G Data InternetSecurity 2012, Großer Beta-Test - Feedback willkommen! Einstellungen

[Gast_@ndreas_*]

Hi,

es wurde bereits darauf hingewiesen, dass keine saubere Deinstallation mittels des momentanen G Data Cleaners möglich ist ... Eine Rückmeldung kommt nicht oder habe ich überlesen?

[nemea]

So, noch ein Problem mit Webschutz,

bevor ich nun das Update installiere und das Feature suche (wobei im Changelog ja schon eins steht ... Auswahlmöglichkeit beim Hintergrundscan ... mal sehen was man auswählen kann).



Aber zum Problem, betrifft nur IE 8 bei mir (Screenshots folgen gleich):

Die Seite wurde nie fertig geladen, bis ich Webschutz ausgestellt habe:

http://www.swiffer-testwochen.de/code-einl-sen

(es wird auf HTTPS:esc.cocomore.com.. gewartet)


IE






Der Beitrag wurde von nemea bearbeitet: 21.01.2011, 17:05

[G DATA@rokop]

Hi,

es wurde bereits darauf hingewiesen, dass keine saubere Deinstallation mittels des momentanen G Data Cleaners möglich ist ... Eine Rückmeldung kommt nicht oder habe ich überlesen?

Hi,

wir überlesen nichts - wir antworten mangels Zeit nur nicht auf alles.

Die Deinstallationsroutine wurde in dem neuen Setup überarbeitet - es wird jetzt sauber deinstalliert.
Der AVCleaner wird demnächst ergänzt.

Gruß,
G Data @ Rokop

PS: TotalCare erscheint in der nächsten Woche, verzögert sich leider noch etwas...

[Gast_@ndreas_*]

Alles klar!

[Ostseefischer]

PS: TotalCare erscheint in der nächsten Woche, verzögert sich leider noch etwas...
[/quote]

Super, danke für die Info.

[Gast_@ndreas_*]

Wurde auch schon angesprochen: Ergänzung des PopUps bei einem Viren-Fund um die Auswahl "ignorieren".
Besteht da Hoffnung?

[nemea]

So, neue Version:


Direkt installieren bei bestehender Installation ging schon mal nicht:



(auch nicht wenn Setup explizit "als Admin" ausgeführt wurde)

Win7 x64




"Wurde auch schon angesprochen: Ergänzung des PopUps bei einem Viren-Fund um die Auswahl "ignorieren"."

Ach handelt es sich vielleicht um das Überspringen? Das wäre gut,erst mal muss ich es installiert bekommen ...



Edit:

Sooo, manuelle Deinstallation über Systemsteuerung (Einstellungen / Quarantäne NICHT löschen) --> Reboot --> Installation
hat funktioniert.



Tray (will nun auch nicht mehr Viren aktualisieren)



Firewall Regeln übernehmen hat ja FAST geklappt, bahnt sich da ein Import/Export an?


(Bei Deinstallation hatte ich gewählt, dass Einstellungen / Quarantäne NICHT gelöscht werden sollen, Ausnahmen für VScan wurden übernommen)

• Erstes manuelles Signatur-Update dauerte seeeeehr lange ... dafür war die Überprüfung beim 2. manuellen Signatur-Update direkt hinterher sehr schnell fertig.
• Webschutz + IE8 + http://www.swiffer-testwochen.de/code-einl-sen Problem besteht immernoch.

Wächter & Verhaltensüberwachung





Quarantäne lügt, ich hab das Senden der Mail abgebrochen, bei der Abfrage des Passworts zur Authentifizierung am SMTP (Thunderbird), aber hätte er nun alle markierten Dateien eingeschickt?



Der Beitrag wurde von nemea bearbeitet: 21.01.2011, 19:09

[devaletin]

Update auf die 22.0.0.59 lief gerade problemlos durch...
Danach Neustart.....

Bin am testen

[r0samunde]

Bei mir verlief das Update auf die 22.0.0.59 auch problemlos.
Das erste manuelle Signatur-Update dauerte bei mir jedoch auch lange. Die zweite Update-Ausführung war aber wieder schnell.

