G Data Behaviour Blocker, Neuer BETA-Test Einstellungen

[dragonmale]

@Metabolit,
so etwas wie DaViDeo z.B. stammt natürlich auch aus diesem Jahrtausend und auf Amazon z.B. wird es ja auch sogar noch angeboten ... In sofern hast Du

[...] und sooo alt bin ich jetzt auch net

natürlich Recht. Der ältere Jahrgang bezog sich, in diesem Fall, auch schon eher auf die 80'er und die damaligen ATARI-Nutzer z.B., denn das erste AntiVirenKit kam, so glaube ich, 1987 auf den Markt.

[dallas7]

@G Data Dev GB: Thank you for your answers!

I only wonder about my English version 20.1.48.0 when there are screen shots of an English 20.2.4.1 in post #62 in this thread. There is something wrong.

To lower the danger of false positives a Programm will usually need to have more than one single potentially malicious behaviour to provoke an alert from the behaviour blocker. It's one of the harder challenges to find a good balance here.

No. I have been using IS2010 for over 6 months. Every time an app wants to install any kind of startup, I get an alert to allow or dismiss. Like one just yesterday...
Sandboxie Control (SbieCtrl.exe) is attempting to change the system configuration.
This entry incorporates a new application to be run upon system start-up.
An attempt is being made to create a link to Sandboxie Control(SbieCtrl.exe).
Publisher: SANDBOXIE L.T.D
The configuration change has been allowed.
I installed the same app on my test system running the beta - no alert.
The beta configured exactly the same way as on my other two non-beta systems.
Again, something is wrong.

I will be removing the beta from my test system. Special thanks to the G Data team for presenting the beta to the community. I am looking forward to IS2011. Good luck!

[Virusscanner]

@Solaris

Ich bin da sehr skeptisch das Sonar2 so wies ist nur als ein gekauftes Modul reingeklatscht wurde , ich denke das Sonar2 wurde erst von Symantec noch nachträglich richtig aufgeblasen mit den 400 Verhaltensmustern und damit das ganze dann noch richtig selbstentscheidend ohne Userinteraktion funktioniert . Sprich da wurde schon noch Arbeit reingesteckt.

Sehr wahrscheinlich war Sonar2 besser, BEVOR Symantec es gekauft hat. Bisher hat Symantec noch nie ein Produkt gekauft und es danach verbessern können. Ganz im Gegenteil!

[markus17]

So, hab gerade beim Test des BB ein Sample entdeckt, das auch ohne "Autostart-Aktivitäten" geblockt wird.

Gründe (kurz zusammengefasst):
- Das Programm hat Aktionen im Namen eines anderen Programmes ausgeführt.
- Packer wurde auf Programmdatei angewandt, mögliche Verschleierung von schädlichen Aktivitäten.
- Netzwerkverbindung wurde hergestellt.

So wie es aussieht hat sich doch etwas getan. Mal sehen, was alles von Julians 500-Samples Testset (die xte^^) übrig bleibt.

[Voyager]

Du musst aber sagen was nicht erkannt wurde

[markus17]

Hab jetzt nicht alles notiert ... immerhin sind über ~80 nicht signaturenbasierend erkannt worden. Ich hab mal auf die schnelle die Hälfte in einer VM gestartet und da hat G Data ca. 5-10 Samples verhaltensbasierend erkannt. Morgen mache ich mal den Gegentest mit der "alten" 2010er Version.

Noch ist das ganze Ausbaufähig und ich muss GDATA@rokop auch noch ein zwei Samples schicken .... Bei einem wird wie schon weiter vorne einmal, nur ein Teil vom Verhaltensblocker geblockt und beim anderen findet der Signaturenbasierende Scanner nix, statet man das Sample, dann meckert der Wächter. (keine aktive Verbindung ins Internet)

[Virusscanner]

Ist wohl nichts für einen mit Emsisoft Malware IDS (im paranoid Modus) verwöhnten User.

