Defender und MSE schlagen bei EaseUS-Alarm!

Bei diversen Tools des Anbieters EaseUS gibt es wohl das Problem, dass sowohl die Microsoft Security Essentials (MSE) als auch der Windows Defender anschlägt und rigoros Dateien löscht. Was ist da im Busch?


Anzeige

So mancher Nutzer setzt ja auf Tools (Backup, Partition Manager etc.) des chinesischen Anbieters EaseUS (die sind in Sichuan beheimatet). Manche dieser Tools sind frei, manche kosten etwas. Ich hatte in den vergangenen Jahren immer mal wieder kurze Hinweise auf deren Tools im Blog – ein paar Kurztests hatte ich vor Jahren auch mal gemacht.

Im Jahr 2018 habe ich mich da aber recht bedeckt mit Hinweisen auf EaseUS gehalten. Der Grund: Irgendwie war mir das alles zu aggressiv, ständig Angebote von deren Promotion-Managern, ich solle doch ein Gewinnspiel machen oder auf eine Gratis-Aktion hinweisen. In Kombination mit 'Anbieter sitzt in China' hatte ich da plötzlich kein wirklich gutes Gefühl mehr – aber das will nichts heißen.

Bei EaseUS-Tools schlagen plötzlich Defender und MSE an

Mitte September 2018 traf bei mir eine E-Mail von Blog-Leser Dekre ein, die mich auf ein Problem hinwies. Bei ihm hatte der Windows Defender plötzlich Alarm bei Programmen von EaseUS geschlagen und diese in Quarantäne geschoben. Auch ein Test unter Windows 7 mit den Microsoft Security Essentials brachte das gleiche Ergebnis. Ich fasse mal das Ergebnis mehrerer Mail-Wechsel zusammen. Dekre schrieb mir:

Hier meine Zusammenfassung zu EaseUS und das Problem mit MS Defender bzw. MSE. Ich habe das Programm Todo backup und PartitionsMaster heute in einer Version neu installiert.

Verwendet man MSE oder MS Defender, so muss man das im AV-Programm als zulässig kennzeichnen, sonst werden auch Programmdateien nach Installation in die Quarantäne verschoben.

Dekre lieferte noch die Information, dass es sich bei dem von ihm auf mehreren Rechnern eingesetzten EaseUS-Tool um die jeweiligen Varianten für private Nutzer handelt. Er hat wohl eine Free-Version und die Home-Kauf Version.

So stellt sich die Sache dar

Der springende Punkt: Versucht er eines der EaseUS-Programme unter Windows zu installieren, grätscht der Microsoft-Virenschutz in Form des Windows Defender (Windows 8.1 oder Windows 10) bzw. die Scan-Engine der Microsoft Security Essentials (MSE) ein und schiebt die Dateien sofort in Quarantäne.

Dekre hat mir beispielsweise den obigen Screenshot geschickt, in dem EaseUS Todo Backup Alarm schlägt und meldet, dass ein Treiber nicht erfolgreich installiert wurde. An dieser Stelle hätte ich persönlich längst jegliche Versuche abgebrochen und die Finger von der Software gelassen. Um das Programm funktionsfähig auf seinen Rechner zu bekommen, hat Dekre aber einen anderen Ansatz gewählt (siehe folgende Screenshots).

MSE-Warnung wegen EaseUS
(Zum Vergrößern klicken)


Anzeige

MSE-Warnung wegen EaseUS
(Zum Vergrößern klicken)

Er hat die EaseUS-Programme in den Microsoft Security Essentials als Ausnahme deklariert und von einer Virenprüfung ausgenommen. Denn andernfalls wären die Dateien bereits bei der Installation in Quarantäne geschoben worden und das Programm funktioniert nicht.

PUA-Win32/FusionCore an Bord

Im Screenshot sieht man aber auf der Registerkarte Verlauf einen fetten Hinweis, dass die Scan-Engine ein PUA-Win32/FusionCore gefunden habe. Geht man in die Thread-Beschreibung von Microsoft, heißt es dort, dass es sich um ein potentiell unerwünschtes Programm (PUA) handelt. Begründet wird dies, dass die Komponente eine sehr schlechte Reputation habe und auch das System negativ beeinflussen könne (Microsoft beschreibt dies als 'beeinflusst die Qualität der Benutzererfahrungen').