[G DATA@rokop]

Leider ist eine Datei noch mit einem kleinen Fehler behaftet - nichts kritisches, aber so würde das angekündigte "Wunschfeature" nicht in allen Variationen funktionieren.
Bitte diese Datei herunterladen und bei geschlossener GUI nach ...\Programme\G Data\InternetSecurity\AVK kopieren.

Gruß

G DATA@rokop

[tmas]

Update von der 22.0.0.43 auf Version 22.0.0.59 hat ohne Schwierigkeiten geklappt. Outlook-Plugin stürzt bei Öffnen von Outlook 2007 in der Tat nicht mehr ab. Dennoch braucht das Anti-Spam-Plugin noch ein paar Korrekturen Bei mir werden

- die ungelesenen Outlook-Mails nicht geprüft und nicht in den "AntiSpam-Ordner" verschoben
- der AntiSpam-Ordner nicht automatisch angelegt
- die Nachrichten zwar als "SPAM" klassifiziert aber nicht verschoben
- beim Training der Nachrichten die neu als SPAM klassifizierten Mails nicht in den AntiSpam-Ordner verschoben
- Wenn ich über die Hauptoberfläche in das Menü Spamschutz --> Protokoll SPAM oder Kein Spam einsteige und einzelne Messages neu klassifiziere (z. B. von Blacklist auf Whitelist dann meldet GDATA zwar dass die Nachricht in die Whitelist aufgenommen wurde. Nach drücken des Aktualisieren-Buttons bleibt die Nachricht aber im Protokoll erhalten. ---> müsste aus meiner Sicht aus dem Protokoll gelöscht werden oder ein Hinweis erscheinen, der anzeigt, dass diese Mailadresse/Domain jetzt in der in der Whitelist steckt. Ansonsten verwirrt das für mich.

Es sind alle Haken gesetzt bei "Ungelesene Mails bei Programmstart prüfen" (Anti-Virus --> E-Mail-Prüfung und Anti-Spam --> Anti-Spam Einstellungen

Ansonsten läuft bei mir bis jetzt alles rund.

gruß
tmas

[Gast_@ndreas_*]

Öhm, welches Wunschfeature war das doch gleich?
Könnte mal einer petzen?

[CHEF-KOCH]

Erfahrungsbericht vom Upgrade (bzw. Neuinstallation) von 22.0.0.43 auf die Version 22.0.0.59 Beta


Positiv:
- Die Neuinstallation klappte wunderbar, wobei man sagen muss das G Data bei vorhandenem G Data bei mir nicht nachfragen wollte das ich die alte Version erst deinstallieren sollte
- Nach dem ich dann das OS und G Data auf dem Test-PC aufgesetzt hatte, ging das erste Singnaturupdate recht fix
- Das Shredder Desktopicon wurde entfernt, nun gibt es nur das Kontextmenü (allerdings noch immer ohne Icon)
- IE 9 und der G Data Webfilter Integration klappt
- Ein manuelles Update wird jetzt richtig erkannt von der Zeit
- Gui-Bug gefixt auf der G Data Hauptseite (Virenschutz-Reiter)
- G Data IS 2012 Beta wird vom Sicherheitscenter erkannt
- Installation ging fix (ca. 8 Minuten)
- BootCD funktioniert wie sie soll, sehr gut, konnte beim schnellen Test keine großen Fehler sehen
- KIndersicherung funktioniert wunderbar, allerdings sind mir die Regeln etwas schleierhaft ?!

