[gelöst] Warnung vor Defender-Sandbox

Gelöschtes Mitglied 73230 · 28. Januar 2019

Und wie man sieht,Windows lässt mich im Edge gar nicht erst fertig runterladen.Kann also auch gar keine Datei öffnen weil keine da ist..Auch unter C./User/Name erscheint sie nicht.
Könnte das auch daran liegen,dass ich MpEnablePus und PUA Filter aktiviert hab? Oder hat das gar keinen Einfluss?

!Anwender · 28. Januar 2019

@areiland wenn ich die Prozedur mit Edge ausführe habe ich das gleiche Ergebnis wie Du , wird in beiden Fällen sofort gelöscht , beim Firefox wird mir die Seite schon mit Warnung dargestellt und dann ist es so wie in Beitrag#19 dargestellt ,

Es liegt also auch an den Browsern , im Endergebnis sind aber nun alle Versuche im Verlauf des Defender gelandet und darum geht es ja letztendlich ,

Warum Malwarebytes nicht anschlägt kann ich nicht sagen

Freizeit · 28. Januar 2019

Ohne Sandbox bei mir:
Malwarebytes schlägt bei mir auch nicht an, während der Defender alles zeigt wie bei @Henry E.
Chrome blockiert den Download während er bei Mozilla durchgelassen wird.

build10240 · 28. Januar 2019

marlon09 schrieb:
Moment, ich dachte es dürfte erst gar nicht zum Download kommen..?

Sprich, das System sollte schon eingreifen BEVOR es zum Download kommt..?

Das funktioniert aber nur, wenn sich der Virenscanner mit Hackermethoden in die verschlüsselte Verbindung zwischen Server und Browser einklinkt. Da der Defender zumindest bei Browsern von Drittanbietern diese von vielen Seiten kritisierten Methoden nicht anwendet, wird die Datei eben erst nach dem Download überprüft. Dann klappt das in der Regel auch mit dem Sperren.

Der Scan von Downloads ist ein nettes, aber überflüssiges Gimmick, das noch dazu die Sicherheit der Verbindungen untergräbt. Nicht umsonst bemängeln Bankwebseiten, Google ReCaptcha und Co. des öfteren diese von den AV-Herstellern untergeschobenen Zertifikate zur Verschlüsselung der Verbindung.

In Edge und bei anderen Browsern nach dem Download wird sowieso der Smart Screen Filter aktiv, so man den nicht in einem Anfall von geistiger Umnachtung und fehlgeleiteter Datenschutzpanik abgeschaltet hat - Kaspersky, Avira und Co. machen das immerhin genauso, nur daß das eher in deren Kleingedruckten steht. Ohne Cloudüberprüfung und Live-Signaturen aus der Cloud könnte heute nämlich kein Virenscanner im Wettbewerb mithalten.

EckRentner · 28. Januar 2019

Habe jetzt nochmal neu getestet und von https://www.etes.de/downloads/eicar-testvirus/
die 3 Testdateien eicar.com, eicar.zip und eicar.tgz runtergeladen. Mit Firefox. Kein Hinweis
vom Defender.

Beim Rechtklick auf eicar.com und eicar.zip hat sofort der Defender zugeschlagen.
Beim Rechtklick auf eicar.tgz hat sich gar nichts getan. Keine Ahnung, was das
für eine Datei ist und wie sie zu öffnen ist. Bei einem Scan stand aber sofort
der Defender auf der Matte.

Muß ich mir jetzt Sorgen machen oder nicht? Lt. PeterK müßte ja schon das Runterladen
verhindert werden.

PS
Lt build10240 ist das aber doch ok?!

Und was ist eine *.tgz? Und das Malwarebytes beim Scan nichts merkt, finde ich komisch.
Habe aber hier Einiges gelernt

!Anwender · 28. Januar 2019

eine *.tgz ist eine gepackte Datei die nach dem Download entpackt werden muss mit dem Explorer z.Bsp , und auch bei diesem Befehl schlägt der Defender dann an,

Siehe dann im Verlauf nach und damit ist alles ok

PeteM92 · 28. Januar 2019

müßte ja schon das Runterladen verhindert werden

Wie soll Dein Defender auf Deinem Rechner eine Datei überprüfen, solange sie nicht heruntergeladen wurde?
Selbstverständlich wir die heruntergeladen, in einen Temp-Ordner. Aber der Defender verschiebt die sofort in Quarantäne. Wenn der Virus in einem Archiv verpackt ist (tgz zum Beispiel), dann natürlich erst, wenn Du versuchst, das Archiv zu öffnen. Vorher ist das ja auch ungefährlich.

