G Data InternetSecurity 2012, Großer Beta-Test - Feedback willkommen! Einstellungen

[Julian]

Darf ich mal ganz doof fragen, ob Gdata 2012 in dem direkten vergleich zur 2011 ein wenig flotter läuft?

Du kannst es seit Version 2012 auf On Execution stellen, sodass die von dir beschriebene Aktion eigentlich gar nicht verzögert werden sollte.

[ciacomo]

Ich denke man sollte auf seinem eigenen System selber testen wie die jeweilige Software läuft.
Bei dem einem läuft Norton besser und beim anderen Gdata.
Ist denke ist Hard- und Software abhänig.



VG

Der Beitrag wurde von ciacomo bearbeitet: 27.05.2011, 18:00

[CHEF-KOCH]

Um nochmal auf angesprochene Samples zurück zu kommen. Alle Samples wurden an G Data übermittelt und man arbeitet an einem Lösungsweg, erkannt sollten diese aber nun werden.

Nochmals Dank an Julian und SebastianLE für die Hinweise und Testsamples. Bezüglich des Verhaltensblocker, es wird definitiv was daran im Zusammenhang mit den Samples gemacht.

[Julian]

Um nochmal auf angesprochene Samples zurück zu kommen. Alle Samples wurden an G Data übermittelt und man arbeitet an einem Lösungsweg, erkannt sollten diese aber nun werden.

Nochmals Dank an Julian und SebastianLE für die Hinweise und Testsamples. Bezüglich des Verhaltensblocker, es wird definitiv was daran im Zusammenhang mit den Samples gemacht.

Hast du Gdata die Samples gesendet oder ich?

Btw: Warum wurd mein einer Link, wo man Malware kriegen kann, gelöscht, der andere aber nicht?
Zufallsprinzip?

[SLE]

Btw: Warum wurd mein einer Link, wo man Malware kriegen kann, gelöscht, der andere aber nicht?

Ach komm, der zweite ist maskierter und nicht so direkt beworben. Außerdem ist dort eine Anmeldung erforderlich...

[CHEF-KOCH]

Hi, ich weis nicht was du/ihr eingesendet habt. Ich habs wie gesagt nun übersendet.

Über das interne das jeder nutzen kann, Sample upload Tool und einmal direkt via eMail. Ich hoffe damit ist im Zusammenhang, das Thema geklärt. Fazit nicht nur G data muss hier am Verhaltensblocker schrauben, sondern auch andere Hersteller.

[SLE]

Fazit nicht nur G data muss hier am Verhaltensblocker schrauben, sondern auch andere Hersteller.

Ich würde aber ergänzen, dass eine Firma ganz besonders schrauben muss Dein Satz klingt so, als könnte man das was GData derzeit als Verhaltensblocker integriert/anbietet mit den proaktiven Lösungen anderer (v.a. großer) Anbieter vergleichen - dem ist IMO definitv (noch?) nicht so.
Wenn du mal ein paar Samples sammelst und nur die proaktiven Schutzmechanismen testest, kommst du sicher zu ähnlichen Erfahrungswerten wie andere, wo eben SONAR (NIS), PDM/HIPS (KIS), Mamutu, OA etc. häufiger verhaltensbasiert blockieren als GData.

Einpflegen in Signaturen, wenn man bisher unbekannte Samples erhält ist selbstverständlich - zählt hier aber nicht als Argument und hilft den Nutzern nicht, die zu dem Zeitpunkt mit Bedrohungen in Kontakt kommen wo diese noch nicht in den Signaturen sind.

Und da hier als Verbesserung der Beta:

[*]Stark verbesserte Erkennung BehaviourBlocker

erwähnt wird, empfinde ich Julians Hinweis als mehr als berechtigte Kritik.

Der Beitrag wurde von SebastianLE bearbeitet: 29.05.2011, 20:53

[CHEF-KOCH]

Naja ob andere Hersteller die namentlich "größer" sind das besser machen wage ich fast zu bezweifeln, bedenkt man das diese ihre Technologien schon Jahre einsetzen und teils genauso schlecht wie in unserem Beispiel waren. Hier darf nicht vergessen werden das diese Funktion so wie sie jetzt ist Brand neu ist. Sicher gibt es dann immer Verbesserungsbedarf, was nicht heißt das es schlecht ist, sondern lediglich ein weiterer Schritt nach vorne.

Wenn ich mir ein paar Samples angucke sehe ich nur immer wieder eins, viel FalsePositive so weit das Auge reicht, wie ich schon immer zu sagen pflegte, nur weil etwas mit UPX und Co gepackt ist ist es nicht automatisch schädlich und das sah ich in der Vergangenheit zum Beispiel bei Kaspersky extremst. Was nicht heißen soll das G Data oder andere Hersteller da besser sind, sondern das HIPS und Co niemals eine Garantie sein können das alles erkannt wird, so wie das hier fast dargestellt werden soll.

G Data hat hier gute Arbeit abgeliefert, nicht perfekt da stimmen alle mit ein, aber der Lernprozess hat statt gefunden und man ist bereit doch darauf auf zu bauen und das ganze zu verbessern.