Dann erfährt man noch, dass die bemängelte Anwendung oft mit Software gebündelt werde, von der bekannt ist, dass sie andere potenziell unerwünschte Anwendungen (PUA) installiert. Genannt werden beispielsweise PUA:Win32/ByteFence. Manchmal kann die Anwendung unerwünschte Software wie BrowserModifier:Win32/Prifou installieren.

Mit anderen Worten: EaseUS hat (wohl erst kürzlich) etwas in seine Tools eingebaut, von dem Microsoft der Meinung ist, dass dies potentiell unerwünscht sei.

Was sagt das Web dazu?

In einem solchen Fall ist es geschickt, das Web zu befragen, ob dort Informationen zu einem solchen Problem vorliegen. Blog-Leser Dekre hat das auch getan.

EaseUS Todo Backup-Installer in Virustotal getestet

Blog-Leser Dekre hat mir in einer seiner Mails mitgeteilt, dass bereits bei der Installation vom Microsoft Defender sowie den MSE ein Virus in der Installationsdatei tb_fre.exe (installiert EaseUS Todo Backup) gemeldet wurde. Er hat dann diese Datei auf Virustotal hochgeladen.

Virustotal EaseUS Todo Backup Installer
(Zum Vergrößern klicken)

Die Anzeige bei Virustotal weist nur aus, dass Microsoft die Datei als schädlich ansieht, während andere Virenscanner diese als OK ausweisen. Im ersten Augenblick wäre ich da auch geneigt, das Ganze als Fehlalarm von Microsoft anzusehen. Dekre schreibt, dass zwei Nutzer das Programm als positiv bewertet haben. Aber darauf sollte man nichts geben. Ich habe beim Schreiben des Blog-Beitrags auf Virustotal die neueste Prüfung ausführen lassen. Es wurde keine Bedrohung mehr erkannt.

EaseUS Partition Master in Virustotal getestet

Da Dekre mit dem EaseUS Partition Master ähnliche Probleme in den MSE hatte, wurde die Installationsdatei emp.exe des EaseUS Partition Master auf Virustotal hochgeladen. Dort ergibt sich folgende Bild:

Virustotal EaseUS Partition Manager
(Zum Vergrößern klicken)

Sowohl Microsoft als ein Antivirus-Anbieter Cyren bemängeln die Installationsdatei. Die aktuelle Bewertung zeigt mir ebenfalls die obigen Warnungen.

Dekre schloss seine E-Mail Nachricht mit der Bemerkung: Will man sich die Installationsdateien von EaseUS runterladen und man hat MSE (ich denke auch bei Defender), so wird das gleich in die Quarantäne verschoben. Er hat es auf drei Rechnern geprüft und meint: Es kann ja nicht sein, dass EaseUS das nicht selbst mit bekommen hat. Irgendwas stimmt da nicht. Aber was ist bei den Amis noch normal?

Auch andere haben das bemerkt

Ich habe dann im Internet gesucht. Bei Bleeping Computer gibt es z.B. diesen Thread von Ende März 2018, wo ein Benutzer bei EaseUs Todo Backup (tb_free.exe) beklagt, dass der Windows Defender bei der Installation einen Virus gemeldet und diese Datei dann  gelöscht habe.

EaseUs Todo Backup-Installer

Im Thread hat jemand den obigen Screenshot gepostet. Dort werden optionale Funktion zur Installation angeboten. Unter anderem die Teilnahme am Customer Experience Program. Gut möglich, dass dort Komponenten zum Reporten installiert werden, die Microsoft als unerwünscht ansieht. Weiterhin wird noch Search Offer powered by Bing als zusätzliche Software (PUP) installiert. Zudem kann WinZip zur Installation angeboten werden. Im Malware-Bytes-Forum wird der Installer des EasyUS Partition Manager als PUP thematisiert.

Langer Rede kurzer Sinn: Es scheint, als ob EaseUS in letzter Zeit irgend etwas mit seinen Tools ausliefert, was von Microsoft als potentiell unerwünscht angesehen wird. Vorsichtige Menschen würden daher die Finger von der Software lassen. Aber jeder ist seines eigenen Glückes Schmied und muss aufpassen, dass ihm kein Hufeisen auf den Fuß plumpst. Oder liegen euch andere Erkenntnisse vor?

Ähnliche Artikel
EaseUS Partition Master 12.5 heute für 9,95 Euro
EaseUS Partition Master 10.8 Free angetestet
EaseUS Partition Master 10.8 mit GPT-Bug-Fix


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Virenschutz abgelegt und mit PUP, Software, Virenschutz verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Defender und MSE schlagen bei EaseUS-Alarm!

