Securepoint Support Forum

Hallo, uns plagt seit einiger Zeit massiv das Problem, dass bei diversen Kundensystemen (Win10 + Win11 Clients) Schädlinge im Verzeichnis \Windows\Temp\WinSAT\ bzw. den darunterliegenden Ordnern erkannt werden.

Obwohl das Einsenden zum Labor bestätigt, dass es sich um Malware handele, glauben wir an ein false positive: Unter Virustotal erkennen nur 4 Scanner ein Problem, nämlich AVG und Avast (sind eh identisch), Google und eben Ikarus.

Kurze Recherche ergab, dass die in WINSAT liegenden Dateien öfters als Virus fehlinterpretiert werden, da dort kräftig geschrieben und geändert wird. Ist halt seltsam, dass gerade Ikarus sich hier offenbar stark abarbeitet - wir haben jeden Tag 2-3 Fehlalarme, und das bei relativ überschaubarer Kundenzahl.

Ist es tatsächlich nötig, den gesamten Pfad als Ausnahme zu defnieren? Wir machen so etwas eigentlich eher ungern in dieser Pauschalität. Oder schraubt der Hersteller da ggf. mal am Algorithmus?

Wunsch an dieser Stelle: Direkt aus dem Aktionen-Dialog heraus eine dauerhafte Ausnahme erstellen können. "Ignorieren" hilft ja leider immer nur temporär.

Ergänzend dazu: Wir haben festgestellt, dass bei einem Kunden im Konfigurationsprofil bereits eine Ausnahme für dieses Verzeichnis definiert war. Dennoch wurde der Fund gemeldet (der Client ist mit dem Profil synchron).

Im Wiki sehen wir unter https://wiki.securepoint.de/AV/Portal/K ... xklusionen wie eine Ordner-Exklusion aussehen soll:

C:\Beispielordner

aber im Screenshot recht daneben ist zu sehen:

C:\Support\Freigabe\*

Wird bei der Syntax ggf. unterschieden? Und wenn ja, welche ist die richtige für einen Ordner, dessen Inhalt und alle Unterordner incl. Inhalt?

C:\Beispielordner oder
C:\Beispielordner\ oder
C:\Beispielordner\* ?