G Data Beta-Test, G Data TotalCare 2011 im Beta-Test Einstellungen

[markus17]

Ein Kollege hat sich so einen Web-basierenden IRC Client eingerichtet und es sieht so aus, als ob der nur funktioniert, wenn man die Website whitelistet bzw. den http-Scan deaktiviert.
Hier eine Demo: http://cgiirc.org/demo/
-> Nach dem Login steckts dann ...

[markus17]

Ich habe hier so einen Downloader/Installer für einen FakeAV. G Data erkennt und löscht das Ding über den BB, nach einem Neustart startet der Explorer nicht mehr. Startet man ihn über den Taskmanager, öffnet sich nur der Windowsexplorer und der Desktop bleibt verschollen.

Hier das File: (Passwort erraten oder per PM anfragen )
http://www.mediafire.com/?yywmwmbltjy

Was wird bemängelt? ... Hier das Protokoll:

*** Prozess ***

Prozess: 1232
Dateiname: ave8m27b3.exe
Pfad: c:\windows\system32\ave8m27b3.exe
:
Herausgeber: Unbekannt
Erstelldatum: 03/23/10 21:06:40
Änderungsdatum: 03/23/10 21:06:40


*** Aktionen ***

Ein Packer wurde auf die Programmdatei angewandt. Möglicherweise um schädliche Inhalte zu verbergen.
Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
c:\windows\system32\ave8m27b3.exe
c:\documents and settings\ietest\local settings\temp\htmlayout.dll
c:\windows\system32\aifhpmpyj.dll
c:\windows\system32\dufilbkhr.dll
c:\windows\tcqnlwg.exe

Folgende Registry Einträge wurden gelöscht:

\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon || Shelly
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System || EnableLUA

[Voyager]

Der Verhaltensblocker hat sozusagen mal ausnahmsweise angeschlagen, Patient tot

[scu]

Der Verhaltensblocker hat sozusagen mal ausnahmsweise angeschlagen, Patient tot

Tot würd ich das nicht nennen. Maximal Koma

[markus17]

Norton hat auch schon ein paar mal das Startmenü usw. zerlegt.

Der Beitrag wurde von markus17 bearbeitet: 23.03.2010, 23:04

[Voyager]

Naja nicht wirklich , das Startmenü konnte man jederzeit mit ein paar klicks wieder "anschalten" .

Aber bevor mich der Markus jetzt wegen meiner Majestätsbeleidigung knebelt fesselt und ... , auf der Norton VM fällt der FakeAV leider auch durchs Raster . Nach dem Reboot der VM startet der FakeAV noch vor dem Benutzer und zeigt die üblichen erschreck-Versuche auf dem Desktop und blockiert dadurch den Start des BenutzerKonto , man kann das FakeAV Fenster auch nicht abbrechen oder beenden und wird dazu genötigt zu kaufen . Patient ebenfalls tot , zumindestens für den Normaluser .

Der Beitrag wurde von Voyager bearbeitet: 23.03.2010, 23:13

[Ford Prefect]

@markus17: Und der Shell-Value mit dem Wert 'explorer.exe' existiert nicht mehr?

Das da im Log 'shelly' steht irritiert mich etwas...

EDIT: Wer hat Voyagers account gehackt????

Der Beitrag wurde von Ford Prefect bearbeitet: 23.03.2010, 23:12

[markus17]

Naja nicht wirklich , das Startmenü konnte man jederzeit mit ein paar klicks wieder "anschalten" .

Aber bevor mich der Markus jetzt wegen meiner Majestätsbeleidigung knebelt fesselt und ... , auf der Norton VM fällt der FakeAV leider auch durchs Raster . Nach dem Reboot der VM startet der FakeAV noch vor dem Benutzer und zeigt die üblichen erschreck-Versuche auf dem Desktop und blockiert dadurch den Start des BenutzerKonto , man kann das FakeAV Fenster auch nicht abbrechen oder beenden und wird dazu genötigt zu kaufen . Patient ebenfalls tot , zumindestens für den Normaluser .

Naja, was erwartest du auch auf deinen Kommentar. :P Freut mich aber trotzdem, dass du es mit NIS auch mal getestet hast. Zumindest kann der Normaluser noch, trotz nervender Meldungen, arbeiten. Naja, man kann uns nicht glücklichmachen bzw. nur schwer.

@ Ford Prefect
Ich vermute auch, dass es an den gelöschten Registryeinträgen liegt. Mal sehen, ob man das irgendwie rückgängig machen kann.

