@Mostick
Tu' mir doch mal kurz den Gefallen und versuche EICAR zu downloaden. Blockiert FS den Download der .com ?
http://meineipadresse.de/html/testvirus.php

Hier wird der Download der .com blockiert.

@Aasblume

Test mit der .com über "standard protocol http"

 http1.PNG ( 10.36KB ) Anzahl der Downloads: 1



 http2.PNG ( 25.19KB ) Anzahl der Downloads: 13




Test mit der .com über "secure, SSL enabled protocol https"

 3.PNG ( 64.73KB ) Anzahl der Downloads: 11




Wird beides geblockt.

Gruß + einen guten Rutsch,

Thorsten

Hallo

Unter Eica.org wurde auch bei mir der Download blockiert.
Allerdings unter der Adresse von Aasblume reagiert FS nicht. Die Datei
kann geladen werden.

LG Rolf

Aasblumes Adresse übersehen
wird bei mir trotzdem geblockt mit FSIS

Hi

Also es verhält sich so:

Beim 1.Download der Eicar von der Standardseite entfernt der HTTP-Scanner die Bedrohung automatisch und zeigt ein Infofenster rechts unten am Bildschirm an.

Trotzdem ist es möglich die Datei anschließend herunterzuladen, wenn man auf speichern drückt.
Diese Datei ist aber bereinigt. Sieht man im nachträglichen On-Demand-Scan und beim Upload auf VirusTotal: 0/41


Beim 2.Download des Files von der Standardseite zeigt der Webscanner kein Infofenster mehr an, die Datei lässt sich ebenso herunterladen. Aber auch diese ist desinfiziert und beinhaltet keinen schädlichen Code mehr.
Erst bei einer neuen Firefox-Session wird der erste schädliche Download wieder per Infofenster angezeigt. Ich nehme stark an, dass das mit der Flood-Kontrolle des Programms zutun hat.
Beispiel: Ich besuche eine schädliche Seite, die permanent ein schädliches Script ablegt. F-Secure erkennt die Bedrohung und speichert sie im Cache. Es werden folglich für die gleiche Session nicht x-Warnmeldungen ausgegeben, sondern im Folgenden still blockiert/bereinigt etc.

Zu @Aasblumes Seite:


Gleiches Spiel.
Beim zweiten Download keine Warnung mehr, aber trotzdem wird das File desinfiziert und gelangt nur Clean auf den PC.

Gruß,
Solaris

Der Beitrag wurde von Solaris bearbeitet: 31.12.2009, 15:49

Hallo,

wenn ich die Datei von der angegebenen Seite von Aasblume lade, kommt
kein Hinweis auf einen Virus. Ich kann die Datei laden und abspeichern.
Eine Überprüfung bei VT ergab keine gereinigte Datei.
Bei den Einstellungen wurde Web Datenverkehr scannen hinzugenommen und wie bei der
Faq auf der Homepage die Einstellung für Netzwerk übernommen.
Wenn hier nicht der Testvirus erkannt wird, was kann noch unerkannt bleiben?

LG Rolf

Bei mir verhält es sich anders. Ich klicke auf die Datei, kommt PopUp wie in meinem Bild oben. Drücke ich dann auf Speichern kommt das PopUp wieder bzw. bleibt. Beim 2. mal auf Speichern kommt dann das:

und es wird keine Datei auf dem Desktop hinterlassen. Vielleicht liegts am IE.
EDIT: Frisches System, Standardeinstellungen.

Der Beitrag wurde von Xlice bearbeitet: 31.12.2009, 15:59

Hi Rolf!
Das darf in der Tat nicht so passieren. Was geschieht nach einem Browser-Neustart bzw. Browser-Wechsel? Wird die Datei immer noch nicht erkannt?


Du hast den HTTP-Scanner nicht aktiviert. Daher springt sofort der OnAccess-Guard an (siehe Dein Infofenster) und löscht automatisch. Daher hast Du keine Datei auf dem Desktop.
Dieses ist das normale Prozedere, selbst bei aktiviertem Webscan. Sollte die Datei vom Webscanner nicht automatisch bereingt worden sein, meldet sich der Guard. So ein Fall hatte ich allerdings noch nie. Webscan und Guard waren von der Erkennung immer gleich stark (etwas anderes würde mir auch Sorgen machen)

Der Beitrag wurde von Solaris bearbeitet: 31.12.2009, 16:10

-schon beim ersten Download wurde bei mir kein popup angezeigt, EICAR gedownloaded. Deshalb bin ich ja Mißtrauisch geworden, da ich EICAR (und den Trojan Simulator) immer direkt nach einer AV/IS Intallation teste, um die Installation an sich auf Richtigkeit zu testen.
-ich kann EICAR beliebig oft downloaden, nach Neustart des FF sowie des Rechners . Jedesmal wird anschließend beim scannen der Datei EICAR erkannt und gelöscht.

