G Data Software 2014 Einstellungen

[markus17]

@MyLife
Dieses Video ist ein Beispiel dafür, dass die Tester oft nicht viel Ahnung haben. Zwei desinfizierte Samples (siehe 0kb Dateien) werden als nicht erkannt gewertet und er versucht sie sogar auszuführen. Dann sind im Ordner mit den übrig gebliebenen Samples 6x identische Samples drin (siehe Windows Mediaplayer Symbol + gleiche Dateigröße). Die restlichen 3 Samples machen ebenfalls einen sehr ähnlichen Eindruck, wobei sich hier zumindest die Dateigröße um 1kb unterscheidet.

Was man aber im Video sieht ist, dass der BB von G Data bei manchen Sperrbildschirmtrojanern die mit gestartete svchost.exe (siehe auch 6x mal im Taskmanager unter explorer.exe) nicht löscht. Da ich nach dem neuesten Programmupdate nicht mehr getestet habe, weiß ich nicht, ob das Problem mittlerweile behoben wurde. Wünschenswert wäre es, da die Dinger im Moment wieder massenweise versendet werden.

bezüglich Fehlalarm vom BB:
Ich hatte auch einen und zwar beim Flashplayerupdate vor ein paar Tagen. Mein Rechner startete und es kam vom Adobeupdater die Meldung, dass ich doch das neueste Update herunterladen soll. Normalerweise macht der das immer selber, dieses mal wurde ich auf die Adobe-Website verwiesen. Ich hab den aktuellen Installer von dort heruntergeladen und auf dem Desktop abgespeichert. Leider hat Adobe vor einiger Zeit dem Installer beigebracht, dass er sich direkt nach dem Ausführen selber löschen soll. Dieses Verhalten (selbstlöschender Downloader der sich in Systemverzeichnisse kopiert) ist typisch für Malware, was dann mit folgender Meldung geendet hat:

*** Prozess ***
Prozess: 3492
Dateiname: flashutil32_11_7_700_224_plugin.exe
Pfad: c:\windows\syswow64\macromed\flash\flashutil32_11_7_700_224_plugin.exe

Herausgeber: Unbekannter Herausgeber

Gestartet von: explorer.exe
Herausgeber: Microsoft Windows

*** Aktionen ***
Das Programm hat Aktionen im Namen eines anderen Programmes ausgeführt.
Das Programm hat Werte in der System-Registrierung verändert die genutzt werden können um das System zu gefährden.
Das Programm stellt eine Verbindung über ein Netzwerk her.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Das Programm hat eine Kopie von sich selbst angelegt.
Das Programm hat ein anderes Programm gestartet um sich selbst zu löschen.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.

YGLR+7KssHKCYmJygsByciomJien0HJytmJicnK24HKSmWJicpKZcCknJycnJganQicndHJiYnAr
JycnJyYGiXJyKSYmJ5eQKxa9L2oMyXJyCelygvxiYnKC/KAmJysmJicLynJyJyYmJ3egLSeaYmJyognbcrJiYnKywConLiYmJw68cuJiYnLiwC4nl2JicnIJ/HJyKyYmJ7fQJidnYmJycgaNcnInJiYnd9ApJ6hiYnKCCu1ycicmJid34CYnD49ygmJicoLwLCcnJ
iYnB3cmJ2liYnKSBncoJ2liYnKSBncqJ5dwaHJyYmJycnCIcnJiYnJycJhy0mJictJwuHJypmJic
n
KmcNhycmJicnJwaXKCYmJygnB5coJiYnKCcIlycmJicnJw+XKyYmJysnC6cuFcY8aCJyYmF841Zi
x
4cHtywnJycrJwi3LiYmJy4nCbcoJiYnKCcKtycgu3LScpJiYnCccvJ+gvJiYn6A/XKSdnYmJycgbXKicnJiYnB+coJ6wAAA
Version der Regeln: 4.1.7
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 30732

C:\Windows\Explorer.EXE

Der Beitrag wurde von markus17 bearbeitet: 28.07.2013, 17:55

[Gast_Beobachter_*]

@markus

Wünschenswert wäre es, da die Dinger im Moment wieder massenweise versendet

Wünschenwert wäre meiner Meinung nach in diesem Fall gewesen, das schon die Ausführung geblockt worden wäre bzw. wenn das nicht möglich sein sollte, wenigstens die anschließende Aktivierung des Trojaners nach dem Neustart effektiv verhindert worden wäre. (z.B durch löschen der ausführbaren Datei am Ausführungsort und gegebenenfalls aus der Systemwiederherstellung. Eventuell auch dem Rücksetzen des Regstartschlüssels) Über die Rückstände in Config und Registry kann man dann immernoch reden. Aber für mich ist das Verhalten einer Securitylösung so wie es in dem Video gezeigt wird ganz klar ein Fail!
Sowas darf nicht passieren, zumindest nicht, wenn die Samples schon bekannt und eingepflegt sind. Etwas anderes ist natürlich wenn ich GData absichtlich zwingen würde die Datei auszuführen. Das hat er jedoch nicht soweit ich das sehn konnte. Aber ich spreche auch kein polnisch
Ich glaube auch das Updateproblem hatten nur die AV User nicht die IS User. Falls dem nicht so sein sollte korrigiert mich bitte.