  1. deo sagt:

    Da wandert MS auf schmalem Grad, weil so gut, wie jede, Freeware, zu der es auch kostenpflichtige Versionen gibt, für das Upgrade wirbt und diverse Zugaben über das Setup verteilt. Die loten ständig aus, wie sie ihr Geschäftsmodell optimieren können.
    Im Grunde will der Anwender nichts für Software bezahlen, auch nicht mit Adware belästigt werden, was sich beißt, weil die Finanzierung darauf angewiesen ist. Würden jetzt alle AV-Scanner Promotion als PUA brandmarken, müssten die Freewareanbieter mit kommerziellen Hintergedanken, sich ändern, was zwangsweise dazu führt, dass Freeware immer seltener wird oder sie müssten AV-Scanner überlisten oder sie würden sogar an die AV-Hersteller bezahlen, um einen Freibrief zu bekommen. Letzteres würde aber das Vertrauen in die AV-Software zerstören. So ein Geschäftsgebaren kommt immer heraus, wie zum Beispiel bei Adblock Plus mit "acceptable ads".
    Dem Blocker kann man deshalb nicht mehr vertrauen.
    MS hat wohl die Macht, sich nicht schmieren lassen zu müssen. Bei anderen kann die Verlockung zu groß sein.

  2. Dekre sagt:

    Danke Günter für den Beitrag.

    Kleine Korrektur:
    Ich habe im April 2018 die Insallationsdateien für
    #Easeus Backup
    #Easeus Partition
    #Easeus data recovery
    heruntergeladen und installiert. Da war die Welt noch in Ordnung und MSE grünte vor sich hin und sagte alles sauber keine Bedrohung gefunden und das täglich. Bis zum 22.08.2018. Ab dem 23.08.2018 war dann alles anders.

    Erst ab dem 23./28.08.2018 hat MSE (Win7) das bemängelt und wie folgt reagiert. #Bedrohung als PUA :Win32/FusionCore.
    # Komplettlöschung der heruntergeladenen Installationsdateien
    # Löschung des installierten Progammes Data recovery komplett mit allen Dateien,
    # Löschung des exe-Datei des Programms Backup, deshalb dann obiges Bild.

    Ich setzte zusätzlich noch Malwarebytes ein und der bemängelt es nicht. Dann auch Emsisoft Emergency Kit gelegentlich.

    Der verlinkte Artikel von Günter von "Malwarebytes-Forum" ist nicht richtig. Im Malwarebytes-Forum steht dazu nichts. Zumal der Link nicht auf das Malwarebyte-Forum geht. Gibt mal im richtigen Malwarebytes-Forum "Easeus" als Suchbegriff ein, so kommt zwar was, aber nichts konkretes zur Bedrohung, welche Malwarebytes erkannt hat.

    Ich habe im Blog von Dr.Windows ein Kommentar mit Datum Ende August d.J. gefunden, dass jemand das auch festgestellt hat und auch an EaseUS gemeldet habe.

    Jedenfalls blockt MSE /Defender ERST SEIT Ende August 2018 alle Dateien von EaseUS. Hat man den Partitionmanager installiert bekommen, so bleibt dieser unangetastet. Lediglich die Installationsdatei wird bemängelt.

    Das mit den Meldungen von MSE ist manchmal auch sehr merkwürdig. Die Installationsdatei von Digibib-4 (Digitale Bibliothek V 4) wird generell blockiert. Hat man das Programm dann installiert so geht es.

    Man muss doch mal frage, warum die anderen AV-Programme das nicht bemängeln.

    Ich dachte EaseUS ist ein amerikanischens Programm. Da habe ich mal nicht richtig recherchiert und das mit"..US" falsch interpretiert. Wenn es chinesisch ist, so muss man fragen, ob das was mit den US-Zöllen zu tun hat und den Wirtschaftskrieg der USA. Kapersky ist ja schon weg aus den USA. Sofern es auf diese Schiene geht, so ist alles unsicher und das Ganze Spiel mit der Datensicherheit nud Datenschutz geht von vorne los.

    Die Beteiligung am Kundenprogramm kann es nicht sein. Das hat ja fast jedes neue Programm. Zumal bei Easeus Partition Programm die Programme laufen. Unabhängig davon, kann man das im Programm später anklicken und dann auch wieder abklicken. Das hat Acronis und Aomei auch. Zumal Acronis viel aktiver ist.

