@ Durandil: Spybot S&D

[Karn Westcliff]

Rechner 1. Firefox und IE für Winupdates
Rechner 2. Firefox und IE



Zonealarm ist auf beiden Rechnern installiert, hat aber bis letzte Woche Montag noch auf beiden geklappt. Seitdem hat ZA kein Update erfahren.
Ein Update erfahren hat hingegen Windows Ende der letzten Woche. Seitdem funktioniert Zattoo bei mir auch nicht mehr.

Heimrechner:

Firefox:
Hier werden nur die Popups nicht immunisiert. Alles andere ist immunisiert

Internet Explorer (32bit) und (32bit/64bit):
Hier wird gar nichts immunisiert!

Windows:
Global Hosts weden ebenfalls nicht immunisiert!

Meinen Arbeitsrechner kann ich gerade nicht checken. Da sind es aber nur knapp 300 Dateien die nicht Immunisiert werden, während auf meinem Heimrechner es 104186 Dateien sind (Wegen längerer Nichtbenutzung hab ich gerade erst das Update auf 1.6 gemacht.....).


EDIT:
Ich hab jetzt die ZoneAlarm-Firewall runtergeschmissen und die Comodo-Firewall installiert, was ich eigentlich seit Anfang Oktober schon vor hatte, da diese im Test bei den Freeware-Firewalls momentan die Beste ist. Ergebnis bliebt the same.

 

[Durandil]

@Botole: nachdem ich nun einige Fehlerberichte zu dem Thema durchgelesen habe, führen die der neuesten Version eigentlich immer zu zwei Ergebnissen: entweder AVG (evtl. nur 7.5) oder aber ZoneAlarm. Alle Fälle, die ich isher gefunden habe, hatten diese, und utwa testweises Ausschalten von ZA beim Runterfahren half. Hast Du eines davon installiert?

@Karn: wir haben mal versucht, die diversen Gründe für unvollständige Immunsieren zusammenzufassen;

1. Vista: Spybot muss auch von Admins explizit als Admin gestartet werden, um Internet Explorer 32 bit oder 64 bit zu immunisieren. Siehe FAQ dazu.

2. Computer Associates Yahoo! Anti-Spy blockiert einige wenige Einträge, aktuell 2.
CA AntiVirus 8.4.0.24 blockiert evtl. ebenfalls eine größere Anzahl Einträge.

3. AVG (Antivirus) blockiert ca. 30 bis 120 Internet Explorer-Immunisierungseinträge.

4. ZoneAlarm blockiert alle Immunisieren unter Windows: Global (Hosts).

5. STOPzilla blockiert alle Immunisieren unter Windows: Global (Hosts).

6. Firefox: war Firefox 3 schonmal installiert, oder war Firefox 2 ganz frisch, versucht Spybot FF 3 zu immunisieren, auch wenn FF 2 benutzt wird (anhand des Profils kann Spybot nicht erkennen, welcher FF aktuell benutzt wird, daher nimmt es bei frischen Profilen oder wenn FF3-Dateien drin liegen FF3 an).

Daher neue Fragen

Benuzt Du Vista? Falls ja, siehe #1.

Benutzt Du noch FF2, hast aber evtl. schonmal FF3 ausprobiert? Wenn ja, siche die Datoi permissions.sqlite (übllicherweise C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\blubblubirgendwas\).

Benutzt Du AVG oder CA Antivirus?

 

[Karn Westcliff]

@Durandil

OK,......

Ich benutze FF3 seit er raus ist, Comodo-Firewall (mittlerweile, bringt aber wie gesagt auch keine Verbesserung), Win XP prof. SP3, Avira AntiVir.

Antispyprogramme: S&D sowie als Alternative AdAware, das jedoch nur in der Freeware-Version, also ohne aktiven Guard. Dafür ist S&D ja da .

Vor der Comodo Firewall hab ich Zonealarm verwendet. Wie gesagt, bis letzte Woche ging das ganze noch einwandfrei. Updates liefen dazwischen nur die täglichen von AntiVir sowie gegen Ende letzter Woche der aktuelle WinPatch.

