G Data Beta-Test, G Data TotalCare 2011 im Beta-Test Einstellungen

[Virusscanner]

Mich regt aktuell noch ziemlich auf, dass ich bei jedem Start des Windows Media Centers (Win7 HP x64) bestätigen darf, dass es sich bei "ehexthost.exe" um ein harmloses Programm handelt.
Auch ein "Immer erlauben" zeigt keine Wirkung.
Wie ich hier schon mal erwähnt habe, handelt es sich dabei um an sich harmlose Komponente des Windows Media Centers, um einen Hostprozess für Erweiterungen, um genau zu sein.

Falls wer versuchen will die Meldung zu reproduzieren:
Ich nutze die Erweiterungen "Media Control" und das Plugin der ZDF-Mediathek.

greetz

Kommen wiederholt anfragen? Evtl. jeweils mit unterschiedlichen IPs?

So ein Verhalten kommt auch mit dem Prozess "System" vor. Ich kann mich erinnern, dass ich damals, als ich die GData FW noch standardmässig benutzte, ich ziemlich umständlich eine Regel erstellen musste, damit die Anfragen aufhörten. Geh ins FW-Protokoll und bearbeite von da aus den Eintrag, welcher zum Prozess gehört. Das müsste dann klappen. Evtl. musst du ein bisschen "herumpröbeln".

[TH3.BUG]

Hier nochmal ein ScreenShot und die Protokoll-Daten:

*** Prozess ***

Prozess: 7004
Dateiname: ehexthost.exe
Pfad: c:\windows\ehome\ehexthost.exe

Herausgeber: Microsoft Windows
Erstelldatum: 07/13/09 22:36:04
Änderungsdatum: 07/14/09 01:20:05

Gestartet von: ehshell.exe
Herausgeber: Microsoft Windows


*** Aktionen ***

Das Programm hat Aktionen im Namen eines anderen Programmes ausgeführt.
Das Programm erwartet eingehende Netzwerkverbindungen.
Das Programm zeichnet alle Tastatureingaben auf.

 mce1.jpg ( 102.95KB ) Anzahl der Downloads: 69


Der Beitrag wurde von TH3.BUG bearbeitet: 25.04.2010, 02:25

[markus17]

Also die Meldung auf dem Screenshot kommt vom Verhaltensblocker, nicht von der Firewall. Wenn hier "Immer erlauben" nicht hilft, dann muss wahrscheinlich G Data noch etwas am BB schrauben.

Den Punkt "Das Programm zeichnet alle Tastatureingaben auf." im Protokoll habe ich bis jetzt aber noch nie gesehen. Der BB sollte also auch den einen oder anderen Keylogger erkennen.

*edit*
@ GData
Ich möchte noch einmal anmerken, dass bei den Wächterausnahmen für einzelne Dateien, der Browse-Button immer noch ausgegraut ist!

Der Beitrag wurde von markus17 bearbeitet: 25.04.2010, 09:51

[scu]

[SCHNIPP]
@ GData
Ich möchte noch einmal anmerken, dass bei den Wächterausnahmen für einzelne Dateien, der Browse-Button immer noch ausgegraut ist!

Soweit ich weiß ist das auch so gewollt. Gerade noch bei der 2010er Version nachgesehen.
Man soll darüber auch nicht eine spezielle Datei als Ausnahme definieren, sondern kann dort einzelne Dateien (über den exakten Namen) eintragen oder aber mit Platzhaltern (wildcards) arbeiten. Dabei ist auf die Groß- und Kleinschreibung zu achten!

Hier ein Auszug der Hilfe (aus TC 2010) zu dem Thema:

Um Dateien zu schützen, geben Sie den kompletten Dateinamen in das Eingabefeld unter Dateimaske ein. Sie können hier auch mit Platzhaltern arbeiten.

Die Funktionsweise von Platzhaltern ist folgendermaßen:

· Das Fragezeichen-Symbol (?) ist Stellvertreter für einzelne Zeichen.
· Das Sternchen-Symbol (*) ist Stellvertreter für ganze Zeichenfolgen.

Um z.B. sämtliche Dateien mit der Dateiendung .sav schützen zu lassen, geben Sie *.sav ein. Um eine spezielle Auswahl an Dateien mit fortlaufenden Dateinamen zu schützen (z.B. text1.doc, text2,doc, text3.doc), geben Sie beispielsweise text?.doc ein.

[markus17]

Den passenden Hilfe-Eintrag habe ich mir noch überhaupt nicht durchgelesen. So gesehen klingt das ganze wieder plausibel.

[Varock]

Ich habe eine frage zu dem Release.
Wenn ich jetzt die Beta von GData 2011 installiere und es erscheint die Final, muss ich die Beta dann deinstallieren oder kommt ein Programmupdate der die Beta zur Final macht?