  3. wela sagt:

    Habe gerade mal meine Partiton Master Pro auf 2 Rechnern aktualisiert. Download sauber, Installation ohne Beifang, keine "bösen" Dateien auf den Rechnern.
    Defender ist ruhig (W10 pro 1803, aktuelle Signaturen von 08.15h ). Boot mit Anti Virus Stick – keine Schädlinge zu finden.

    • Dekre sagt:

      Der Unterschied bei dem Partition Master Free und Pro ist aber mE nicht die Installationsdatei. Da MSE dieses Program nicht gelöscht hat, sondern nur die Installationsdatei brauche ich nur einen Lizenzschlüsse eingeben und ich habe pro. Die gegenwärtige Version ist hier 12.10.
      Mit der neuen Virendefinition vom MSE ging das ganze jetzt wieder los auf Version 1.277.x

  4. Keyuser sagt:

    Man erhält in Verbindung mit Windows 10 ja oft den Ratschlag, dass ein Virenscanner nicht erforderlich ist, sondern im Gegenteil eher Probleme verursachen kann. Man stelle sich vor, jeder befolgt diesen Ratschlag und die kostenpflichtigen Virenscanner verschwinden nach und nach von der Bildfläche. Am Ende hat Microsoft mit dem Defender ein Monopol und bestimmt, was auf deinen Rechner kommt, oder draußen bleibt.
    Ganz ehrlich, diesen Gedanken möchte ich nicht zu Ende denken, da bekomme ich Gänsehaut. Wir sollten uns über die Vielfalt auf dem Markt freuen. Nur so ist ein Service wie „VirusTotal" überhaupt möglich Man kann nur hoffen, dass es diese Vielfalt noch lange gibt.

    • Jo dem kann ich nur bei Pflichten, was Keyuser da schreibt, ich nutze auch schon seit Ewigkeiten einen Fremdviren Scanner und ich weiß auch warum, in aller Regelmäßigkeit schlägt der Windows Defender bei diversen Programmen egal ob installiert oder nicht Alarm zb. bei den Nirsoft Utilities.
      Ich habe gestern eine 3/4 Stunde damit zugebracht an einem Jungfräulichem Windows 10 System eine Ausnahmeregelung für einen Bestimmten Ordner im Defender zu treffen.
      Meiner Meinung nach ist es eine Schande was Microsoft da betreibt und wenn das Tatsächlich so weiter geht baut sich Microsoft da ein echtes Monopol gegenüber Fremdvirenscanner auf, irgendwann gibts unter Windows 10 nur noch den Einheitsbrei was Programme betrifft, alles was Microsoft nicht recht ist wird auch gar nicht erst installiert.

      • Günter Born sagt:

        Das sind sicherlich Argumente, die zu bedenken und abzuwägen sind.

        Aber die Ratschläge, auf einen externen Virenscanner zu verzichten (oder zumindest mal abzuwägen), da MSE und Defender einen vernünftigen Basisschutz bieten, kommen ja nicht von ungefähr. Wenn Leute meinen, sich zig Free-Sicherheitslösungen auf ihr System zerren zu müssen und dann in Foren hilferufend einschlagen, weil was wieder nicht geht, bringt das den AV-Herstellern nix und bestätigt die alte Erfahrung 'weniger ist mehr'.

        Ein guter, kostenpflichtiger Virenscanner kann schon Sinn machen. Aber Thread-Protection ist inzwischen weit mehr. Und wenn ich sehe, was so mancher Hersteller dann da 'verbricht', sollte man schon Fragen stellen dürfen …

        Ansonsten: Im Sinne, wenn keiner Fremd-AV mehr kauft, da gibt es dann ein Monopol. Ich bin da ganz optimistisch, dass das nicht so kommt. Der Desktop, wie er noch in vielen Köpfen herumspukt, ist von abnehmender Bedeutung. IoT, Mobilgeräte und Cloud sind angesagt. Und wenn ich mir da so anschaue, wo die Entwicklung der AV-Anbieter hingeht, zielt es genau auf diesen Bereich. Bisher sehe ich noch keinen Defender im SmartTV vom Aldi, oder in der intelligenten Leuchte von Philips, um es mal platt auszudrücken. Es dürfte imho also auch künftig bei VirusTotal genügend AV-Scanner geben, die von den Herstellern dort angebunden werden. Mag mich aber irren.

        • Keyuser sagt:

          In der Tat, ein weites Feld. So tief wollte ich die Materie am Wochenende nicht beleuchten :)
          Ich wünschen allen ein schönes Wochenende.