@Solaris
Dein beschriebenes Problem mit FF und NoScript: http://www.rokop-security.de/index.php?s=&...st&p=295987
Habe ich nicht! Die Seite wird mit und ohne NoScript sofort, ohne Download blockiert.
Für mich (wieder) ein Beispiel, dass FS auf jedem Rechner unterschiedlich läuft......wobei ich ja da diesmal zu den "glücklichen" gehöre

So, grade wollte ich noch mal den Download mit EICAR testen, um dann einen Snapshot der Bereinigung zu schießen, damit man sieht, dass da wirklich jedesmal keine desinfizierte Datei runtergeladen wird.......beim manuellen scannen ist FSIS diesmal mit (irgendeiner) Fehlermeldung einfach abgestürzt

Ich starte dann mal neu.........

@Solaris

Nach jedem Neustart des FF kann ich die Datei speichern und sie wird bei VT als
Virus erkannt.
Bei dem IE wird der Download jedesmal blockiert wie es sein soll.

Rolf

So, Neustart gemacht, der Download war ja schon im Ordner, und....
 Unbenannt.PNG3.PNG ( 26.35KB ) Anzahl der Downloads: 16

Ich könnte also einen Schädling beliebig oft runterladen

Schließe mich dem an, dass das popup Web-Datenverkehr-Scaning im IE8 funktioniert. Scheint also ein Problem mit FF zu sein (Sofort erinnere ich mich an FF und Norton, damals, und wie Norton runtergeputzt wurde ).
Bei mehrmaligem Download erscheint zwar jedesmal das popup, EICAR läßt sich runterladen, Datei ist aber bereinigt. Also so, wie Solaris schon sagte
Was lernen wir daraus:
Solaris nutzt den IE und der Web-Scanner im FF......bleibt abzuwarten

Das ist hundertprzentig ein Support-Ticket wert. Kann das vielleicht an der 64bit-Variante liegen? Unter 32 kann ich das mit beiden Browsern auf frischem System nicht reproduzieren.



Die Screenshots von mir zeigen den FF. IE benutze ich nicht. Wie gesagt, manuell herunterladen kann ich eicar trotz Webscan-Pop-Up, aber sie ist jedes mal bereinigt. Hab über 10 Versuche gemacht und alle Samples anschließend auf VT hochgeladen: alle clean!

Gruß,
Solaris

Jetzt mal mit "richtiger" Malware.
Die wcap.exe wird vom HTTP-Scanner als Trojan.Generic.IS.104965 erkannt.


Habe trotzdem das File manuell heruntergeladen und es bei VT scannen lassen:


Wieder clean.
Getestet unter: Windows 7/32, FF (neueste Version)

Dass das Problem sich auf 64bit einschränken läßt könnte schon sein, wenn man mal die Betriebssystem-Beschreibungen der betroffenen liest. Läßt sich aber (vielleicht) einfach überprüfen: 32bit Tester ran!  danke.gif ( 5.03KB ) Anzahl der Downloads: 1

Ja, wäre super wenn jemand Lust und Zeit hätte, meine Ergebnisse vom 32bit-System zu bestätigen. Dann könnten wir das ganze schon einschränken.

@Solaris

Habe den Support angeschrieben und hoffe, dass man dies auch in deutsch
erledigen kann.
Der Trojaner in der wcap.exe wird auch bei mir erkannt und entfernt.

Mit der Eicar.com nochmal gestestet und keine Meldung bekommen.

LG Rolf

Der Beitrag wurde von reuro bearbeitet: 02.01.2010, 11:00

Hi Rolf
Mir ist da noch etwas eingefallen. Passiert irgendetwas, wenn Du die heruntergeladene eicar.com in *.exe umbenennst?

Falls es Schwierigkeiten mit dem deutschen Support-Ticket geben sollte, kannst Du mir gern eine PM schicken.

Gruß,
Solaris

Hallo Solaris

Vor ein paar Minuten bekam ich beim Download der Datei eine
Meldung über einen gefundenen Virus.

Weitere Downloads kommen ohne Meldung, sind aber sauber.
mal sehen, was als nächstes passiert.

Falls die Probleme wieder auftreten, werde ich die Datei mal umbenennen.

LG Rolf