Dumm nur, dass Emsi selbst ein Schädling ist. Nach der Installation crasht der Explorer, sobald man Computer>Rechtsklick>Verwalten wählt.

Und wenn man es behebt, ist nach jedem Programmupdate das Problem wieder da.

Der Schädling von Emsi:
a-squared Anti-Malware
Shell Extension
Yes
Context Menu
a-squared Anti-Malware shell extension 4. 5. 0. 1
a-squared Anti-Malware Emsi Software GmbH
No No No No No No
C:\Program Files\a-squared Anti-Malware\a2contmenu.dll
{AB77609F-2178-4E6F-9C4B-44AC179D937A}
11.11.2009 17:44:58 11.11.2009 17:45:16
No
AllFilesystemObjects, Drive, Folder, opensearchfilefolderresult
A
224'416

Naja, die M-IDS an sich ist schon vorbildlich.

[G DATA@rokop]

@G Data Dev GB: Thank you for your answers!

I only wonder about my English version 20.1.48.0 when there are screen shots of an English 20.2.4.1 in post #62 in this thread. There is something wrong.

The screenshots belong to the regular 2010's version.
The posting doesn't really belong into this thread.
The special version number 20.1.48.0 is correct for the beta, although the beta is based on 20.2.4.1.

No. I have been using IS2010 for over 6 months. Every time an app wants to install any kind of startup, I get an alert to allow or dismiss. Like one just yesterday...
Sandboxie Control (SbieCtrl.exe) is attempting to change the system configuration.
This entry incorporates a new application to be run upon system start-up.
An attempt is being made to create a link to Sandboxie Control(SbieCtrl.exe).
Publisher: SANDBOXIE L.T.D
The configuration change has been allowed.
I installed the same app on my test system running the beta - no alert.
The beta configured exactly the same way as on my other two non-beta systems.
Again, something is wrong.

I will be removing the beta from my test system. Special thanks to the G Data team for presenting the beta to the community. I am looking forward to IS2011. Good luck!

Some users where irritated by notifications regarding new start-up entrys of known good apps.
So the new bb collects even more events and then decides if an app's behaviour is malicious or not.
The single event of creating a new start-up entry during installation isn't enough to flag an app as probably bad.

Regards,
G DATA@rokop

[Jav.SEC.21]

Tritt während des aktuellen Windows Update auf/Installation des Windows-Tool zum Entfernen bösartiger Software,
mrtstub.exe wird wohl eine Fehlanzeige sein, aufgrund der Aktualisierung/Änderung des Tools.

*** Aktionen ***
Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.

Microsoft Windows-Tool zum Entfernen bösartiger Software:

Wenn Sie das Windows-Tool zum Entfernen bösartiger Software ausführen, erstellt das Tool normalerweise ein temporäres zufällig
benanntes Verzeichnis im Stammverzeichnis Ihres Computers. Dieses Verzeichnis enthält mehrere Dateien sowie die Datei "Mrtstub.exe".
Der Ordner wird in den meisten Fällen automatisch gelöscht, nachdem die Ausführung des Tools beendet ist oder nachdem ein Neustart erfolgt ist.
Unter Umständen wird der Ordner jedoch nicht automatisch gelöscht. In diesen Fällen kann er manuell gelöscht werden,
ohne dass dies negative Auswirkungen auf den Computer hat.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 09.02.2010, 21:30

Angehängte Datei(en)

 gdata_scan.JPG ( 52.27KB ) Anzahl der Downloads: 52

 

[markus17]

Unter Vista SP2 32 mit der aktuellen Version von G Data (nicht BB-Beta) gibt es den Fehlalarm nicht. Unter XP SP3 mit der Beta von G Data bekomme ich den Fehlalarm ebenfalls nicht. Kann den Fehlalarm sonst wer bestätigen bzw. nicht bestätigen?