[Ford Prefect]

Du kannst regedit ja auch über den TaskManager starten.

Wenn der explorer wieder eingetragen ist, sollte es beim nächsten Reboot wieder laufen.

[markus17]

Hab ich bereits gemacht. Beim Shelleintrag steht folgendes: c:\windows\system32\ave8m27b3.exe
Ändere ich den Eintrag auf explorer.exe, dann funktioniert es wieder.

[Ford Prefect]

In meiner win7x86-VM tut sich nichts !?!

Registry ist sauber und Dateien wurden auch nicht angelegt.

Bei vt erkennen das Ding 7 von 42.
Der Defender springt übrigens drauf an - also gut, dass G Data den (noch?) nicht ausknipst.

[scu]

In meiner win7x86-VM tut sich nichts !?!

Registry ist sauber und Dateien wurden auch nicht angelegt.

Bei vt erkennen das Ding 7 von 42.
Der Defender springt übrigens drauf an - also gut, dass G Data den (noch?) nicht ausknipst.

Hab gerade festgestellt, dass der sich nicht installiert wenn er keine Verbindung zu hxxp://www.pc-antiv.com bekommt.

[Ford Prefect]

Dann spendier ich ihm mal morgen etwas Bandbreite übers DSL-Modem

[Blue Sea]

Hallo zusammen,

es steht ein neues Update zum Download bereit.

Die wesentlichen Änderungen hier kurz im Überblick:


1. http-Scan




2. System-Performance





3. Verbesserung der Entfernung gefundener Malware

4. Behaviour Blocker verbessert


Viel Spaß weiterhin beim Testen und ein schönes Wochenende wünscht...

G Data @ Rokop

Can anyone provide me with the link, please?

[Virusscanner]

Can anyone provide me with the link, please?

Did you try to update the program from within the program itself?

[G DATA@rokop]

Hallo zusammen,

gerade wurde das Update 21.0.1.57 freigeschaltet.

Updateschwerpunkte:
- Webschutz
- Behaviourblocker
- Performanz

Vielen Dank für das bisherige Feedback.

Bitte habt Verständnis dafür, dass wir nicht immer auf alle PMs antworten können.

Beste Grüße,

G DATA@rokop

[Jav.SEC.21]

Update verlief gut, danke.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 24.03.2010, 18:45

[Chrizzz]

Grad eben Programmupdate durchgeführt...
Das Update an sich verlief problemlos doch der folgende Neustart durch G Data ("PC jetzt neu starten" im G Data Popup angeklickt) machte einige Probleme...
D.h. der komplette PC hing sich auf, doch die Prozessorauslastung lag bei 0 bis 2%....
Konnte keine Programme öffnen oder auch nur ins Windos-Startmenü gelangen, keine Reaktion...

Musste ihn dann manuell am Knopf des Rechners neu starten... Jetzt läufts aber ohne Probleme, also diese Art des Neustarts scheint keine Probleme verursacht zu haben.

Gruß Chrizzz

[Aasblume]

Ich hätte mal eine Frage an G DATA@rokop

was macht eigentlich das Problem, oder natürlich besser die Lösung, mit GData - Outlook - scan der ausgehenden Mails - popupAnzeige SMTP? Werden die ausgehenden Mails eigendlich wirklich nicht gescannt, oder liegt der Haken nur in der Anzeige/popup?

Frage an die ganzen Tester der beta:

Setzt jemand zusätzlich zur beta noch z.B. EMSI ANTIMALWARE ein, und, harmonieren die beiden?

[Virusscanner]

Ich hätte mal eine Frage an G DATA@rokop

was macht eigentlich das Problem, oder natürlich besser die Lösung, mit GData - Outlook - scan der ausgehenden Mails - popupAnzeige SMTP? Werden die ausgehenden Mails eigendlich wirklich nicht gescannt, oder liegt der Haken nur in der Anzeige/popup?

Frage an die ganzen Tester der beta:

Setzt jemand zusätzlich zur beta noch z.B. EMSI ANTIMALWARE ein, und, harmonieren die beiden?

Habe Emsi und die Beta installiert und es gab bisher kein Problem, das ich auf diese Kombination hätte zurückführen können. Emsi's verhaltensbasierter Blocker scheint schneller zu sein als der BB von GData. Zumindest schlägt jeweils Emsi an, während GData ruhig bleibt.