Gelöschtes Mitglied 73230 · 28. Januar 2019

Das Malwarebtes (Freeversion) nichts findet ist doch nicht verwunderlich. Beim "Eicar"handelt es sich um einen "Troyaner"also echt harte Virensache.
Malwarebtes ist dafür gedacht PUP und PUA zu eliminieren,nicht aber Viren.Wurmer und anderen harten Stoff.

build10240 · 28. Januar 2019

Der Eicar ist ein Testvirus und mindestens alle auf https://www.amtso.org/feature-settings-check-download-of-malware/ genannte AV-Scanner unterstützen das. Malwarebytes aber eben nicht, wie man auch auf https://en.wikipedia.org/wiki/EICAR_test_file nachlesen kann.

Malwarebytes Anti-Malware ist auch ein vollständiges AV-Programm. Der einzige Unterschied zu anderen ist, daß es als zweite Meinung gebraucht werden kann, weil sich die Wächterkomponente abschalten läßt bzw. andere AV-Scanner nicht stört.

Gelöschtes Mitglied 73230 · 29. Januar 2019

Na ja,man muss natürlich schon unterscheiden zwischen der Free - und der Premiumversion von Malwarebytes
DieFreeversion ist das was wir seit Jahren kennen und schätzen,ein Zusatz zum Defender oder FremdAV und die Premium wurde eben aufgemotzt zu einem eigenen vollständigen AV Programm.Bei Letzerem sollte man sich dann entscheiden,was man will.,weil beide zusammen behindern sich wohl eher gegenseitig wegen dem doppelten Echtzeitschutz.Ich glaube,Windows deaktiviert in diesem Fall Defender automatisch.

PeterK · 29. Januar 2019

AW: Defender und eicar-Test

Henry E. schrieb:
Das ist völlig normal

Was ist daran völlig normal?
Es ist zwar nur eine Testdatei aber der Defender sollte als erstes den Download verhindern, falls die Datei mit irgendeinem anderen Browser herunter geladen wird sollte der Defender in den Virus Container verschieben und dies auch melden, macht er das erst wenn man versucht die Datei mit beispielsweise den Editor zu öffnen ist das eine Katastrophe, das ist ein Armutszeugnis, da kann @Martin auch noch soviel gutes über den Defender Schreiben https://www.drwindows.de/news/neuer-antivirus-vergleich-unter-windows-10-defender-bleibt-stark

Dann macht es wirklich Sinn sich eine andere Antivirus Suite zu installieren, wenn ich mir anschaue wie viele Word & Excel Dokumente in der Firma noch verschickt werden und direkt aus Outlook geladen werden, will ich mir erst gar nicht vorstellen was da alles Passieren kann.

So sollte der Download eigentlich schon verhindert werden...

!Anwender · 29. Januar 2019

AW: Defender und eicar-Test

Eventuell hätte ich dazu schreiben sollen dass dieses Vorgehen wie in Beitrag 19 und 22 gezeigt, bei Firefox normal ist, denn bei anderen Browsern wird der Download ja gar nicht zu gelassen, wie in den Beiträgen danach zu lesen ist

Welche AV-Software da nun besser ist muss jeder für sich entscheiden, nur wenn Probleme bei Windows Updates auftreten sollte man sich auch im klaren drüber sein warum.

build10240 · 29. Januar 2019

Es ist zwar nur eine Testdatei aber der Defender sollte als erstes den Download verhindern, falls die Datei mit irgendeinem anderen Browser herunter geladen wird sollte der Defender in den Virus Container verschieben und dies auch melden

Kein Virenscanner kann das leisten, wenn Du eicar.com via https herunterlädst und der Scanner sich nicht Zugang zu diese Verbindung geschafft hat.

macht er das erst wenn man versucht die Datei mit beispielsweise den Editor zu öffnen ist das eine Katastrophe, das ist ein Armutszeugnis

Ein Armutszeugnis ist, wenn sich Kaspersky und Co. in verschlüsselte Verbindungen hacken um Scheinsicherheit verkaufen zu können. So gut wie jeder nicht von der AV-Industrie abhängige Experte kritisiert diese Methoden. Wenn ein Scanner den Start einer verdächtigen ausführbaren Datei verhindert, ist das völlig ausreichend.

Für den Browser gibt es andere Methoden die besser und sicherer Angriffe verhindern. SmartScreen-Filter oder Safe Browsing nebst einem guten Ad- und Scripblocker mit guten Filterlisten sind sehr viel besser geeignet als das unsichere Hacken der Verbindung durch einen Virenscanner.

PeterK · 29. Januar 2019

Welche AV-Software da nun besser ist muss jeder für sich entscheiden, nur wenn Probleme bei Windows Updates auftreten sollte man sich auch im klaren drüber sein warum.

Da hast du Natürlich vollkommen Recht, aber ich habe das Testweise schon Avast einfach beim Upgrade einfach laufen lassen "Natürlich nicht ohne vorher ein Backup zu erstellen" und es gab keinerlei Probleme, sofern Avast vorher Aktuell gewesen ist.