Der Beitrag wurde von markus17 bearbeitet: 09.02.2010, 22:23

[Tiranon]

Hallo
also ich hatte KEINE Meldung von GDATA BB als ich bei meinem Win7 x64 Heute meine Updates+ Windows-Tool zum Entfernen bösartiger Software installiert habe. Und beim manuellen Starten von Mrt.exe kam auch keine Meldung.

Liebe Grüße

[Virusscanner]

Tritt während des aktuellen Windows Update auf/Installation des Windows-Tool zum Entfernen bösartiger Software,
mrtstub.exe wird wohl eine Fehlanzeige sein, aufgrund der Aktualisierung/Änderung des Tools.

*** Aktionen ***
Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.

Microsoft Windows-Tool zum Entfernen bösartiger Software:

Habe soeben das Update ebenfalls auf meinem Testsystem (keine VM) ausgeführt und es ist keine Meldung erschienen. Insofern wird auf deinem Testsystem etwas nicht ganz i.O. sein. VM?

[olli]

Yep, kann ich auch bestätigen!

Kein Fehlalarm des BB.

Bis denne
Olli

[Chrizzz]

Habe soeben das Update ebenfalls auf meinem Testsystem (keine VM) ausgeführt und es ist keine Meldung erschienen. Insofern wird auf deinem Testsystem etwas nicht ganz i.O. sein. VM?

Bei mir ebenfalls, G Data verhielt sich ruhig.

[Jav.SEC.21]

Das ist merkwürdig.

Testsystem: (keine VM)
Betriebssystem: Windows 7 64-Bit
G Data Programmversion: 20.1.48.0
Erkannte Software: Microsoft® Windows®-Tool zum Entfernen bösartiger Software (KB890830) x64
http://www.microsoft.com/downloads/details...e7-6349f4effc74

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 10.02.2010, 17:14

[Jav.SEC.21]

Bei mir erkennt G Data ziemlich häufig harmlose Programme
als Schädling. Da bei euch diese Fehler ja nicht auftreten,
wird es wohl an meinem Testsystem liegen.

Gerade Adobe Flash Player installiert und ...

Angehängte Datei(en)

 Unbenannt.JPG ( 35.32KB ) Anzahl der Downloads: 44

 

[Voyager]

@Jav.SEC.21

Warum erkennt Gdata keinen Herrausgeber/Anbietersignatur in dem File ?


http://www.abload.de/img/2ia3c.jpg

[Jav.SEC.21]

Warum der Hersteller nicht erkannt wird weiß ich nicht, ist wahrscheinlich noch in
der BETA nicht vervollständigt. Ich werde G Data mal neu aufsetzen um festzustellen
ob die Fehlmeldungen immer noch auftreten.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 11.02.2010, 20:49

Angehängte Datei(en)

 Unbenannt.JPG ( 33.76KB ) Anzahl der Downloads: 18

 

[scu]

Bei mir erkennt G Data ziemlich häufig harmlose Programme
als Schädling. Da bei euch diese Fehler ja nicht auftreten,
wird es wohl an meinem Testsystem liegen.

Gerade Adobe Flash Player installiert und ...

@Jav.SEC.21

Warum erkennt Gdata keinen Herrausgeber/Anbietersignatur in dem File ?


http://www.abload.de/img/2ia3c.jpg

Vielleicht weil es 2 verschiedene Dateien sind und die von Jav.SEC.21 evtl. garnicht signiert ist?

Was sagt Windows denn? Gibt es bei einem Rechtsklick auf die Datei einen Karteireiter "Digitale Signaturen"?

[Jav.SEC.21]

Neuinstallation von G Data hat die Fehler nicht behoben.
Dann liegt es wohl an was anderem.

@ scu:
Eine digitale Signatur ist enthalten. Ich hab die Installation
noch einmal ausgeführt, jetzt wurde allerdings der Herausgeber
erkannt.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 11.02.2010, 21:22

Angehängte Datei(en)

 Unbenannt.JPG ( 24.71KB ) Anzahl der Downloads: 21
 Unbenannt.JPG ( 16.83KB ) Anzahl der Downloads: 17