G Data Behaviour Blocker, Neuer BETA-Test Einstellungen

[SLE]

Voyager, meinst du das ernst?
Hattest du erwartet, dass G Data eine selbst entwickelte Verhaltensüberwachung als Beta-Version zum testen zur Verfügung stellt, die auf Anhieb besser ist als Symantecs Sonar?

Also ich finde die Anmerkungen von voyager und xlice eigentlich die einzigen produktiven, interessanten und passenden im Thread.

Ja es ist eine BETA und kann Fehler enthalten, aber das Ding soll dennoch irgendwann einen Verhaltensblocker darstellen, d.h. schädliches Verhalten erkennen OHNE das dafür eine Signatur vorliegt. Von daher ist es doch am sinnvollsten zu testen, ob es das macht und wo der BB dahingehend schlicht und einfach, zumindest zum jetzigen Zeitpunkt, versagt.

Von daher sind das die wirklich interessanten und aufschlussreichen Tests und nicht Aussagen wie "ich merke keine Verzögerungen" etc.. Sowas ist zwar nicht ganz irrelevant aber in einem frühen Entwicklungsstadium schon.

[quertiy]

gdfwsvc.exe is fuckind my proc as you can see in the picture. this happens only in windows 7 x86, in vista it worked fine. a half an hour it works well, but suddenly it spykes up to 50% with no apparent reason, and stays there sometimes for 10 hole minutes. i just can't understand how this is not fixed by now.

and my proc is already fucked up, and when this happens sometimes my laptop shuts down cause of the temperature. for that i have to keep my firewall disabled. and i'm not the only one that has that problem.

edit: i have looked into the logs, and the log is behaving the same as when the firewall works well, nothing more is happening there. i cannot seem to tell what it's doing that's using 50% of my proc. it seems so random.

Der Beitrag wurde von quertiy bearbeitet: 04.02.2010, 20:43

[Gizmo_H]

Hallo Zusammen,

ich habe die Beta-Version auch mal auf meine VM installiert.

Win XP Home SP 3, 32 bit

Die Installation verlief reibungslos, ohne Fehler.
Wobei ich sagen muss, dass es schon schneller gehen sollte. Es ist schon recht zeitaufwändig.

Habe dann einige Test durchgeführt (aus samples - exe usw.). Leider wurde es dann eher von
dem signaturbasierenden Wächter gefunden, sodass ich zum BB nicht viel sagen kann. Da kam
nie eine Nachricht...auch nicht beim auslösen einer EXE-Datei. Endweder hat es die Signatur
gefunden oder garnicht.

Wo kann man eigentlich sehen, dass jetzt ein BB installiert ist? Wäre eine Art IDS / HIPS nicht
besser? Ähnlich wie bei KIS /NIS oder jetzt AVG?

Das Surfverhalten ist unverändert und nicht langsamer (FF 3.6).

PS: Bei der von Xlice eingestellten Datei springt er an Finde den Text unter Details
nicht ganz so schlüssig. Da wären mehr Informationen interessant.

Grüße

[quertiy]

here's another example. and also, it seems to be using just one core as you can see in the top right gadget, the process never uses more then 50% cpu. that's another minus for gdata. but except that, it's a goddamn strong antivirus. so keep up the good work.

Der Beitrag wurde von quertiy bearbeitet: 04.02.2010, 20:50

[markus17]

Ich bekomme nach Ausführung verschiedener Samples von GData hunderte dieser Popups:

Teilweise mit unterschiedlichen Domains. Warum löscht GDATA nicht den Virus auf dem PC sondern meckert nur beim nachladen??

... Hier wurde ja auch nicht das Malwarefile geblockt, sondern ein JavaScript, das infizierten Code lädt. So kommt man erst garnicht an das Sample.

[SLE]

... Hier wurde ja auch nicht das Malwarefile geblockt, sondern ein JavaScript, das infizierten Code lädt. So kommt man erst garnicht an das Sample.

Wäre es nicht sinnvoll das AV zu deaktivieren um den Behaviour Blocker wirklich zu testen - oder lässt GData diese Option gar nicht zu?

[markus17]

Einfach den Wächter aus machen, dann sollte nur noch der BB aktiv sein. Mach ich eigentlich immer so, mit nicht erkannten Samples.

[Xlice]

... Hier wurde ja auch nicht das Malwarefile geblockt, sondern ein JavaScript, das infizierten Code lädt. So kommt man erst garnicht an das Sample.

Lad dir mein Sample runter und du wirst sehen was ich meine

[Voyager]

Markus17 , das dürfte völlig Wurst sein was dort geblockt wurde , es war jedenfalls keine Verhaltenserkennung.

[Ford Prefect]

Hab nach dem Ausführen des Samples GDATAs Popups(Desinfizieren, sonst Quarantäne usw.) einfach immer bejaht.

