brightbits Support

Hallo Alex

Kannst du dich erinnern, dass wir anfangs Jahr mal das Problem hatten, dass die damals von dir eingesetzte Version des Zippers tmp-Dateien produzierte, welche von Avira als wurmstichig fehlbeurteilt wurden?

Jetzt hab ich eine ähnliche Situation mit den eigentlichen ZIP-Dateien, die Verknüpfungen auf andere Dateien enthalten. Ich weiss nicht genau, wie gross das Problem ist. Als ich heute versehentlich mal den Systemscanner auch über den Backupdisk sausen liess, bekam ich aber etwas über 300 Warnungen. Immer hiess es "Virus oder unerwünschtes Programm", an anderer Stelle auch etwas präziser, aber doch auch falsch "Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENTEXT/Worm.Gen)". Denn es wurde ja nur auf PDFs, JPGS, DOCs usw verlinkt.

Im Alltagseinsatz (also Guard, nicht Scanner) erhielt ich in den letzten Wochen und Monaten vielleicht so alle 1-2 Tage mal eine Warnung. Die hab ich dann aber bewusst ignoriert (um die Integrität des Backups nicht zu gefährden), eine Kopie jeweils in die Quarantäne geschickt und mit der aviraeigenen Funktion zum expliziten Test beim Avira hochgeladen, jeweils mit dem Vermerk "Verdacht auf Fehlalarm". Ich bekam immer eine Entwarnung, sei alles clean. Ich hatte gehofft, Avira würde irgendwann mal den Fehler im System erkenne und ihre Erkennungsroutinen anpassen, aber bisher ist nichts passiert.

Vielleicht möchtest du mal Avira darauf ansprechen? Oder den Hersteller deines Zippers? Ich weiss nicht, wer das Problem verursacht.

Hallo Cygnus2112,

ja, ich kann mich noch daran erinnern.
So ganz kann ich mir nicht erklären, warum es plötzlich auftritt, da ich dort seit deinem Problem Anfang des Jahres nichts mehr geändert habe.

Als kurzfristige mögliche Lösung habe ich die Zip Bibliothek erneut auf die aktuellste Version aktualisiert. Die Version steht im Betaforum bereit und enthält nur diese Änderung.

Ja, das half damals, damit es keine false positives mehr gab. Vielen Dank wiederum für die schnelle Beta; ich hab sie installiert und werde mal beobachten.

Übrigens: So plötzlich kam es dieses Mal nicht. Gelegentliche Warnungen bekam ich ja schon seit längerem. Wohl seit ich in Avira irgendwann mal diese "verschleierte-Dateiendungen"-Funktion eingeschaltet hatte. (Bin nicht mehr sicher; ist schon länger her.) Aber die sollte ja normalerweise keine Probleme verursachen. Wenn ich z.B. manuell für eine beliebige PDF-, JPG- oder DOC-Datei eine Verknüpfung erstelle und diese zippe, dann ist die resultierende ZIP-Datei für Avira unverdächtig. Nur bei gewissen des Backups schlägt es Alarm.

Na, egal, ich beobachte jetzt mal und melde mich gegebenenfalls nochmals. Wenn du nichts mehr darüber liest, dann ist alles ok.

Danke dir!

Das wäre ja zu schön gewesen. Leider tritt der Problem der gelegentlichen Avira-Warnungen auf ZIP-Files immer noch auf. Gerade eben wieder.

Eigentlich müssten ja Avira und der Hersteller des Zippers untereinander ausmachen, wo das Problem liegt. Was sollen wir tun? Ich könnte mir vorstellen, dass du als Softwareentwickler in der Mitte einiges Gewicht hast: Der Zipperlieferant müsste eigentlich an dir interessiert sein (ausser du verwendest freeware bzw. oss). Wenn sie das Problem nicht bei sich ausmachen können, müssten sie darum auch daran interessiert sein, dass dein Produkt mit ihrer Komponente nicht von Avira behindert wird.

Die Komponente ist Open Source, weshalb es wohl unwahrscheinlich ist, dass die Community sich darum kümmert.

Ich denke, dass es auch nicht direkt an der Komponente liegt, sondern eher an der Dateierweiterung. BSH hängt lediglich .zip an die Dateien an und komprimiert diese.

Ob ich die Woche noch dazu komme, Avira darüber zu informieren, weiß ich noch nicht. Bis dahin kann ich gerade keine Lösung bereitstellen, da ich darauf leider keinen Einfluss habe. Ich melde mich wieder, wenn ich die Anfrage an Avira gestellt habe.

Das ist völlig ok. Es eilt nicht. Ich kann im Moment damit leben. Nimm dir die Zeit, die du brauchst.

Ich habe im Avira-Forum einen entsprechenden Post veröffentlicht. Ggf. bekomme ich dann eine genauere Kontaktmöglichkeit.

Link: http://forum.avira.com/wbb/index.php?pa ... dID=139883

Danke für das Update.

Vielleicht nochmal als mögliche Übergangslösung. Nimm einfach die Verknüpfungen aus der Komprimierung heraus. Tritt es eigentlich auch bei anderen Dateien auf?

Nein, es sind ausschliesslich .lnk-Dateien betroffen.
Ah, gute Idee, danke. War mir gar nicht bewusst, dass man Dateien zwar im Backup lassen, aber von der Kompression ausschliessen kann. Sinnvoll.
Alternativ könnte ich auch das unwichtige Recent-Verzeichnis vom Backup ausschliessen, denn offenbar sind es immer nur jene .lnk-Dateien, die betroffen sind. Die werden aber kaum ein anderes Format haben als manuell erstelle Verknüpfungen, oder etwas doch? Das könnte einen Hinweis auf die Ursache geben.

Hallo,

Avira hat gerade geantwortet und konnte das Problem nicht nachstellen:

wir können den Fehlalarm weder im Support noch im Virenlabor reproduzieren.
Können wir bitte die entsprechende QUA Datei haben falls dieser Fehlalarm weiterhin aktiv sein sollte?

Kannst du mir die Datei per Mail schicken? Was auch immer das für eine Datei ist!?!?

Hallo Alex

Ich hab dir soeben zwei Bsp-Dateien aus der Avira-Quarantäne gemailt.

In der Vergangenheit hatte ich die beschuldigten Dateien jeweils noch upgeloadet ins Avira "Virenlabor" für eine eingehende Prüfung. Kam immer zurück mit dem Urteil CLEAN. Das Uploaden hab ich dann aber irgendwann gelassen, da der Fall für mich klar war mit den immer selben Dateiarten. Ich hab jetzt der Vollständigkeit halber diese beiden Dateien auch noch upgeloadet. Ich erwarte das Resultat in Minuten bis wenigen Stunden (geht unterschiedlich schnell) und werde es dir dann noch kurz hier posten.

Mal schauen, was Avira rausfindet, wenn du ihnen die Dateien manuell mailst.

Einmal mehr: Danke dir!

Antwort erhalten: Beide Dateien sind "CLEAN".

Ich habe soeben die Dateien an Avira weitergeleitet.

Eben von Avira bekommen:
"Bitte mal testen: In den Konfigurationen auf Allgemeines -> Kategorien -> Dateien mit verschleierten Dateiendungen deaktivieren".

Du müsstest dann natürlich die Übergangslösung in meiner Software deaktivieren.