mfg Beobachter

Der Beitrag wurde von Beobachter bearbeitet: 28.07.2013, 18:17

[scu]

[schnipp]
Was man aber im Video sieht ist, dass der BB von G Data bei manchen Sperrbildschirmtrojanern die mit gestartete svchost.exe (siehe auch 6x mal im Taskmanager unter explorer.exe) nicht löscht.
[schnipp]
bezüglich Fehlalarm vom BB:
[schnipp]

Die Sache mit der svchost.exe ist natürlich fraglich, aber das letzte Sample wurde ja überhaupt nicht erkannt, von daher verwundert mich ein infiziertes System auch nicht.

Bist du sicher dass es sich um einen Fehlalarm handelt? Mich verwundert 'Herausgeber: Unbekannter Herausgeber' ein wenig. Adobe hat eigentlich seinen Kram immer schön signiert und unter Windows 7 sollte auch die Signaturüberprüfung zuverlässig funktionieren.
Lad die Datei mal bitte bei VT hoch.

[scu]

@Beobachter: Was der Wächter bei dir evtl. auf "Nur beim Ausführen prüfen" gestellt?

[markus17]

@scu
Ich bin mir sicher, dass der Sperrbildschrim von der svchost.exe (fake-version) kam, da ich dieses Verhalten mehrfach bei mir mit verschiedenen Samples nachstellen konnte. Der Tester im Video achtet aber nicht darauf und man sieht nur ganz kurz, dass da was läuft, als er in killswitch weiter nach unten scrollt.

Bezüglich des Fehlarms bin ich mir auch sicher, dass es eine legitime Datei war. Sie kam von der Adobe Seite direkt, wobei mich "unbekannter herausgeber" ebenfalls verwundet hat. Ich versuche das bei mir aber noch mal nachzustlelen.

Beobachter spricht vom vorher geposteten Video und macht wieder mal seinen Unmut breit - ich verstehe nicht ganz worauf er mit seinem Post hinaus will. Es gibt keinen 100%igen Schutz vor unbekannter Malware und im Fall vom Video handelt es sich um eine unsaubere Entfernung der Verhaltensanalyse. AV-Programme ohne HIPS/BB würden hier überhaupt nichts machen.

[MyLife]

Beobachter spricht vom vorher geposteten Video und macht wieder mal seinen Unmut breit - ich verstehe nicht ganz worauf er mit seinem Post hinaus will. Es gibt keinen 100%igen Schutz vor unbekannter Malware und im Fall vom Video handelt es sich um eine unsaubere Entfernung der Verhaltensanalyse. AV-Programme ohne HIPS/BB würden hier überhaupt nichts machen.

Aber genau da wundert mich die Aussage von DorfAdler, dass gerade MSE sowas wegputzt. Eine Software ohne HIPS/BB. Eine AV was immer schlechte Noten von der Schutzwirkung bekommt. In meinem Bekanntenkreis gab es dort sogar ähnliche Aussagen.

Der Beitrag wurde von MyLife bearbeitet: 28.07.2013, 19:08

[markus17]

Bei AV-Comparatives steht ja immer dabei, welche Erkennung Windows 7 "out of the box" hat. Diese liegt meistens bereits bei über 90%. G Data lässt den Windowsdefender standardmäßig sogar aktiv, d.h. wenn man ihn nicht bewusst selber deaktiviert, hat man noch einen zusätzlichen Schutz. Mal gibt es eine Signatur für ein Sample und mal nicht. Wenn es keine Signatur gibt, dann besteht noch die Chance, dass ein BB etwas gegen ausgeführte Malware ausrichten kann. MSE bietet sowas derzeit nicht.

[MyLife]

G Data lässt den Windowsdefender standardmäßig sogar aktiv, d.h. wenn man ihn nicht bewusst selber deaktiviert, hat man noch einen zusätzlichen Schutz.

Das zählt aber nicht für Windows 8, weil der Defender da ja praktisch MSE entspricht und somit ein vollwertiger Virenschutz ist. Deswegen wird er automatisch bei der Installation von ein Dritt-AV-Programm deaktiviert.

Der Beitrag wurde von MyLife bearbeitet: 28.07.2013, 19:26

Angehängte Datei(en)

 Defender.JPG ( 25.78KB ) Anzahl der Downloads: 23

 

[GoPaddy]

Lt. AV-C geht die Erkennung ja auch runter.

Mh laut „AV-Test.org“ könnte die Viruserkennung kaum besser sein. Ganz aktueller Test, heute veröffentlicht worden…

[GoPaddy]

Hallo zusammen,

bei mir tritt wieder das Fingerprint-Problem auf. Jedes mal nach eine Neustart, das erste mal wenn ich Chrome öffne, erscheint folgendes:


„In Ihrem Browser wurde ein unbekannter Schädling
(Fingerprint: [b82a702c])
entdeckt.

Die Schadfunktionen wurden deaktiviert.