Negativ:
- Die Referenzprüfung in den Firewall-Einstellungen lässt sich noch immer nicht aktivieren
- Bei neuen Anwendungen wurde ich trotz Einstellung, nicht nachgefragt ob ich es blocken möchte oder nicht (Anwendung Miranda IM)
- Wächterausnahmen lassen weiterhin doppelte Laufwerksauswahl zu
- Evercookie Bereinigung wurde noch nicht integriert (okay, verstehe ich, aber ich hoffe das kommt noch)
- Wächterwarnungen bzw. Virusmeldungen lassen sich weiterhin nicht ignorieren (keine Option dafür)
- Arcronis 2011 hat weiterhin "Performanceprobleme" mit G Data
- Anti-Spam SpamFilter, OutbreakShield, Internet Einstellungen fehlt die Region die zum Beispiel bei Antivirus - Updates - Internet Einstellung auch vorhanden ist, nicht gefixt
- Weiterhin kein Passwortschutz für die Einstellungen
- Crashdumps und Reports können weiterhin nicht intern versendet werden (nur Outlook) und dann auch nicht die wirklich wichtigen Sachen (wie eben zum Beispiel Dumps)
- Import & Exporteinstellung feht mir immer noch, gerade bei Firewallregelsätzen
- Die Bugreportseite geht weiterhin mit Opera nicht (nur bei mir?)
- Erster Fullscann dauert immer noch ewig, es fehlt die angesprochene Funktion von mir
- USB-Treiber bei Boot-CD für das unterstützen von Wlan-USB-Sticks
- Einstellung ab wann der Hintergrund-Scan startet (5,10,15,20 Min nach erkanntem Leerlauf)
- IE9 Integration klappt zwar, aber es wird dann keine Seite mehr zu Ende geladen, wenn dann der Webschutz dazu aktiviert wurde!
- Kindersicherung, folgende Seiten bzw. Links gehen nicht: ORF-Kinder-Seite, Sendung zu der ZDF-Sendung


Neutral:
- Es gab bei mir keine Option das ganze über das Web updaten zu lassen
- G Data Bildschirmschoner wird weiter als Standardbildschirmschoner gesetzt
- Performance ist "subjektiv" gut und stabil
- Bootvorgang ist okay


Bemerkung:
Ihr seit auf dem richtigen weg, weiter so! Das die TotalCare noch nicht da ist, stört überhaupt nicht, wie gesagt lieber noch weiter an den Funktionen und fixes arbeiten und erst dann die TotalCare raus hauen.

Mfg
CHEF-KOCH

Der Beitrag wurde von CHEF-KOCH bearbeitet: 21.01.2011, 22:05

[Julian]

K.A. wie die Kerneltreiberimplementierung von ProcessHacker auf x64 aussieht...da setzt ja das OS doch gehörige Einschränkungen

Seit Version 2.10 kommt Process Hacker auch auf Windows x64 mit signiertem Treiber daher und kann deshalb auch dort so ziemliche jede Anwendung ausknipsen.

Selbst dann: Welche Malware macht das, vorhandene installierte Kerneltreiber suche und ausnutzen?

Ich möchte erst mal von einem Experten hören, ob das wirklich so einfach möglich ist.

@Tarus, könntest du das bitte belegen?
Wenn nicht, können wir den Entwickler (wj32) fragen. Wäre vielleicht eh besser.

Und per Signatur unerkannte Malware die selbst versucht Kerneltreiber zu installieren sollte doch für den BB kein Problem darstellen.

Sofern die Malware nicht TDSS heißt...

[CHEF-KOCH]

Der ProcessHacker Source steht doch offen jedem zur Verfügung. Der Treiber ist zwar nun signiert, das hat aber nichts damit zu tun das er unter 64-Bit alles ausknipsen kann. Es steht doch eindeutig da das er kompatibel gemacht wurde für nativ 64-Bit. Außerdem steht klar in der Feature-Liste:

- (32-bit only) Bypass almost all forms of process protection
- (32-bit only) Find out what a thread is doing, and what objects it is waiting on
- (32-bit only) Set handle attributes - Protected and Inherit

[Julian]

Egal.
Frag ich mal andersrum: Welches AV, HIPS etc. kann der PH auf x64 nicht killen? Gdata ist keine Ausnahme.

Das Programm installiert nen Treiber, der es erhöhte Rechte gewährt, und fettich.

