Avira Antivir beeinträchtigt unter bestimmten Umständen die Suche unter Windows, indem die Indexierung von Fileinhalten gestört wird. Beobachtet wurde die Störung zuerst unter Windows 7 32Bit mit Office 2010 und Avira Antivir Premium. Bestätigt unter Windows 7 64 Bit und Antivir Professional.

Entdeckt wurde das Problem erstmals bei der Untersuchung eines andern Indexierungsproblems, das nach der Installation von Adobe Reader 10 auftritt (hier dokumentiert). Generell für den User sichtbar wird die Problematik, indem etwa bei installiertem Office nicht mehr alle DOC und DOCX Files in einer Suche aufgelistet werden, obwohl das Suchstichwort im Text enthalten und die Option der Inhaltsindexierung aktiv ist.

Es tritt also nicht ein Vollausfall der Suche ein. Weil der Index kumulativ wächst, werden früher indexierte Files korrekt angezeigt. Richtig massiv werden die Lüken erst, wenn die Indexierung neu gestartet wird. Weiterhin vollständig gefunden werden Files, bei denen der Suchbegriff im Filenamen, Pfade oder Attributen vorkommt – und auch Objekte in Mailbox werden korrekt behandelt.

Der Verdacht ist aus zwei Gründen auf Antivir gefallen. Einmal haben schon andere User von ähnlichen Indexierungsproblemen mit McAfee berichtet. Generell ist AV immer eine gute Hypothese. Neben Malware greift nichts so tief ins System ein und klinkt sich in jeden Filezugriff ein. Zweitens zeigte sich eine Ungleichbehandlung von identischen Dokumenten in der Mailbox (zB als Attachment) und im Filesystem. Die Mailbox Inhalte wurden völlig korrekt indexiert. Es kann kaum eine fundamentale Störung des Indexierungsmechanismus vorliegen; auch die für Word Dokumente nötigen iFilter scheinen korrekt zu arbeiten.

Minitests

In einem kleinen Test 1 (W7 32 Bit) wird zuerst ein nicht gefundenes Dokument identifiziert, die Suche mit dem entsprechenden Stichwort aktiviert - kein Ergebnis. Dann wird Antivir in der Konsole disabled (AntiVir Guard). Dann wird das Dokument geöffnet, ein paar Leerschläge zugefügt und wieder gespeichert, um die Aktualisierung des Indexes anzustossen. Siehe da: Ohne weiteres Zutun erscheint nun das gesuchte Dokument im offenen Suchfenster.

Auf einem andern System (W7 64 Bit mit Avira Antivir Professional, MyDocuments auf Laufwerk D: verschoben) wird ein weiterer Test mit einem seit Monaten ohne Rebuild gewachsenen Index auf den Folder MyDocuments gefahren. Normale Suche zu häufigem Stichwort nach dem Muster mit expliziter Spezifikation im Suchfeld „content:Stichwort fileextension:=.docx“ ergibt 4 Items. Dann Avira disablen, Index neu aufbauen, Erneuerungsfeld auf der Suche anklicken: Sofort werden 78 Items gelistet. Nun den Virenschutz wieder einschalten, den Index wieder neu aufbauen, Erneuerungsfeld auf dem unveränderten Suchfenster mit den 78 Items anklicken – schwupp fast alles weg: gefunden wird nur noch 1 Dokument – dasjenige in dem soeben der Text dieses Beitrags verfasst wurde.

 Workaround?

Falls sich das Ganze als allgemeiner Bug bestätigt, liegt wahrscheinlich ein Implementierungsproblem von Antivir vor. Es könnte aber auch ein Bug von Windows sein, der nur in dieser Konstellation relevant wird. Leider gibt es keinen eleganten Workaround. Zumutbar ist weder ein jeweiliges Wegschalten des Virenschutzes beim Kopieren oder Speichern von Dokumenten noch ein periodischer Neuaufbau des Idexes bei ausgeschaltetem Virenschutz. Wir hoffen, dass das Problem bald identifiziert und behoben werden kann.

ANMERKUNG: Wer Tests mit Neuaufbau von Indexes auf einem produktiven Rechner fahren möchte, kann den Mailclient schliessen – die Tausenden von Mails werden dann vorerst nicht indexiert und der Test geht viel schneller vor sich.