 

[Karn Westcliff]

Nachtrag:

Seit heute immunisiert er auf meinem Arbeits-PC wieder durch. Da habe ich anstelle von Comodo noch die ZoneAlarm draufgelassen.
Der andere PC hatte gestern noch nicht funktioniert.
Dafür hat der Arbeits-PC jetzt eine andere Macke.
Seit gestern erscheint morgens eine Meldung:
Fehler. Update konnte nicht heruntergeladen werden. Klickt man auf OK, erscheint wieder ein Fensterchen: Sie müssen erst aus der Updateliste auswählen (so ähnlich). Drückt man OK, verschwindet die Spybot-Meldung.
Öffne ich das Programm und lasse manuell nach Updates suchen, sind keine Aktuellen verfügbar (Beta habe ich jetzt nicht nachgecheckt).

 

[Christa]

Ich habe heute nach Spybot Updates gesucht, habe fast bei allen Häkchen gesetzt und gesagt er soll downloaden. als er fertig war, stand da folgendes:

Detection rules:Hijackers . . . . . . !!! Falsche Checksumme !

Detection rules:Update . . . . . . . !!! Falsche Checksumme !

Was hat das denn zu bedeuten?

 

[Durandil]

Hmmmm ein Fehler beim Runterladen, evtl. weil ein Server überlastet war... auch werf mal eben eine Überprüfung für alle Fälle an... alle Server sind in Ordung.

Also bitte einfach nochmal neu versuchen, evtl. nen anderen Server dafür auswählen, dann müssten auch diese durchlaufen

In Spybot 2.0 wird das Updaten dann endlich nicht mehr Benutzeraktivität verlangen sondern all das im Hintergrund machen, da bin ich letzte und diese Woche dran.

Sorry Karn wenn ich deswegen Dein Problem noch nicht weiter verfolgt habe, mit 2.0 häng ich gerade in dutzenden von Baustellen parallel, meine Todolisten sprengen schon den Blidschirm

 

[Karn Westcliff]

@Durandil

Kein Problem! Mir der automatischen Updatefunktion erfüllst du mir sowieso den größten Wunsch!

Edit: Irgenwie hat sich mein Problem mit dem Immunisieren erledigt. Es geht wieder problemlos auf allen Rechnern, einschließlich meines neuen Laptops mit Vista. Kann das an einem der letzten Updates gelegen haben?

 

[Sir Darian]

Hmmm... *grübel*

@ Durandil:

Ich habe auch mal wieder eine Frage zu Spybot S&D.

Beim Programmstart sucht Spybot nach temporären Dateien und bietet mir an, diese zu löschen.
Das hätte ich gerne deaktiviert.

In den Einstellungen finde ich dazu nichts.

Kannst Du mir bitte weiterhelfen?

 

[Durandil]

In der 1.6.1 (vllt. heute endlich mal als RC) steht das unter "Optionen"... in der 1.6.0 geht das nur per Registry, und zwar so

 

[Sir Darian]

Hmmm... *grübel*

Danke mal soweit! Aber:

Wo in der Registry sollte dieser Key stehen?

Ich habe sowohl unter Local Machine als auch unter Current User Einträge von Safer Networking Org., aber der Key taucht nirgends auf, zumindest nicht per Regedit-Suchfunktion.
Muß ich den erst anlegen? Wenn ja, wo?

 

[Durandil]

Steht am Anfang der Seite, hätte vllt. besser allgemein statt auf den Unterabschnitt verlinken sollen

Der passende Ordner wäre:
HKEY_LOCAL_MACHINE\SOFTWARE\Safer Networking Limited\Tweaks\

"Tweaks" dürfte noch nicht existieren, den Ordner müsstest Du anlegen. Und darin halt ein REG_DWORD mit Wert 1.

 

[Sir Darian]

Hmmm... *grübel*

Sorry für die späte Rückmeldung, aber ich bin heute erst dazu gekommen, Deinen Tipp zu testen.

Danke, hat geklappt!

 

[Curom]

Horrido erstmal,

eigentlich nur aus interesse. Ich hab gestern Kaspersky installiert und will das nun mal testen (dank Computer Bild ist das ja ein Schnäppchen). Aber irgendwie wollte K. nicht das SpyBot auf meinem Rechner bleibt. Und nun frage ich mich, gibt es dafür techniche Ursachen oder ist das eher marketing bedingt.