Trotzdem empfehlen wir Ihnen dringend, bis zur dauerhaften Entfernung des Schädlings keine Passwörter mehr im Browser einzugeben und insbesondere auf empfindliche Vorgänge, wie z.B. Online-Banking, zu verzichten.

Zur vollständigen Behebung des Sicherheits-Problems empfehlen wir, den Schädling mit der "G Data BootCD" zu entfernen. Sollte der Schädling wider Erwarten mit der BootCD nicht entfernt werden können: G Data arbeitet ständig mit Hochdruck an der Erkennung und Entfernung neuester Computer-Schädlinge und wird voraussichtlich innerhalb kürzester Zeit ein entsprechendes Update bereitstellen können.

Für weitere Informationen steht Ihnen der G Data Support zur Verfügung.“


Dachte das Fingerprint-Problem ist schon länger gelöst aber seit ein paar Tagen erscheint es bei mir wieder…
Bin ich der einzige bei dem das Problem auftaucht?

Die Meldung nervt mich immer noch. Habe sogar extra mein System neu aufgesetzt aber gleiches Problem....

[Gast_florian5248_*]

@GoPaddy Ganz aktueller Test, heute veröffentlicht worden…

Kann ja sein, das ich heute was auf den Augen habe. Aktuell wäre doch wenn die 2014 getestet sind.

Die 2013 interessiert mich nicht mehr. Warum dürfte klar sein. Wenn der Testzeitraum über 3Monate geht und die 2014 noch nicht draußen war.

Habe ich keinen Vergleich mehr. Egal ist aber ein schönes Thema fürs Sommerloch.

[MyLife]

Ist doch die 2014er.

[GoPaddy]

Kann ja sein, das ich heute was auf den Augen habe. Aktuell wäre doch wenn die 2014 getestet sind.

Die 2013 interessiert mich nicht mehr. Warum dürfte klar sein. Wenn der Testzeitraum über 3Monate geht und die 2014 noch nicht draußen war.

Habe ich keinen Vergleich mehr. Egal ist aber ein schönes Thema fürs Sommerloch.

Wurde ja auch die 2014-version getestet. Steht ja auch so dran...
"MyLife" war schneller

Der Beitrag wurde von GoPaddy bearbeitet: 29.07.2013, 18:54

[Gast_florian5248_*]

@GoPaddy,

ich habe heute Vormittag, kurz dort drüber geschaut, einmal richtig falsche. Habe mir dann selber eingeredet das es misst wäre, die 2013 noch zutesten.

Falsche Schublade. Bitte um Vergebung.

[GoPaddy]

Kein Ding, kann passieren ...

Der Beitrag wurde von GoPaddy bearbeitet: 29.07.2013, 18:59

[Gast_florian5248_*]

Ich muss es noch los werden.

Ich meinte nicht Gdata sondern. Bitdefender 2013.

Einmal schnell kalt Duschen.

Der Beitrag wurde von florian5248 bearbeitet: 29.07.2013, 19:26

[Jav.SEC.21]

Die Meldung nervt mich immer noch. Habe sogar extra mein System neu aufgesetzt aber gleiches Problem....

Welche Erweiterungen hast du in deinem Browser installiert? Du kannst sie mal einzeln deaktivieren und dann jeweils
den Browser neustarten und abwarten, ob die Warnung erneut auftritt. Häufig werden Updates von Erweiterungen im Browser als FP erkannt.
So kannst du zumindest dein Problem weiter einschränken. Ich hatte das auch vor kurzem mit ProxMate.

[GoPaddy]

Welche Erweiterungen hast du in deinem Browser installiert? Du kannst sie mal einzeln deaktivieren und dann jeweils
den Browser neustarten und abwarten, ob die Warnung erneut auftritt. Häufig werden Updates von Erweiterungen im Browser als FP erkannt.
So kannst du zumindest dein Problem weiter einschränken. Ich hatte das auch vor kurzem mit ProxMate.

Du hast recht: ProxMate ist der Übeltäter!
Ist die Erweiterung deaktiviert, keine Meldung mehr. Aktiviert, und es kommt wieder (braucht immer ein paar Sekunden).

Irgendwie verunsichert mich so ne Schädlings-Meldung schon, zumindest wenn ich nicht weis was es ist…

Danke @ Jav.SEC.21



@ G DATA@rokop: Ich hätte gerne das FP über die GDATA Homepage gemeldet aber geht leider nicht:
• Bitte spezifizieren Sie nur eine Quelle: Url oder File.

…das habe ich ja…

 Sample_Upload.jpg ( 101.73KB ) Anzahl der Downloads: 31


Der Beitrag wurde von GoPaddy bearbeitet: 30.07.2013, 11:30

[scu]

Du hast wohl einen alten Link benutzt. Guck mal hier:
https://su.gdatasoftware.com/sample-submission/
https://su.gdatasoftware.com/url-submission/

[GoPaddy]

Du hast wohl einen alten Link benutzt. Guck mal hier:
https://su.gdatasoftware.com/sample-submission/
https://su.gdatasoftware.com/url-submission/

ok sorry. Den hatte ich via google gefunden....