[Deluxe]

Ich habe eine frage zu dem Release.
Wenn ich jetzt die Beta von GData 2011 installiere und es erscheint die Final, muss ich die Beta dann deinstallieren oder kommt ein Programmupdate der die Beta zur Final macht?

Ich fürchte das eine Neuinstallation notweidig sein wird



Gruß Deluxe

[ciacomo]

Habe 3 Datein ausgeführt.
Der BB schlägt an .
Aktion Blockieren.
Dan Suchlauf mit MB.
Er zeig mir 6 Funde.

Dachte der BB hat alles blockiert.

VG

Der Beitrag wurde von ciacomo bearbeitet: 26.04.2010, 19:23

[scu]

Habe 3 Datein ausgeführt.
Der BB schlägt an .
Aktion Blockieren.
Dan Suchlauf mit MB.
Er zeig mir 6 Funde.
Wer kann die interpretieren ?
Dachte der BB hat alles blockiert.

VG

Hast du MB auch vor den Tests einmal laufen lassen? Bist du also sicher, dass die Funde alle zu den 3 Dateien gehören.

Die Funde sind Registryeinträge und eine nicht ausführbare Datei die nicht entfernt wurden.
Aus meiner Sicht nichts gefährliches, da man über die Einträge nichts beim Systemstart ausführen kann.
Da sind vermutlich nur die "Einstellungen" der Malware.

Kannst du die Protokolle vom BB posten?

[ciacomo]

Hast du MB auch vor den Tests einmal laufen lassen? Bist du also sicher, dass die Funde alle zu den 3 Dateien gehören.


Kannst du die Protokolle vom BB posten?

Leider nein. Habe ich im TryDecide Mode ausgeführt.
Wieder alles weg.
Das System wurde vor der Ausführung auch mit MB gescannt.
Keine Funde.

VG

[markus17]

Hast du zumindest den Link zum Sample noch? Grundsätzlich würde ich aber auch sagen, dass die Infektion beseitigt wurde, schließlich sind keine ausführbaren Inhalte mehr vorhanden. (vorausgesetzt MB findet alles)

[G DATA@rokop]

Hast du zumindest den Link zum Sample noch? Grundsätzlich würde ich aber auch sagen, dass die Infektion beseitigt wurde, schließlich sind keine ausführbaren Inhalte mehr vorhanden. (vorausgesetzt MB findet alles)

Die samples hätte ich auch gerne per PM.

Beste Grüße,

G DATA@rokop

[Deluxe]

Die samples hätte ich auch gerne per PM.

Beste Grüße,

G DATA@rokop

Hey Gdata@Rokop



Was gibts neues in Sachen 2011?



Gruß Deluxe

[G DATA@rokop]

Hey Gdata@Rokop



Was gibts neues in Sachen 2011?



Gruß Deluxe

Hey Deluxe,

wie meinste denn das?

Im Ernst: wenn es was zu berichten gibt, dann wirst Du es hier lesen können.

Beste Grüße,

G DATA@rokop

[ciacomo]

Mag sein das die Reg Einträge harmlos sind.
Mir persönlich ist es aber lieber, wenn nichts auf dem System landet.
Denselben Test mit NIS.
Bei allen 3 Sampels hat sich Sonar gemeldet.
Auch wurde bei der versuchten Installation kein Traffic erzeugt ( wie bei Gdata)
Anschliessender Scann mit MB: Sauber.

VG

[Rudman84]

Hallo ich habe gerade eine email vom gdata support bekommen, dort wurde mir gesagt das die 2011 ende Mai rauskommen soll, warum dauert das solang ? Weil eine neue Beta ist ja auch noch nicht gekommen, bzw. warum gibts dann erste Tests der 2011!

[Deluxe]

Hey Deluxe,


Im Ernst: wenn es was zu berichten gibt, dann wirst Du es hier lesen können.

Beste Grüße,

G DATA@rokop

Sry wollte nicht aufdringlich sein


@Rudman84: Ende Mai währe mir schon sehr spät^^

[markus17]

@ ciacomo
Ich bin jetzt einfach mal lästig, aber ist es möglich, die betroffenen Samples bzw. die Quelle der Samples zu erhalten? Nicht dass ich deinem Test keinen Glauben schenke, aber ohne Samples kann er nicht nachvollzogen werden und somit kann auch nichts verbessert werden. btw: Das gilt auch für die Website, die geblockt wurde. (hast du eine Seite weiter vorne erwähnt)

Schon mal danke.

bzw. warum gibts dann erste Tests der 2011!

Dürfen Beta-Versionen nicht vorab getestet werden?

[eulchen]

im Juni ist auch noch zeit hahahah das wird wohl nix mehr

[Virusscanner]

@Rudman84: Ende Mai währe mir schon sehr spät^^

Warum?

PS: Wäre hat kein h. Korrekturgrüsse aus der Schweiz!