Einsatz von Avira dann unabsehbare Konsequenzen auf den Betrieb aller Software, die ich auf meinem System betreibe.

Von daher betrachte ich die Beurteilung meiner Ausgangslage als hilfloses, subtiles und unhaltbares Ablenkmanöver. Wenn die Avira-Software tatsächlich von dieser Ausgangslage in die Irre geleitet werden kann, dann ist es beim Hersteller, darauf hinzuweisen.

Zu den Fragen:

(1) "Weil diese Programmeigenschaften auffindet..."
Klar, mit Fehlalarmen muss man rechnen. Akzeptiert. Aber genau deswegen hatte ich sie als Ausnahme definiert. Das ist die Funktion der Ausnahme, zumindest wird sie so beschrieben.

(2) "Die Ausnahmeregel funktioniert nur garantiert bei aktuellen Programmen, dessen Kompatibilität wir garantieren können."
Das ist unrealistisch, denn Avira kann keinesfalls die Kompatibilität aller von den Benutzern installierten Software garantieren. Wenn es Kriterien gibt, bei denen Avira glaubt, sich über die vom Benutzer gezielt definierten Ausnahmeregeln wegsetzen zu müssen (und dies auch noch kommentarlos tut), muss das vorher, spätestens bei der Eingabe einer Ausnahmeregel, ganz klar angekündigt werden. Wird es das? 
Und: Tatsächlich greift der Avira-Echtzeitschutz während der Benutzung meiner Steganos-Software gerade nicht ein, was diese Antwort noch schwerer akzeptabel macht.

(3) "Die Verschiebung müsste eigentlich auf jeden Fall angezeigt werden."
Wird sie aber nicht. Siehe die Ergebniszusammenfassung des Logs in meiner Nachricht oben. Nachmals: Da steht: " 4 Dateien wurden in die Quarantäne verschoben" . Es ist das richtige Log: 

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Prüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\Antivirus\sysscan.avp
Protokollierung.......................: erweitert
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:, W:, Y:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: c:\program files (x86)\steganos privacy suite 19\, d:\program files (x86)\paragon software\,

Beginn des Suchlaufs: Donnerstag, 18. Februar 2021 19:19

Das Log "AVSCAN-20210218-191937-F8BF11EA.LOG" ist 27 MB groß, es steht alles bis ins Kleinste da drin, super gemacht, keine Frage. Aber nicht die Verschiebung von knapp 1000 Dateien in die Quarantäne. Also muss man wohl noch von Hand nach weiteren Logs suchen, oder? Tatsächlich finde ich für die Zeit des Scans und danach 10 weitere, kleinere Logdateien, wobei zu bedenken ist, dass Update-Logs dabei sind und dass nach dem Ende des Komplettscans ein Neustart erzwungen und erneut gescannt wurde. In diesem ganzen Wust habe ich volltext nach "Quarantäne" und "quarantine" gesucht. Nichts über die Steganos-Aktion! Stattdessen genug Gründe für weitere Fragen, die hier aber nichts zu suchen haben.

(4) "Wenn bestimmte Dateien aus einem ganzen Programm, welches in der Quarantäne war, gelöscht werden..."
Es gibt bei mir auf dem Desktop keinen Ordner "RESTORED". 

(5) "Die Logfiles kann man jederzeit ohne den Support fragen zu müssen aufrufen."
Nein. Nicht "man" sondern nur Experten. Den Speicherort habe ich erst hier bei einer anderen Support-Anfrage gefunden, auch da hat sich der Benutzer gewundert, warum es auf der Programmoberfläche keine Möglichkeit mehr gibt, die Logs nochmals aufzurufen. Es wird seine Gründe dafür geben.

 (6) "Das kann ich dir leider nicht sagen, da ich mich mit der Steganos Software selber nicht gut genug auskenne."
Ja, falls Steganos Key-Dateien verwendet, sind diese mit in die Quarantäne versenkt worden. Aber warum? Sie sind absolut ungefährlich. Das führt nochmals zu der Frage, warum das komplette Steganos-Verzeichnis entfernt wurde und nicht nur von der Heuristik irrtümlich als gefährlich identifizierte Dateien. 

Und zum letzten Abschnitt: Allgemein gebe ich Dir Recht, aber zur Pflege des aktuellsten Stands gehört weder der Wechsel weg von einem Betriebssystem, das in den Avira-Systemvoraussetzungen selbst als passend beschrieben wird, noch die ständige Neubeschaffung von gut funktionierender Software, deren neue Versionen meist nur die Oberfläche verändert haben und nachher manchmal schlechter funktionieren als vorher.

Es ist definitiv nicht meine "Pflicht", wie Du es nennst, nach dem Erwerb von Avira ständig die neuesten Versionen der übrigen von mir benutzten Software zu kaufen! 

Michael Born