ERGÄNZUNG 24.2.11: Testsetup

Um die gefundene Hypothese zu testen, muss die Frage geklärt werden: Indexiert der Windows Indexin Service bei laufendem wie weggeschalteten Antivir identisch? Ein ideales Testsetup müsste folgendermassen aussehen:

1. Eine W7 Maschine mit Office 2010 aufsetzen, MyDocuments auf Partition D: verschieben, eine Dokumentemenge von einigen Tausend Dokumenten hineinkopieren.
2. Die automatische einsetzten Indexierung abwarten (beobachtbar mit “Indexing Options”), dann ein paar Suchafragen mit teilweise häufigen Begriffen starten, Zahl der gefundenen Dokumente notieren.
3. Avira Antivir installieren, aktualisieren. Dann unter “Indexing Options /Advanced / Rebuild” den Index neu aufbauen. Dann die identischen Suchabfragen laufen lassen und sehen, ob mit dem unter Avira Antivir erzeugten Index das gleiche gefunden wird.

Ob das Verschieben von MyDocuments auf Partition D: relevant ist, bleibt völlig offen. Der oben erwähnte zweite Test kommt dem Idealszenario nur bedingt nach, weil er auf einer Produktionsmaschine mit weiteren Programmen und historisch gewachsenen Settings abgewickelt wurde.

ERGÄNZUNG 25.2.11: Test unter Labor-Bedingungen bestätigt Störung

Ein Test auf einer blanken Virtuellen Maschine (Windows 7 SP1 32 Bit) bestätigt die Hypothese, das Avira die Indexierung und damit die Suche massiv stört. Spalte 2 zeigt die Anzahl Suchergebnisse, die auf dem Index der blanken Maschine beruhen, Spalte 3 Suchergebnisse, die auf dem bei laufendem Avira Antivir Professional mit „Rebuild“ neu aufgebauten Index beruhen. Mit einem bestimmten Suchausdruck gefundene Anzahl Dokumente:

 Auf die Testmaschine wurde einzig das Office 2010 Filter Pack 32 Bit installiert, um realistische Bedingungen für die Inhalts-Indexierung von Word-Dokumenten zu schaffen. Total wurde mit rund 3000 RealWorld Dokumenten gearbeitet, darunter auch PDFs, die in diesem Setting inhaltlich nicht indexiert werden können.

Wer auf einer Windows 7 32Bit Maschine Adobe Reader 10 installiert, erlebt eine böse Überraschung. Im Gegensatz zu Reader 9 sind nun PDF-Dokumente nicht mehr mit der Windows Search Funktion durchsuchbar. Ein eleganter Ausweg ist momentan nicht in Sicht.

Aus Sicherheitsgründen ist ein Reader Update auf Version 10 dringend erwünscht.  Warum Adobe nun keine Lösung für das Durchsuchen von Dokumenten anbietet, bleibt nebulös.

Filter nötig

Windows 7 kommt mit einer gegenüber XP massiv verbesserten Indiexier- und Suchfunktion daher. Eine Indexierung ist für schnelle Suche unabdingbar und findet üblicherweise im Hintergrund statt. Genau wie bei den Servern ist auch bei Windows 7 Indexierung modular implementiert. Auf den Basismechanismu setzen sogenannte iFilter auf. Diese Filter enthalten Mechanismen, die für das Entziffern bestimmter Codierungen nötig sind. An Bord hat Windows plus Office eine Reihe von Filtern etwa für normalen Text, für HTML oder Office Dokumente.

Drittanbieter mit proprietären Codierungen sind eingeladen, den Kunden iFilter anzubieten, damit die entsprechenden Objekte unter Windows durchsucht werden können. Bestimmte PDF sind in Ausnahmefällen mit dem Windows Textfilter durchsuchbar, nämlich dann, wenn sie Klartext enthalten. Das ist normalerweise nur bei gescannten Dokumenten der Fall. Da fügt manchmal eine OCR-Komponente den Text als Klartext mit  ins Dokument ein. Normale PDF Files sind aber proprietär codiert und erfordern einen iFilter, um auf Ebene Windows durchsuchbar zu sein.

In Rohform können die codierten PDF schon auch ohne iFilter indexiert werden, wenn das Durchsuchen des Inhalts eingestellt wird (auf „Index Properties an File Contents“). Nun können diese PDFs in Suchen erscheinen, wenn nur ein einzelner Buchstabe eingegeben wird. Aber bereits bei Eingabe eines weit verbreiteten Artikels wie “the” oder “das” bringt kein einziges normales PDF-Dokument als Suchergebnis.

