G Data InternetSecurity 2012, Die finale Version ist da! Einstellungen

[Damnatus]

Hallo,

ich brauche dringend Hilfe.
Habe regulär Rechner gestartet und nun meldet sich G Data, dass eine Server-Anwendung läuft für die noch keine Regel besteht:
Die Serveranwendung ist smss.exe und will Port 135 (epmap) verbinden. Ich hatte das bisher noch nie und bin beunruhigt.
F-Secure Blacklight hat nichts Böses gefunden.
Lasse ich mir über G Data die Anwendungsdetails anzeigen, wird smss.exe mit 0 Byte angegeben, außerdem kann der Reiter "Sicherheit" nicht angezeigt werden. Im Explorer selbst unter system 32 wird die Datei mit 77.824 Bytes angezeigt signiert von MS. Die Modulprüfung ergab virenfrei.
Aber wozu möchte smss.exe epmap nutzen? Gewöhnlich oder ungewöhnlich?

[CHEF-KOCH]

Also die smss.exe ist der Windows Sitzungsmanager Subsystem und nicht schädlich. Er liegt im system32-Verzeichnis. Was mich wundert das er 0 Byte groß ist. Sollte das nicht im system32-Ordner sein, ist es schädlich und sollte gelöscht werden.

Der Beitrag wurde von CHEF-KOCH bearbeitet: 27.04.2011, 22:08

[Damnatus]

Also die smss.exe ist der Windows Sitzungsmanager Subsystem und nicht schädlich. Er liegt im system32-Verzeichnis. Was mich wundert das er 0 Byte groß ist. Sollte das nicht im system32-Ordner sein, ist es schädlich und sollte gelöscht werden.

Liegt im Ordner system 32, und wird nur bei den G Data Anwendungsdetails mit 0 Bytes ausgegeben, such ich sie selbst im Ordner system 32 wird sie mit der entsprechend oben genannten Größe angegeben.

Also smss.exe als Serveranwendung erlauben?
Edit: Nach einer gewissen Zeit, ist der Dialog nun weg, ohne Einstellung, keine entsprechende Regel in den Firewall-Einstellungen gefunden. Vielleicht liegts auch daran das ich das GUI geöffnet und wieder geschlossen habe. Seltsam ist es trotzdem..

Der Beitrag wurde von Damnatus bearbeitet: 27.04.2011, 22:25

[CHEF-KOCH]

system 32 wird die Datei mit 77.824 Bytes angezeigt signiert von MS.

Wenn sie diese Merkmale wirklich aufweist ist es bedenkenlos. Wenn du sie blockst entstehen dir aber keine Nachteile. Du kannst also auch auf "Nummer" sicher gehen.

Edit:
Kannst du auch bitte Virustotal drüber laufen lassen und ein Screenshot von dem Ergebnis anhängen?

Der Beitrag wurde von CHEF-KOCH bearbeitet: 27.04.2011, 23:04

[Damnatus]

Wenn sie diese Merkmale wirklich aufweist ist es bedenkenlos. Wenn du sie blockst entstehen dir aber keine Nachteile. Du kannst also auch auf "Nummer" sicher gehen.

Edit:
Kannst du auch bitte Virustotal drüber laufen lassen und ein Screenshot anhängen?

VT ergab 0/42 . Allerdings konnte ich die smss.exe nicht direkt hochladen, da der Dial "Durchsuchen..." diese nicht angezeigt hat. Ich musste erst die Datei kopieren und dann die Kopie hochladen.

Und von was ein Screenshot?

Sollte ich das nächste Mal die smss.exe sehen spech ich ihr ne Verweigerung aus

Der Beitrag wurde von Damnatus bearbeitet: 27.04.2011, 22:50

[CHEF-KOCH]

Sieht aber alles in Ordnung aus, wird wahrscheinlich nur "listening" sein.

[G DATA Dev FF]

Hallo,
so ich quote mich mal selbst und muss sagen: Das Problem ist doch nicht so wirklich gelöst. :-/
Ich habe noch ein wenig rumexperimentiert und Fazit:
Die Secunia Kompnenten wurden tatsächlich verbessert, aber der G Data Wächter verlangsamt im Modus "Beim Lesen und Schreiben prüfen" die Kommunikation zum Secunia PSI Agent dermaßen, dass dieser nicht startet. Erst beim abgestellten Wächter startet der Service. Das Programm PSI startet zwar und die Verzögerung wurde verkleinert, aber es brauch trotzdem unverhältnismäßig lang, besonders für den Scan. Bei abgestellten Wächte - kein Problem.
Da hilft auch die Verbesserung seitens Secunia nichts.
Ist der Wächter auf einen der beiden anderen Modi "Beim Lesen prüfen" bzw. "Beim Ausführen prüfen" gestellt funktioniert es nun.
Auch nach Neustart - in beiden Modi. Das ist insofern interessant als das es mit der 2011er-Version reibungslos lief, im Modus "Beim Schreiben und Lesen prüfen".