Link: http://cid-69f07b98b7369f08.skydrive.live....DATA/g55f4f.zip
PW: "infected"
@G Data Dev GB: E-Mail ist raus.

@scu: Ja so meine ich das.

Edit: Windows XP 32bit SP3 in VMware Workstation.

Hi Xlice,
hatte Dich tatsächlich missverstanden - sorry. Voyager hatte mich mal wieder etwas genervt.

Gutgehn,
Ford

[markus17]

Ja ich hab es schon verstanden ... da hab ich noch nicht weitergelesen. ^^

Ich habs ausprobiert:
- Sample starten
- Verhaltensüberwachung erkennt etwas
- signaturenbasierender Scan erkennt etwas
- Rechner startet neu
- taskmanager ist deaktiviert

Was mir gestern auch bereits aufgefallen ist, dass bei den Erkennungen durch den Verhaltensblocker, immer wieder die Bemängelung angeführt wird, dass sich das File beim Systemstart automatisch starten will. Das war auch bei der alten Verhaltensüberwachung der Fall.

Bei meinen Tests von Malwaredomainlist (nicht immer die 100mal angeführten Samples), schlug die Verhaltensüberwachung allerdings relativ oft an, ohne dass im Hintergrund noch etwas weiteres passiert ist. Also entweder es war Zufall oder sie wurde verbessert. Ich muss allerdings zugeben, dass ich auch noch keinen gravierenden Unterschied zum vorhandenen "BB" erkennen konnte. Was mir allerdings aufgefallen ist, dass neben der Bemängelung des Autostarteintrages auch das verändern von Systemdateien usw. erkannt wurde. (Laut Details ... wurde früher nicht angeführt)

Markus17 , das dürfte völlig Wurst sein was dort geblockt wurde , es war jedenfalls keine Verhaltenserkennung. wink.gif

Ging ja nicht darum, wollte ja nur noch einmal anmerken, was die Meldung bedeutet. (falls es nicht klar war) ... außerdem habe ich noch nicht weitergelesen -> war bei S. 2 oder 3 ^^

Der Beitrag wurde von markus17 bearbeitet: 04.02.2010, 21:20

[Virusscanner]

gdfwsvc.exe is fuckind my proc as you can see in the picture...

...i cannot seem to tell what it's doing that's using 50% of my proc. it seems so random.

Check the FW's Log. If it is filled with a lot of connections, it will cause the CPU to collapse. If you have a lot of traffic (server/file sharing/whatever) I recommend to uninstall the GData-Firewall and use something else. I mentioned this issue many times. Apparently there's no change until now.

Der Beitrag wurde von Virusscanner bearbeitet: 04.02.2010, 22:56

[scu]

probably the uTorrent.exe has opened lots of connections (maybe to much). please check if it is better without a running µTorrent.
additionally you can try to empty the firewall protocol (firewall > change settings > protocol > delete all) when the cpu load is high.

http://www.rokop-security.de/index.php?sho...st&p=299772

[quertiy]

yes, i have checked the log. the settings for utorrent are 10 connection per second, and this is what i have in the log too, aprox 20 new entries every second, and it hadles them with 0-1% load, but after half an hour it spykes up to 50% for 5-10 minutes (in this time there are also aprox 20 new entries every second), and after those 5-10 minutes, it's normal again for 30 - 60 minutes, then it begins again.

without utorrent this happens aswell. i've tried manual mode, with manual created rules, same thing. anyway, hope it will get solved. thanks for the help.

[s4u]

Installed and feels great. Is there any way I can test in English?

[kevin3002]

Now available:

English G Data InternetSecurity 2010 with Behaviour Blocker BETA:

Link

For testing in english look here.

[Tiranon]

Hallo
ich weiß nicht ob es hier hin gehört aber ich habe von einem guten Freund eine DVD bekommen mit einigen .avi-Filmen und einigen PDF´s. Wenn ich die DVD einlege und "Auf Viren prüfen" klicke findet GDATA einen Boot sector D
Kann mir einer sagen was das ist und ob es Schaden anrichten kann?

Geprüft wurde mit GDATA 2010 Behaviour Blocker. Wenn ich die Dateien auf der DVD aber einzeln auf Viren untersuche findet GDATA nix.



Vielen Dank

Der Beitrag wurde von Tiranon bearbeitet: 05.02.2010, 21:43

[dallas7]

1) GDIS2010_BB-Beta_ENG.exe installed on my WinXPproSP3/32 test system as version 20.1.48.0. That seems unusual.

2) I can see nothing in the Security Center or a process or service which leads me to believe a behavior blocker is running.

3) I installed an application that placed a startup to run from HKLM with no warning.

[s4u]

For testing in english look here.

Aaaha Thanks. I missed that

[s4u]

Installed and running pretty smooth. need to think of some nice tests for BB