Ja Julian hat Kritik geäußert und das wurde denke ich nun ausreichend hingenommen, über Nacht wird sich da denke nichts ändern, das benötigt schon etwas mehr Arbeit. Das Gesamtpakte stimmt hier, wobei andere Hersteller auch nachgezogen haben um mal positiv Eset zu erwähnen und das denke ich mal schürt den Konkurrenzkampf um die Kunden, was uns doch nur einen Vorteil bringt, weil die Hersteller "gezwungen" sind da immer weiter an der Schraube zu drehen.

[SLE]

Wenn ich mir ein paar Samples angucke sehe ich nur immer wieder eins, viel FalsePositive so weit das Auge reicht

Dann sind es keine Samples Aber ich denke wir sind erstmal durch, mal sehen wie sich der VB von GData entwickelt.

[Julian]

Der ist gar nicht so schlecht, erkennt sogar Zugriffe auf den Scheduler.
Ist am ehesten vergleichbar mit ehemals Sana, also recht intelligent.
Es müssen sicherlich noch einige Muster mehr überwacht werden, aber der Weg ist richtig und der BB wird spürbar besser. Rein mengenmäßig erkennt der sicherlich schon einiges und dass er Dateisystem und Registry bereinigt, wollen wir doch auch nicht unhonoriert lassen.

Der Beitrag wurde von Julian bearbeitet: 30.05.2011, 00:14

[Hexo]

[Offtopic]
Ist bei den Samples auf "BOO/TDss.M" dabei?
Den hat ein bekannter sich eingefangen und bekommt ihn nicht mehr los.
Avira Free kann ihn nicht entfernen ^^
[/Offtopic]

[SLE]

@Hexo:
Was willst du: ein Sample? Oder Hilfe bei der möglichen Bereinigung?

[Gregor]

Das beste wäre den Rechner neu aufsetzen, das ist bei einem Bootsectorvirus immer das sinnvollste.

Wenn Du aber ein wenig Fixen möchtest dann gehe vollgendermaßen vor:

Lade die OTL runter.

Dann gehe vollgendermaßen vor Klick...

Der Beitrag wurde von Gregor bearbeitet: 30.05.2011, 08:03

[Hexo]

@Hexo:
Was willst du: ein Sample? Oder Hilfe bei der möglichen Bereinigung?

Sample wäre schon nicht schlecht, dass ich mal testen könnte, ob und wie F-Secure dort reagiert. Nachteil ist, dass ich keine VM installiert habe und ich mir mein Produktivsystem nicht versauen möchte :-) . Deswegen sag ich zu den Samples: Besser nicht ^^

@Gregor: Danke. Das wird so mal weitergegeben.
Gruß aus der Nachbarschaft ^^

[SLE]

@Gregor: Was soll das?
a.) sieht man bei kopierten Sachen immer die Quelle gern!!! (hier)
b.) Sind skripte immer individuell und es hilft in 99,xx% der Fälle nicht, einfach eines zu benutzen was für ein anderes System war.

Der Beitrag wurde von SebastianLE bearbeitet: 30.05.2011, 07:57

[CHEF-KOCH]

Eine weitere Möglichkeit ist es das von Symantec benutzte Tool FixTDSS.exe (Backdoor.Tidserv Removal Tool) zu benutzen das ist unter anderem dafür gemacht worden. Hier gibts auch entsprechenden Avira Thread zu dem Problem, es handelt sich um einen MBR-Virus, das ist sehr unschön. Auf dem Trojaner-Board.de gibts auch ne sehr gute Anleitung zum entfernen.

PS: Kommen wir bitte wieder zum Topic, das hier ist kein Allgemeinthread wo jeder seine Probleme herein posten kann, sondern es geht hier um das G Data Produkt und viele genannten Sachen haben jetzt nicht unmittelbar damit zu tun. Vor allem weil man auch mal drei Sekunden selber Googlen kann um sich selbst nach Lösungen zu bemühen.

Der Beitrag wurde von CHEF-KOCH bearbeitet: 30.05.2011, 08:03

[Gregor]

Hab ich nicht kopiert, sehr das jetzt auch erst.
Das Script habe ich von einer anderen privaten Quelle.
Mist, sieht aber so aus als wenn es von da kommt.
Ich lösche es...

[Gregor]

Hab die beiden Scripte jetzt mal verglichen, sind tatsächlich identisch, ich muß mal meiner Quelle ins Gewissen reden

[CHEF-KOCH]

So eben wurde eine neue finale Version freigegeben, 22.0.5.27.

Schön wäre es zu wissen, ob weiterhin Beta-Updates zur Verfügung stehen, ob es das endgültige "Aus" bis zum 15.06.2011 für die Tester ist?

Edit:
Einige User berichten wieder das das Update wieder nicht für alle direkt zur Verfügung steht. Liegt das wieder an dem Server?
Und bekommen Beta-User auch das finale Update?

Ein Feedback von G Data wäre schön, so wie ne kleine Changelog.

Der Beitrag wurde von CHEF-KOCH bearbeitet: 31.05.2011, 16:42

[Julian]

Das beste wäre den Rechner neu aufsetzen, das ist bei einem Bootsectorvirus immer das sinnvollste.

Wieso das denn?
Neuer MBR und ein x64 Windows ist wieder clean.
Für x32 gibts gute Cleaner für TDSS.