Noch beim Adobe Reader 9 hat Adobe auf 32Bit Systemen einen iFilter mitgeliefert und im Hintergrund gleich installiert. Mit Version zehn liefert Adobe keinen Filter mit, ohne dem User den Funktionsverlust bei Suchen klar zu machen. Einzig in einem FAQ findet sich ein wenig klärender Beleg: „The iFilter shell extension has a limitation with Microsoft Desktop Search and is not installed with Reader X“.

Adobe Ausweg nur für 64Bit Windows

Für 64Bit Systeme kann auf den entsprechenden Filter zurückgegriffen werden, den Adobe in Version 9 anbietet. Eine Installation auf zwei Testystemen verlief reibungslos. Der Installer setzt auch gleich die Option des Filetyps PDF auf das Indexieren auch von Content („Index Properties and File Contents“). Nach dem erforderlichen Neuaufbau des Indexes zeigt die Windows 7 Suche perfekt auch die Ergebnisse nach Stichworten aus dem Innern on PDF Dokumenten an (Indexing Options / Advanced / Rebuild). Der Indexierservice schafft pro Stunde einige zehntausend Dokumente und Mails, sofern er ungestört werkeln kann. Bei Userinteraktion schaltet er auf ressourcenschonenden Minimalbetrieb, da kann sich der Neuaufbau des Indexes über Stunden hinziehen. Am besten vor der Mittagspause starten.

Für 32Bit System bietet Adobe weder eine Lösung noch eine Erklärung an. Das wirkt einigermassen befremdlich angesichts des Bedeutung, welche das Suchen nicht nur im Internet, sondern auch im eigenen Dokumentenbestand hat. Eine Testinstallation des veralteten iFilter Version 6 von Adobe hat das Problem nicht gelöst – andere haben die gleiche Erfahrung gemacht. Microsoft zeigt in einem W7 Artikel zwar auf diese alte Version 6 von Adobe. Wie das auf W7 zum Laufen gebracht werden kann, ist offen. Adobe selbst nennt in der entsprechenden Doku weder Vista noch W7 als untersützte OS. Eine allfällige Lösung bietet die Firma PDFlib mit PDFlib TET PDF IFilter auf die in einem Geschwindigkeitstest von einem MSDN Blog verwiesen wird. Eine Komponente von kaum einschätzbarer Qualität ins Betriebssystem einzupflanzen, ist aber nicht jedermanns Sache.

Es ist der Münchner Firma hoch aber anzurechnen, dass sie eine kostenlose Lösung anbietet, die funktioniert. Beim Test auf einem virtuellen Windows 7 32 Bit zeigt die Suche nach Installation des  PDFlib TET PDF IFilter umgehend indexierte PDFs an, auch wenn kein PDF-Viewer installiert ist. In der geeigneten Preview wird auch gleich Text aus dem Inhalt angezeigt, welchen der iFilter ja ohnehin dekodieren muss, um ihn dem Indexing Service von Windows darzubieten:

Wenn nun Adobe Reader 10 installiert wird, lässt er immerhin den installierten iFilter der Konkurrenz unbehelligt. Adobe legt voerst den Indexing Service lahm, sodass das unbeschwerte Suchen und Anschauen erst nach einem Neulogin (oder Reboot) möglich ist. Natürlich muss immer der Aufbau des Indexes abgewartet werden.

ANHANG: Technische Details zu Index, Suche, iFilters

Out oft the Box (und nach Installation von Office) läuft Indexieren und Suchen in einer robusten Default Konfiguration.

Unter Windows 7 können mit „Indexing Options“ verschiedene Einstellungen vogenommen werden: welche Folderst sollen indexitert werden; nur Attribute oder auch Inhalt; Neuaufbau des Indexes.

Ein Blick auf Windows 7 64 Bit nach erfolgreicher Installation von iFilter Version 9:

1) Wie werden PDF Files bei der Indexierung gehandhabt?
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.pdf\PersistentHandler
darin der default
{F6594A6D-D57F-4EFD-B2C3-DCD9779E382E}

2) Jetzt suchen wir nach ID F6594A6D-D57F-4EFD-B2C3-DCD9779E382E und finden
HKEY_CLASSES_ROOT\CLSID\{F6594A6D-D57F-4EFD-B2C3-DCD9779E382E}
darin registriert als Persistent Addin
\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}
mit dem Wert default
{E8978DA6-047F-4E3D-9C78-CDBE46041603}