Hi.

Ich hab das mal ausprobiert. "G Data InternetSecurity 2012" zusammen mit "Personal Software Inspector 2.0". Konnte aber nix negatives feststellen. PSI startete immer und ohne zu meckern. Ich hab die Start- und Scan- Zeiten zwar nur mit der Hand mitgestoppt ... konnte aber im Schnitt keinen nennenswerten Unterschied ausmachen.

Die einzigen OnClose-Scans, die das Problem bei dir verursachen könnten, sind die Scans einer Log-Datei von psia.exe. Die Datei heißt "psialog.txt" und sie befindet sich im Programm-Verzeichnis von PSI unter ".... \Secunia\PSI"

Vielleicht ist die Datei auf *deinem* Rechner inzwischen so groß dass der Scan etwas länger dauert. Definier sie doch probeweise mal als Ausnahme.

Falls das nicht helfen sollte:
Du kannst das Activity-Tool für den Wächter ja selbst mal mitlaufen lassen. Ich hab die neueste Version des Tools mal angehängt.
Einfach "Realtime" auswählen und dann "Connect" klicken.

Angehängte Datei(en)

 MonActivity.zip ( 121.67KB ) Anzahl der Downloads: 16

 

[Damnatus]

Tatsache!
MonActivity zeigte bei mir viele OnClose-Scans auf psialog.txt. Daraufhin habe ich eine Ausnahme angelegt, etwas besser aber immer noch zu träge. Also habe ich die psialog.txt und psialog.txt2 in einen neu angelegten Ordner (ich nannte ihn "Backup psialog") in ".... \Secunia\PSI" verschoben und siehe da: Beim nächsten Start von PSI wir eine neue psialog.txt-Datei angelegt.
Nun läuft es rund wie's sein sollte. Auch der Dienst "Secunia PSI Agent" startet nun ohne Probleme.

Das eine .txt-Datei so einen Ärger machen kann hätte ich nicht gedacht. Das überrascht mich nun wirklich. Bei mir war psialog.txt 784 KB groß, was ich jetzt nicht sonderlich viel halte aber womöglich kommt es ja auf den Inhalt an.
Danke für deine Mühe

Edit: Unter Umständen sollte auch die sualog.txt in den Backup-Ordner verschoben werden, wenn diese entsprechend groß ist.

Der Beitrag wurde von Damnatus bearbeitet: 29.04.2011, 19:32

[olli]

Moin zusammen,

ich habe hier eine Meldung des Verhaltensblockers, aus der ich nicht ganz schlau werde.

Ich habe mit dem FX die Seite www.jochen-schweizer.de aufgerufen und der BB meldet sich, dass die Plugin-exe, die vom Firefox gestartet wurde ein bösartiges Programm sei.


[attachment=7165:GData_Fe...640x588_.jpg]

Hier ist das Protokoll dazu:
[attachment=7166:Protokoll.PNG]

Ich habe im FX weder ein neues Plugin installiert noch ein Update gemacht....

Bis denne
Olli

[Habakuck]

Für mich sieht das so aus als wollte der plugin container des Fx ein update installieren. Flash oder sonst was... keine ahnung ob Java auch im plugin container gestartet wird... nutze kein Java.

Ich würde das aber trotzdem nicht erlauben! Wenn du andere Seiten ansurfst kommt dann die gleiche Meldung? Vorrausgesetzt du hast das noch nicht erlaubt..

[olli]

Nein, ich habe es nicht erlaubt. Surgen ging weiterhin problemlos und die Meldung ist auch nicht wieder erschienen.

Bis denne
Olli

[Gregor]

@olli, ich habe heute Morgen genau die selbe Meldung bekommen, habs mal an GData gesendet, hat irgend was mit dem Firefox zu tun.
http://www.gds-forum.de/showthread.php?238...achung-meldet...

[Habakuck]

Das kann ein FP sein aber da wäre ich vorsichtig!
Der plugin container macht schon einiges was einem BB oder HIPS auffallen kann/sollte aber da er halt genau die plugins beinhaltet die normalerweise angegriffen werden sollte man da nicht vorschnell auf FP tippen...

[kerneldebugger]

Moin zusammen,

ich habe hier eine Meldung des Verhaltensblockers, aus der ich nicht ganz schlau werde.

Ich habe mit dem FX die Seite www.jochen-schweizer.de aufgerufen und der BB meldet sich, dass die Plugin-exe, die vom Firefox gestartet wurde ein bösartiges Programm sei.


[attachment=7165:GData_Fe...640x588_.jpg]

Hier ist das Protokoll dazu:
[attachment=7166:Protokoll.PNG]

Ich habe im FX weder ein neues Plugin installiert noch ein Update gemacht....