Auch Acronis True Image kann man Laufen lassen, was ich aber noch nicht getestet habe ist Acronis True Image 2019 Cyber Protection mit Laufen zu lassen möglicherweise muss das vor einem Upgrade Abgeschaltet werden.

Also solange die Maschine Unangetastet und nicht durch irgendwelche Tools verändert oder verschlimmbessert wird ist das überhaupt kein Problem.

PeteM92 · 29. Januar 2019

Hat schon mal jemand versucht, dieses Eicar-Testfile herunterzuladen, wenn der Defender deaktiviert ist?
Mit Edge und Google-Chrome geht das nicht, mit Firefox schon. Da spielt also noch ein anderer Mechanismus mit, nicht nur der lokale Virenschutz.

PeterK · 29. Januar 2019

Hat schon mal jemand versucht, dieses Eicar-Testfile herunterzuladen, wenn der Defender deaktiviert ist?
Mit Edge und Google-Chrome geht das nicht, mit Firefox schon. Da spielt also noch ein anderer Mechanismus mit, nicht nur der lokale Virenschutz.

Da muss ich dir Leider widersprechen auch mit deaktivierten Defender als auch Avast Antivirus lässt sich bei mir das Eicar-Testfile nicht herunterladen, die Verbindung wird bei mir sofort unterbrochen!

build10240 · 29. Januar 2019

Die Browser enthalten eigene Sicherheitsfunktionen. Bei Firefox gibt's zwar auch Safe Browsing von Google, aber das ist ja nur eine Blacklist mit verdächtigen Seiten, wozu natürlich Seiten mit dem Eicar-Testvirus nicht unbedingt gehören.

PeterK · 29. Januar 2019

Die Haupt Seite von Eicar-Testvirus kann ich mit deaktivierten Defender als auch Avast Antivirus ganz normal mit dem Firefox auch Aufrufen, nur sobald ich auf eine der Downloads Klicke wird die Seite in meinem Firefox Blockiert.

Mit meinem Windows 7 Rechner mit Deaktivierten Avast Antivirus schlägt sofort Malwarebyts Alarm und unterbricht den Download und auf meinem Debian Rechner schlägt Clam Antivirus nur Alarm wenn ich die Eicar.com Datei laden will.

Und vorhin habe ich es mal mit einem Windows 10 v1803 Rechner in der Firma getestet, Edge als Browser da schlägt der Defender nur bei der Eicar.com Datei und der .zip Datei Alarm die .tar Datei wird widerspruchslos herunter geladen.

Freizeit · 29. Januar 2019

Ich habe jetzt einmal eine 3-monatige Probeversion von F-Secure auf meinem Desktop installiert zum Testen der Blockierung der jeweiligen Eicar-Dateien.
Das Verhalten gefällt mir wesentlich besser als das vom Defender und von Malwarebytes Premium.
Die jeweiligen Eicar-Downloads mit FF und Chrome werden sofort blockiert und man erhält sofort ein Gefühl der Sicherheit weil man weiß, dass es blockieren sollte.
Das ist sicher für die meisten User ein gutes Sicherheitsgefühl, weil man die Blockierung vorraussetzt.

Am schlechtesten schneidet dabei Malwarebytes ab.
Wobei ich die Meinung vertrete, Downloads mit Schadstoffen behaftet, sollten erst gar nicht auf den PC gelangen können.

IngoBingo · 31. Januar 2019

Downloads von eicar.com per Chrome werden hier vom Defender sauber entfernt, egal ob per http oder https heruntergeladen. Nichts anderes hätte ich auch erwartet. Die Sandbox-Funktion ist seit ihrem Erscheinen aktiv.

Ein "Sicherheitsgefühl" ist eigentlich genau falsch. Das führt dazu, dass man sich auf Werkzeuge wie Virenscanner verlässt - und das ist der genau falsche Weg. Virenscanner sind allesamt nicht unfehlbar und weit weg von perfekt. Der Virenscanner ist eigentlich nur der "Airbag", der vielleicht noch was retten kann, wenn alle Sicherheitsfunktionen versagt haben. Als nichts sonst sollte man sowas sehen.

Anzeige

Anzeige

[gelöst] Warnung vor Defender-Sandbox

Gelöschtes Mitglied 73230

Gast

Windows 11 aktuell

Ohne Backup geht gar nichts!

gehört zum Inventar

treuer Stammgast

Windows 11 aktuell

gehört zum Inventar

Gelöschtes Mitglied 73230

Gast

gehört zum Inventar

Gelöschtes Mitglied 73230

Gast

Anhänge

Immer auf der Schraube

Windows 11 aktuell

gehört zum Inventar

Immer auf der Schraube

gehört zum Inventar

Immer auf der Schraube

gehört zum Inventar

Immer auf der Schraube

Ohne Backup geht gar nichts!

Moderator