3) HKEY_CLASSES_ROOT\CLSID\{E8978DA6-047F-4E3D-9C78-CDBE46041603}\InprocServer32
darin der default, zeigt auf die iFilter DLL:
C:\Program Files\Adobe\Adobe PDF iFilter 9 for 64-bit platforms\bin\PDFFilter.dll

Wenn unter Punkt 1) der Persistent Handler auf {5e941d80-bf96-11cd-b579-08002b30bfeb}
zeigt, ist das der default Handler für .txt und andere Klartextfiles. PDF Dateien werden dann nur nach Klartextteilen indexiert: gescannte PDFs mit OCR Klartexteinschüben werden erschlossen, normale PDF nicht.

ANHANG Links

• Kurze Beschreibung zu iFiltern auf Servern von Adobe.
• MS Übersicht über Windows Search in W7 und Server 2008
• MS Übersicht Indexing Process
• Technisches Konzept der iFilter
• Microsoft Blog zu Filters
• Filterregistrierung Doku und älterer Artikel

Was secunia vor Monaten angekündigt hat, wird nun schrittweise umgesetzt: Der Personal Software Inspector 2 kann Patchingbedarf nicht nur identifizieren, sondern auch Patches installieren.

Die soeben veröffentlichte Betaversion patcht vorerst nur eine Minderheit der analysierten Programme. Trotzdem zeichnet sich hier für Private User und Kleinbetriebe eine Möglichkeit ab, rationeller einen akzeptablen Patching Stand zu erreichen.

Der Zeitpunkt könnte nicht günstiger sein. Die aktuellen DLL Loading Risiken sind bei zahlreichen Applikationen identifiziert worden. In den nächsten Wochen und Monaten dürfte sich ein Schwall von Patches und Updates über die User ergiessen. Für die Betreiber von standalone PCs lohnt es sich, das neue Produkt genauer anzusehen.

Das Anfahren von Restore Points ist unter den neueren Windows Versionen ein probates Mittel, um nach problematischen Installationen wieder einen zuverlässigen Systemstatus zu erreichen. In einem Fall ist nun beobachtet worden, dass Avira Antivir Professional 10 die Konsistenz und dadurch die History der Restores beschädigt – allerdings nur im Zusammenspiel mit dem Hauptverdächtigen, dem Telefonsteuerprogram OpenStage von Siemens.

Nach dem Wählen eines Restore Punkts startet Windows 7 den Restore-Vorgang und alles sieht normal aus, bis nach dem Reboot die Fehlernachricht kommt, dass das System Restore nicht vollständig ablaufen konnte, weil der Zugriff auf ein File verhindert war – vermutlich durch den Virenchecker.

Nun kann versucht werden, die Guard Komponente von Avira 10 zu stoppen und den Restore rückgängig zu machen. Das führt aber nicht zu einer Widerherstellung des ursprünglichen Systemzustands mit all seinen Restores.

FAZIT: Das System läuft zwar einwandfrei, aber die Restore-History ist dauerhaft weg und die störende neueste Installation ist noch da, weil ja das Anfahren des letzten Restore-Punkts nicht geklappt hat. Mutmassliche Ursache ist das Zusammenspiel von Avira mit dem wenig verbreiteten Telefonsteuerprogram OpenStage von Siemens als Hauptverdächtigem.

Der Secunia Personal Software Inspector PSI leistet ausgezeichnete Arbeit beim Aufspüren von nicht gepatchten Applikationen auf einem PC. Momentan leistet er sich aber zwei problematische Fehlalarme, die Benutzer unnötig verunsichern und Aufwand verursachen.

Im Advanced Mode meldet der PSI “Adobe Flash Player 10.x is insecure”. Mit der Bemerkung “we recommend that you update or uninstall all programs listed here” wird der Eindruck vertieft, dass die installierte Flash Version nicht aktuelle sei – was so nicht zutrifft. Ursache des Fehlalarms: Ein File einer früheren Installation lagert noch auf dem PC und wurde offenbar vom Adobe Installer nicht entfernt.

Ganz unzutreffend ist eine Warnung zu Office PowerPoint Viewer 2007. Die Warnung erscheint auch, wenn die Komponente gar nicht installiert ist! Selbstverständlich soll und darf Microsoft Update nicht Komponenten neu installieren, die nicht da sind (von Update kann ja keine Rede sein).