          • Du schreibst das ja fast so als hätten uns Fremdvirenscanner nicht all die Jahre bevor Microsoft seinen Defender fest integriert hätte nie vor Schadsoftware geschützt hätten.

            Wer Tatsächlich der Meinung ist das die Pösen Chinesen irgendwelche Daten vom Rechner Klauen geht einfach in die Firewall und entzieht den Programmen die Berechtigung eine Internetverbindung nach hause aufzubauen, mache ich übrigens mit diverser Crapware von Microsoft genauso.

            Wenn man Windows 10 zb. neu installiert und hat Xing im Start werden für diese Ganzen zusätzlichen Apps auch Ausnahme Regelungen in der Firewall getroffen, im Übrigen bleiben die auch nach dem man die Apps deinstalliert hat vorhanden.

          • Dekre sagt:

            Nicht so wild. Das Problem wird nicht richtig erkannt.

            Das Problem liegt darin, dass MS für Ihren Sicherheitssystem keinen Kundensupport hat.
            Bei Malwarebytes gibt es das. Da werden "false positive" noch korrekt bearbeitet und im Forum von Malwarebytes auch vom Hersteller angenommen.

            Das Zweite ist, dass EaseUS das wohl hinnimmt. Das Problem dürfte denen ja wohl nicht entgangen sein. Jetzt ist auch EaseUS mal am Zuge.

            Fremd-AVScanner haben bei mir schon sehr schlechte Dienste geleistet. Doch das ist ein Thema, was hier im Blog schon oft diskutiert wurde. Deshlab bin ich ja bei MSE.

            Grüße und schönes Wochenende

  5. Al CiD sagt:

    Im Endeffekt läuft es auf das vielfach beschworene "Brain.exe" hinaus.
    Eine Meldung von einem Sicherheitssystem, egal von wem auch immer, sollte man nachgehen, nachforschen und überprüfen um dann selbst zu entscheiden, wie damit umgegangen wird.

    Dass jeder sein eigenes Bett vorbereiten möchte und nicht gerne von Dritten gestört wird war schon immer so, nicht erst seit Windows 10… nur dass jetzt halt schärfer geschossen wird.

    "Microsoft First" – ein zur Zeit kursierendes US-Amerikanisches Krankheitssymptom

    Schönes WE
    .

  6. wufuc_MaD sagt:

    es scheint als ob in letzter zeit der windows defender (ehemals MSE) dinge bezüglich des sog. Programms zur Verbesserung der Benutzererfahrung (customer improvement program / ceip) in bewegung setzt, die man während der installation eindeutig ausgeschlossen hat. betrug / be****** / lüge würde ich das nennen – mit schadhaften folgen!

    wenn noch nicht geschehen würde ich umgehend den defender löschen / deaktivieren / abtöten / unschädlich machen (nur für XP'rienced users empfohlen)

    sc delete windefend

    und (/oder)

    [
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
    "DisableAntiSpyware"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
    "DisableBehaviorMonitoring"=dword:00000001
    "DisableOnAccessProtection"=dword:00000001
    "DisableScanOnRealtimeEnable"=dword:00000001
    ]

    als .reg datei mit admin / system / TI rechten ausführen – aber bitte nicht vom desktop! auch da gabs gewisse "improvements" seitens ms die man besser früher als später versteht und berücksichtigt…

    -> @ Al CiD: well spoken, true!

  7. wufuc_MaD sagt:

    mist

    falls was im recycle bin gelandet ist, das war unbeabsichtigt!

  8. Dekre sagt:

    Ich habe gerade gefunden, dass es schon im MS Answer-Forum aufgeschlagen ist:

    siehe hier:
    https://answers.microsoft.com/de-de/protect/forum/all/warnung-vor-aktuellem-download-von-easeus-todo/57e0204d-13e9-4bf0-8d0e-aa1aa3e6770e

    und hier:
    https://answers.microsoft.com/en-us/protect/forum/protect_defender-protect_start-windows_10/cant-get-the-windows-defender-team-to-analyze-a/a5808f7b-7aeb-4fae-8b16-54e3796147df

    Irgendwie schreib aber das A/B-Hörnchen nichts konkretes. Das ist schade. Das Hörnchen hat sich schon immer vor klaren Antworten gedrückt.

    Interessant ist, dass Ingo Böttcher sich da auch eingeschaltet hat., nur das Hörnchen war wohl nicht so gut drauf.

Schreibe einen Kommentar zu Dekre Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.