Bis denne
Olli

Ich hab hier gerade die IS 2012 (22.0.5.16) auf XP32 SP3. Tritt bei mir nicht auf, wenn ich www.jochen-schweizer.de ansurfe...

[scu]

War gerade auf der folgenden Webseite und hab die gleiche Meldung vom BB bekommen.

http://winfuture.de/videos/Software/Window...l?hd#centerWrap

*** Prozess ***

Prozess: 3932
Dateiname: plugin-container.exe
Pfad: c:\program files (x86)\mozilla firefox\plugin-container.exe

Herausgeber: Mozilla Corporation
Erstelldatum: 06/23/10 08:59:11
Änderungsdatum: 05/04/11 19:19:01

Gestartet von: firefox.exe
Herausgeber: Mozilla Corporation


*** Aktionen ***

Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm schreibt extrem oft in kritische Bereiche der Registry.
Ein Autostart Eintrag verweist auf einen verdächtigen Ort.

Firefox 4.0.1
Windows 7 64 Bit

In die Quarantäne wären 5 tmpXXXX.tmp-Dateien aus dem Temp-Verzeichnis geschoben worden. Hab leider keinen Screenshot gemacht.
4 der Dateien wurden aber (soweit ich das am Dateidatum sehen kann) bereits beim Start vom Firefox angelegt. Die 5te wurde dann zum Zeitpunkt angelegt, als ich NoScript für die Seite deaktiviert habe und das Video starten wollte.

[Gregor]

Ich warte noch auf die entgültige Antwort vom Support, bei mir tritt es jetzt nicht mehr auf.
Sollte aber kein Problem darstellen, wenn man es zuläßt.

[kerneldebugger]

War gerade auf der folgenden Webseite und hab die gleiche Meldung vom BB bekommen.

http://winfuture.de/videos/Software/Window...l?hd#centerWrap



Firefox 4.0.1
Windows 7 64 Bit

In die Quarantäne wären 5 tmpXXXX.tmp-Dateien aus dem Temp-Verzeichnis geschoben worden. Hab leider keinen Screenshot gemacht.
4 der Dateien wurden aber (soweit ich das am Dateidatum sehen kann) bereits beim Start vom Firefox angelegt. Die 5te wurde dann zum Zeitpunkt angelegt, als ich NoScript für die Seite deaktiviert habe und das Video starten wollte.

Tritt bei mir (bisher) nicht auf. Ich benutze W7 x64 und FF 4.0.1.

Meine Plugins:
 FF_Erweiterungen.png ( 180.9KB ) Anzahl der Downloads: 12

 FF_Plugins.png ( 75.63KB ) Anzahl der Downloads: 12

[Deluxe]

Seit dem Programm-Update läuft GData 2012 wirklich sehr gut aber einen kleinen Fehler hab ich dann doch finden können...


Wenn man eine Zeit lang mit dem Firefox surft und dann irgendwann mal Youtube aufruft und ein Video anklickt, dann wird statt dem Video nur ein schwarzes Feld angezeigt.


Bei deaktiviertem Webschutz läuft es wieder.


Man kann das Problem lösen indem man immer die Cookies löscht aber auf Dauer ist das auch keine Lösung.


Hat jemand zufällig den selben Bug?

[Gregor]

Kann ich so nicht bestätigen, ist bei mir nicht der Fall.
Ich würde da nicht unbedingt von einem Bug sprechen/schreiben.
Was ich persönlich feststellen konnte, das manche FF-Plugins derartige Probleme bereiten.

[lok40]

Ich habe gerade eben während des Windows-Updates folgende Warnmeldung von G Data bekommen:
[siehe Anhang]

Im Protokoll steht:

*** Prozess ***

Prozess: 4608
Dateiname: mpsigstub.exe
Pfad: c:\windows\system32\1\36ab831c287534dbdb8428edd6baed\mpsigstub.exe

Herausgeber: Unbekannter Herausgeber

Gestartet von: mpas-d.exe
Herausgeber: Microsoft Corporation


*** Aktionen ***

Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Das Programm hat eine Kopie von sich selbst angelegt.
Das Programm hat sich in den Windows Ordner kopiert.

Ich habe den Vorgang mal erlaubt, da es sich um das Windows-Update handelte und ich an einen Fehlalarm glaubte. Ich hoffe, das war nicht allzu sorglos gedacht von mir...
Was geht dort vor? Ist es möglicherweise doch ein Virus, welches sich dort im Systemordner festgesetzt hat oder wirklich nur eine Fehlmeldung?

PS: Beim Scan des Windows-Ordners findet G Data nichts! BS ist Windows 7, 32bit.

Der Beitrag wurde von lok40 bearbeitet: 12.06.2011, 15:27

Angehängte Datei(en)

 gdata.meldung.png ( 127.2KB ) Anzahl der Downloads: 22