Schlussfolgerung: Standarduser sollten sich sich aufs Wesentliche – und damit auf die Ansicht “Simple” konzentrieren. Im “Advanced” Modus muss man sich die Zeit nehmen, den einzelnen Anomalien nachzugehen. Vorbildlich von Secunia: Ein Link zum betroffenen Ordner und zu weiteren Infos wird angeboten.

Persönlich oder privat verwaltete Computer sollten periodisch auf ihre Gesundheit überprüft werden. Heikle Komponenten sind das Betriebssystem und Programme, die mit Objekten aus dem Netz in Berührung kommen. (English version below).

Diese sensitiven Komponenten sollten darauf geprüft werden, ob die neuesten Versionen installiert sind, die automatischen Updates funktionieren und die Schutzmechanismen aktiv sind. Hier eine elementare Checkliste für Windows – vergleichbares gilt auch für andere Betriebssysteme:

1. Betriebssystem: Ist Windows Update aktiviert und sind in den letzten Monaten die monatlichen Paches eingespielt worden? Letzteres lässt sich in der Update History klären.

2. Läuft der Virenschutz und tut er das mit aktuellen Definitionen?

3. Verwenden Sie die neueste Browserversion und ist diese gepatcht? Der Internet Explorer ist ins Windows Update integriert – bei andern Browsern muss das gecheckt werden.

4. Ist der Adobe Flash Player aktuell? Prüfen auf der Webpage http://kb2.adobe.com/cps/155/tn_15507.html

5. Ist der Adobe Reader aktuell? Starten Sie den Reader (er sollte Version 9 sein) und wählen sie Hilfe / Nach Updates suchen.

Nach diesem Muster sollten auch alle andern Programme angesehen werden, die mit Objekten aus dem Netz in Berührung kommen: Mail, Office, Chat, Phone etc. Wer die Prüfung mit Hilfe eines Programms durchführen möchte, kann den Secunia Personal Software Inspector (PSI) installieren, der für Private kostenlos ist:
http://secunia.com/vulnerability_scanning/personal/

Wer über einen raschen Check hinaus grundsätzlich an sicherem Computen interessiert ist, kann sich die folgenden Bausteine genauer ansehen. Insbesondere sollten Eigentümer einer Windows XP Maschine dort den Punkt 1 beachten und dringend einen Umstieg auf Windows 7 prüfen. Windows XP ist veraltet und bietet nicht mehr den nötigen Schutz gegen Schadsoftware aus dem Internet.
http://www.id.ethz.ch/services/list/security/comp_sec/windows/system

IN ENGLISH – Check your PC quarterly

Private PCs too should be checked periodically: Is the latest edition installed? Are patching mechanisms working? Are the security shields in place? Here a few basic elements to look at:

1. Operating System: Is Windows Update (or Microsoft Update) up and running? Check the succussful installation of monthly patches in Update History.

2. Is the antivirus program working – with the latest definitions?

3. Is the latest browser version installed and patched? Internet Explorer is included in the patching mechanisms of Microsoft Update – other Browsers have to be checked.

4. Is Adobe Flash Player up to date? Check on page
http://kb2.adobe.com/cps/155/tn_15507.html

5. Is Adobe Reader up to date? See “Help” – “Check for updates now”.

In the same way, check other internet related programs. A free software can help you with this task: Secunia Personal Software Inspector (PSI)
http://secunia.com/vulnerability_scanning/personal/

If you want to avoid unnecessary risk, consider migrating from XP to Windows 7. XP is no longer state of the art in a world of massive internet threats.

o

Microsoft und viele Anbieter von Hard- und Software haben diesmal deutlich mehr Energie aufgewendet, um das Migrieren oder Neuausetzen von Windows 7 zu unterstützen. Rumpler und Probleme können jedoch immer auftauchen. Hier einige interessante Erfahrungen und Hinweise, welche eine grösser Zahl von ETH-Umgebungen betreffen können:

Katalogisierungsclient noch nicht für W7 20.11.09

Für Katalogisierungsarbeitspläzte zB in Departementsbibliotheken relevant: Der Aleph500-Client Version 18 ist von der Firma Ex Libris vorläufig nicht für Windows 7 freigegeben. Das ist erst für den Verlauf von 2010 in Aussicht gestellt.

chkdsk - immer wieder beim Booten 17.11.09

Immer wieder beim Booten von Windows 7 wird chkdsk abgearbeitet. Grund dafür ist eine Inkonsistenz im Dateisystem, die offenbar unter bestimmten Umständen von Avira Antivir verursacht wird und zu einem Error 55 NTFS im Systemlog führt. Avira hat im November 09 die Arbeit an diesem Problem aufgenommen. STATUS am 30.11. 09: Avira hat die Problematik HIER publiziert und stellt  Abhilfe in Aussicht.   (History mit Details HIER). FINAL 7.12.09: Avira gibt HIER bekannt, dass das Problem gelöst ist.