[CHEF-KOCH]

Das spielt doch überhaupt keine Rolle was er killt oder nicht, so lange er es nicht schafft das man ohne Administrative Rechte es killen kann, ist die Welt doch in Ordnung. Und wenn er es schaffen würde, würde ich das eher an Microsoft übersenden und nicht G Data, da dann die Protection komplett ausgehebelt wäre. Da der Source wie gesagt offen ist, wäre es ein leichtes das zu fixen. Ich schau mir mal den Source in Ruhe an und sag Bescheid was exakt Sache ist und was nicht, hier gibts aktuell zu dem Thema viele falsche Informationen dazu.

Der Beitrag wurde von CHEF-KOCH bearbeitet: 21.01.2011, 21:15

[Julian]

Das spielt doch null Rolle was er killt oder nicht, so lange er es nicht schafft das man ohne Administrative Rechte es killen kann ist die Welt doch in Ordnung.

Ich hab nicht gesagt, dass die Welt nicht in Ordnung ist.
Allerdings finde ich nicht, dass sich ein AV von jedem Programm killen lassen sollte, das Admin-Rechte hat. Etwas besser ist der Gdata-Selbstschutz schon.
Es geht beim PH um einen Treiber, und nicht um Admin-Rechte. Der Treiber ist signiert, KIS, Outpost etc. erlauben sogar dessen Installation ohne Nachfrage.
Deswegen ist alles in Ordnung, so lange Gdata nicht bei Malware-Treibern auf x32 genau so reagiert. Ist auf x64 wegen der erzwungenen Treiber-Signatur aber auch wieder egal, so lange der MBR geschützt wird (Wird er? Mal testen...).

Und wenn er es schaffen würde, würde ich das eher an Microsoft übersenden und nicht G Data, da dann die Protection komplett ausgehebelt wäre. Da der Source wie gesagt offen ist, wäre es ein leichtes das zu fixen.

Es besteht kein Problem, welches von MS gefixt werden müsste.
Kernelmode ist Kernelmode.

[SLE]

Wie schon gesagt: Wenn ein bekannt, vertrauenswürdiges Programm (mit sogar signiertem Treiber), das ich auch noch selbst starte das Programm xy killen kann - ist doch alles Ok. Wäre doch fast schon doof wenn hier irgendein Selbstschutz versucht zu stänkern.

Das ausnutzen mittels einer Fremdsteuerung wäre interessant und blockierwürdig aber da fehlt der Testcase.

Sofern die Malware nicht TDSS heißt...

Also hier reagiert der verbesserte BB nicht?

[CHEF-KOCH]

Ich möchte jetzt eigentlich keine Diskussion vom ProcessHacker, aber ich kläre es mal auf. Der ProcessHacker, kann ohne Admin Rechte nix von G Data beenden (zu mindestens nicht die Sachen worauf es ankommt). Da man da erst zustimmen muss, ist das eh egal, da G Data ja schon das Downloaden und ausführen von "Schadcode" verhindern soll.

Dann zum Treiber selbst.

Some handles cannot be displayed by a user-mode program like Process Hacker; this option enables KProcessHacker which allows Process Hacker to display all handles and bypass rootkits/security software. If enabled, it will be loaded the next time Process Hacker is started. This currently has no effect on 64-bit systems.

Der letzte Satz ist entscheidend. Ich gebe zu die Helpfile ist nicht auf die aktuellste Version angepasst worden, aber! hier gibt es immernoch limitationen (auch mit dem dirty mode), da man folgende Sachen kann/nicht kann:

* Bypassing security software and rootkits in limited ways
* More powerful process and thread termination (*)
* Setting DEP status of processes
* usw. ~ cut an der Stelle

Da steht in eingeschränkten Weg, dazu zählt das man schon exklusiven Zugriff auf die Hardware bzw. IPC hat. Und selbst wenn du das abschiesst startet sich G Data neu, was dir nix bringt im Endeffekt. Wenn du dir die thread.c anguckst, sowie process.c und vm.c wirst du verstehen was genau vor sich geht und das es sehr sehr eingeschränkt ist.


Es gibt weit aus gefährlichere Sachen worüber ich mir mehr Sorgen machen würde, wenn schon die Sicherheit angesprochen wird.

Mfg
CHEF-KOCH