 

[Durandil]

Alles pures Marketing wenn man's freundlich ausdrücken will, unlauterer Wettbewerb wenn man sich drüber aufregt

Spybot Search & Destroy competitors are trying to force its removal

While Kaspersky would not confirm for us that its setup goes so far as to delete Spybot S&D, its vice president for research and development, Nikolay Grebennikov, confirmed for Betanews that it does indeed detect Spybot, and that the two companies' products have had conflicts...but that's all behind them now.

Reagiert haben sie trotz dieser Ausrede dann scheinbar immer noch nicht

 

[Rumpelstilz]

Hmm, Durandil was hälst Du denn von der Methode, das sich ein Sicherheitstool wie ein Rootkid ins System eingräbt?.

 

[Durandil]

Ganz schwere Frage, ich möchte es mal vorab als in gewissem Umpfang bittere Notwendigkeit bezeichnen.

Erstmal: Rootkit ist ja nicht gleich Rootkit. Ursprünglich ging es dabei eher um etwas, was Administratoren-Zugriffe erlaubt und sich dabei unsichtbar macht. Heute ist der Fokus hauptsächlich auf letzterem (unter Windows arbeitet ja fast eh jeder als Administrator...). Das geht meist nur mit Manipulieren in undokumentierten Betriebssystemkernbereichen, nicht im normalen Anwendungsbereich.

Die richtig heftige moderne Malware kommt so mit 4-12 gleichzeitig installierten Rootkit-Modulen daher, die sich auch noch gegenseitig verstecken, am Laufen halten und im Notfall wiederherstellen. Sowas lässt sich mit normalen Anwendungsmethoden gar nicht recht beheben, dazu muss man selber auch den Bereich des Dokumentierten verlassen.

Außerdem versuchen Rootkits natürlich zu verhindern, daß Schutzsoftware überhaupt läuft... da macht es also teilweise auch "Sinn", wenn Schutzsoftware sich mit Rootkit-Methoden vor Rootkits versteckt.

Insofern: wenn Schutzsoftware ähnliche Techniken verwendet, um Malware besser (bzw. überhaupt) erkennen und entfernen zu können, oder um sich vor der Blockierung durch Rootkits zu schützen, ist das ein notwendiges Übel ("Übel", weil so tiefe Eingriffe ins System mit teils undokumentierten Betriebssystemaufrufen immer ein ungutes Gefühl hinterlassen). Dabei dem User gegenüber fair zu bleiben ist ein schmaler Grat.

 

[Rumpelstilz]

Danke für die Antwort.

 

[Firehawk]

Wenn ich nach 'nem kompletten Suchlauf Spybot beende, bekomm ich in letzter Zeit häufig diese Fehlermeldung:
http://www.abload.de/img/clipboard01c4qy.png
http://www.abload.de/img/clipboard01e2m0.png (die kommt danach)

Mir im Prinzip wurscht, da ich das Programm ja eh beenden wollte und somit auch nix verloren ging, aber wohl trotzdem ein Bug

 

[Durandil]

Ah, die Ursache für diesen Fehler suchen wir schon seit zwei Wochen... hat sich wohl mit dem Update vor zwei Wochen eingeschlichen - entweder über die neue advcheck.dll oder die Erkennungsdatenbanken.

Eine alte advcheck.dll zurückzuspielen ändert nichts am Fehler, momentan warte ich auf Feedback, ob ein Zurückspielen alter Erkennungsdatenbanken etwas ändert (nicht als dauerhafte Lösung, aber zum Eingrenzen des Problems... - bei manchen verschwindet der Fehler, wenn sie die TrojansC.sbi deaktivieren, bei anderen ist es eine andere Datei, wenn also daher dann etwas, was wir in mehreren Dateien neu verwendet haben).

Ich hoffe mal, daß wir es fürs Update nächsten Mittwoch behoben bekommen

 

[Sir Darian]

Hmmm... *grübel*

Als ich letzten Mittwoch mein Spybot-Signatur Update durchführte, kam kurz ein kleines DOS-Fensterchen, das was von Update auf 1.64 behauptete.

Mein Programm selbst zeigt mir aber 1.62.irgendwas an.

Wem von diesen beiden darf ich denn glauben?