NVIDIA Service löst Service Controller Error 7016 aus 17.11.09

Auf manchen Maschinen erscheint bei den System Events häufig der Error “The NVIDIA Display Driver Service service has reported an invalid current state 32”. Errors sind unschön, auch wenn hier keine funktionalen Beeinträchtigungen registriert werden können. Vermutliche Ursache: Fehlerhafter Service von NVIDIA. Background HIER.

W7 Setup stockt auf einem Laptop 17.11.09

Das Setup stockt, weil zB auf einem lenovo X60 keine geeignete Partition gefunden wird. Offenbar wollten die Designer des W7 Setup verhindern, dass mit einem Mausklick insbesondere die Recovery-Partition von Laptops einfach gelöscht werden kann. Abhilfe bringt ein manuelles Löschen der Partitions auf dem Laptop. Etwa nach dem Booten mit W7 DVD. Mit der Option Repair fortfahren, auf den Command Prompt gehen und den Befehl diskpart verwenden (list, select, clean).

AKTUELL 16.11.09 Avira anerkennt im Rahmen eines Supportvorgangs, dass Avira Antivir in die Problematik verwickelt ist und stellt Abhilfe in Aussicht. Auf dem Avira-Forum wurde das Problem schon im August erörtert und von Avira in Abrede gestellt: “This issue is not linked with AntiVir at all.” Oder am 11. Seotenber: ”A lot of users seems to have this issue without installing AntiVir so I think it is a Windows issue.” 

NACHTRAG 29.10.09: Feedback stützt die Hypothese, dass Avira involviert ist. In mehreren Fällen ist das Problem verschwunden, nachdem Avira desinstalliert oder die Avira Antivir-Services disabled worden sind  (siehe User Feedback unten). Das heisst nicht unbedingt, dass Antivir die Ursache ist. Es ist aber das Zusammenspiel von W7 mit Antivir und vielleicht einer dritten Instanz wie einem Treiber oder Service wie dem NVIDIA Service. Der Fehler tritt normalerweise nicht einfach nach dem Booten und einigen Minuten Testlauf auf, sondern eher nach 30 – 90 Minuten aktivem Betrieb. Avira kann vorderhand das Problem nicht nachvollziehen.

Auf einem Windows 7 Pioniersystem taucht folgendes Problem auf: Immer mal wieder wird beim Booten chkdsk abgearbeitet, um Inkonsistenzen auf der Disk zu bereinigen. Die unmittelbare Ursache wird im Eventlog sichtbar: Error 55 NTFS. Gleiches passiert (selten) auf einem Pionier Laptop.

Das Problem ist interessant, weil sich die allgemeine Frage stellt: Welche Systemelemente kommen hier überhaupt in Frage, um tief im System Inkonsistenzen zu erzeugen? Hier Hypothesen:

Betriebssystem
Treiber
Hardware (Memory, Chipset, Harddiskfirmware, Platine…)
Energiespar-Implementierung
Cachemechanismus
Hardware Monitoring Tools
Virenschutz

Die meisten Punkte sind für den erfahrenen Admin offensichtlich. Warum aber der Virenschutz, nachdem der doch bei Windows 7 nicht mehr einfach mit handgestrickten Mechanismen in den Kernel heineingreifen soll? Hypothese ist hier, dass bei allen I/O Vorgängen und insbesondere bei aktiver Heuristik der Virenschutz ständig zugreift. Das eröffnet auch ohne schweren Designfehler das Potential, dass in einer unglücklichen Konstellation sich Virenschutz und eine andere Komponente miteinander verhaken können.

Nun wurden der Reihe nach verschiedene Mechanismen und Services disabled, die den obigen Kriterien entsprechen oder im Vorfeld des Errors mit eigenen Aktivitäten erschienen: Seagate Tool für Harddisk-Check installieren und die Disk checken; Windows Write Cache des Laufwerks wegschalten; Energiesparsettings auf lange Zeiten gesetzt; Error Reporting Service abgeschaltet; Defender desaktiviert; Nvidia Treiber aktualisiert. Das alles hat nichts gebracht.

Was nun aber etwas gebracht hat, ist die Desinstallation von Antivir. Fürs erste bleibt der Error 55 weg. Das heisst nun nicht, dass Avira Antivir unter Windows 7 generell nicht zuverlässig läuft. Im Vordergrund steht eher die Hypothese, das Antivir im Zusammenspiel etwa mit einem bestimmten Treiber die Anomalie erzeugt. Die Angelegenheit ist bei Avira deponiert.

Noch ein kurzer Hinweis zu Tools: Als Admin kann mit chkntfs c: der Status eines Laufwerks angesehen werden. dirty heisst, dass beim nächsten Booten chkdsk laufen wird. Bei Windows 7 lässt sich mit der rechten Maustaste auf dem Error Event im Eventviewer direkt eine Popup-Meldung konfigurieren.

USER FEEDBACK:

T bestätigt: “ich habe seit gut einem Monat Win7 Enterprise 64bit im produktiven Betrieb mit Bitlocker/TPM Verschlüsselung und Avira Enterprise … Ich hatte auch schon ein paar Mal diese Disk-Check beim Booten und der Blich in den Event Viewer bestätigt den Error 55 NTFS “The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume C:.” wie Du es im Blog beschrieben hast. Alle Checks verliefen bisher glatt und ohne für mich erkennbare weitere Folgen. Ich arbeite auf einem Lenovo X301.”

D bestätigt: “Ich hatte bis vor zwei Wochen auf meinem Windows7 zuhause AVIRA am Laufen. Tatsächlich habe ich immer mal wieder chkdsk beim Neustarten gesehen. War mir aber nicht bewusst, dass das AVIRA sein könnte. Jetzt allerdings wo du es erwähnst, fällt mir auf, dass ich, seit ich auf den MS Virenscanner umgestiegen bin, die checkdisks nicht mehr gesehen habe.”

U bestätigt obigen Befund von einem Heim-PC mit Avira Premium.

V bestätigt für einen Tablet PC mit Win7 und Avira.

N kann nicht bestätigen: “Ich habe schon ca. 20 Win7 Systeme aufgesetzt (auf komplet verschiedener Hardware) und auf allen die neuste Version von Avira installiert und hatte dieses Problem noch nie.”

C hat mit andern AV kein Problem gesehen: “Wir haben Windows 7 auch 64-bit mit NOD32 V4 im Betrieb, ohne Probleme (bis anhin jedenfalls )”.

Patchen ist schon für die privaten Hüter eines Windows-PCs eine Herausforderung – und auch Mac-User sammeln da ja inzwischen Erfahrungen. Ganz andere Dimensionen nimmt Patchen an, wenn es um hunderte oder tausende von Arbeitsplatzrechnern geht.

Während die Lieferanten von Betriebssystem etwas breitere Lösungen für ihren Lieferumfang bieten, kochen die andern Softwarelieferanten ihre eigenen Süppchen. Es gibt keine Standards und schon gar keine gemeinsame Patchingplattform, über die alle Applikationen up to date gehalten werden könnten.

Während sich Oracle, Microsoft und Adobe immerhin zu einem zeitlich strukturierten Vorgehen durchgerungen haben, lassen alle andern zu jeder beliebigen Tages- und Nachtzeit neue Patches und Updates auf die IT-Kundschaft los.

Project Quant: Suche nach einem Framework

Bei grossen Unternehmen und Institutionen ist in den letzten Jahren immer klarer geworden, dass Patching nicht mit ein paar Quick&Dirty Vorgehensweisen in den Griff zu bekommen ist. Darum haben sich mehrere grösser Player zu einem Projekt Quant zusammengefunden, um ein konzeptuelles Framework fürs Patchen zu erarbeiten. Wer in dem Papier “Measuring and Optimizing Patch Management: an Open Model” blättert sieht bald, wie anspruchsvoll und komplex die Herausforderung ist. Wer mit dem Patchen von grösseren Horden von Maschinen befasst ist, sollte vielleicht einen Blick auf dieses Projekt werfen.

Microsofts Patching Strategie

Im Windows Imperium hat sich Microsoft vor ein paar Jahren unter erheblichen Mühen neu ausgerichtet und konsistente Positionen zum Thema Sicherheit, Verletzlichkeiten und Patching erarbeitet. In seinem Papier “The Microsoft Security Update Guide” werden Begriffe, Klassierungskriterien, Benachrichtigungskanäle, Updatemechanismen und andere Elemente erläutert. Nichts sensationelles, aber ein geordneter Überblick für alle IT-Profis, die mit Windows und also auch mit Security zu tun haben.

Adobe hat in den letzten Monaten Schritte in Richtung von mehr Code Quality und periodischem Patching gemacht. Die Ansätze des Konzerns bleiben aber ziemlich unübersichtlich.

Es beginnt bei den Produkteinstanzen. Auch manchen Profis dürfte kaum klar sein, wie sich bei Flash das Plugin zum Player verhält. Erst ein gründliches Studium des Dokuments “Adobe® Flash® Player 10 Administration Guide” klärt diese und weitere Fragen. Der Flash Player wird “normalerweise” (Adobe) als Plugin installiert. Dieses gibt es in zwei Formen – als Browserplugin für Firefox und Verwandte sowie als ActiveX für den Internet Explorer. Es gibt den Flash Player auch als standalone Produkt, der ist aber eher für Entwickler gedacht. Weil bei Adobe Dokumenten immer von Flash Player die Rede ist, bleibt häufig offen, was nun genau gemeint ist.

Der Flash Player ist das wohl wichtigste Plugin für Multimedia-Content auf dem Web. Die entsprechenden Verletzlichkeiten sind aufgrund der weiten Verbreitung ziemlich relevant und sollten leicht zu patchen sein.

Updaten periodisch…

Der Flash Player hat eine periodische Versionsprüfung installiert, die beim Installieren auf 30 Tage gesetzt ist. Dieser Default ist wenig tauglich, weil User bei grassierenden Exploits wochenlang nichtsahnend mit einem veralteten Plugin weitersurfen.

Sucht der User unter Programmen oder unter Plugins ein Interface für die Konfiguration des Flash Player, läuft er ins Leere. Wer unter der Hilfe des Acrobat Readers via Updates zu den ‘ Adobe Updater Preferences’ vorstösst, findet keine Spur von Flash.

Für Flash hat sich Adobe einen Weg über den Webserver ausgedacht. Auf der Seite Flash Player Help finden sich die Links zum Settings Manager und dessen einzelnen Reitern. Unter Global Notification Settings lässt sich dann zumindest die Prüf-Periode von 30 auf 7 Tage reduzieren.

Lokale Settings via einen Konzernwebsite verstellen, das ist in Sachen Sicherheit wie Usability einigermassen fragewürdig. Adobe sieht sich denn auch genötigt, die User-Verwirrung mit folgender Bild… sorry: Toolunterschrift zu klären: “Note: The Settings Manager that you see above is not an image; it is the actual Settings Manager.”

Weitere Parameter sind unter Windows nicht etwa in der Registry – sondern in einer proprietären Location qua File mit dem Namen mms.cfg abgelegt. Hier kann Autoupdate beschränkt und konfiguriert werden. Dazu mehr im bereits erwähnten “Administration Guide”. Das Hantieren mit Parameterfiles ist, wie der Titel des Guides sagt, nichts für EndanwenderInnen.

…oder von Hand

Aufgrund der mangelhaft implementierten Automatismen wählen updatewillige User wohl oder übel erst mal den Weg zum Versions-Check mit dem Titel “Version test for Adobe Flash Player”. StudentInnen der Web-Usability können sich hier den Kopf darüber zerbrechen, warum ein Weltkonzern hier dem Anwender das manuelle Nachschlagen überlässt, ob die identifizierte Version auch die neueste ist. Stand der Technik wäre hier eine Diskrepanzmeldung mit dem Angebot zum Download. Immerhin ist im Text ein Link zum Adobe Flash Player Download Center eingebettet.

Während Microsoft die grösste Patchingbaustelle mit einem ziemlich konsistenten Modell bewirtschaftet, kann auf dem zweitgrössten Bauplatz bei Adobe davon keine Rede sein. Die Firma konstatiert mit berechtigtem Stolz: “Flash Player is installed on 98% percent of the world’s desktop computers”. Wie viele davon sind wohl auf dem neusten Stand?

LINKS:

Adobe Flash Player 10 Administration Guide:
http://www.adobe.com/devnet/flashplayer/articles/flash_player_admin_guide.html

Versionscheck
http://kb2.adobe.com/cps/155/tn_15507.html

Installieren / Updaten:
http://get.adobe.com/flashplayer/

Settings Manager:
http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager.html