Sandbox bei Avast Freeversion

Und was ich auch überhaupt nicht versteh: Ich habe gestern ein Programm in dieser Sandbox laufen lassen, ein bißchen rumgespielt und auch ein paar Einstellungen verändert. Und heute öffne ich das Programm nochmal und die Werte sind so wie ich sie gestern eingestellt habe (also nicht mehr default). Wie kann das sein?

  1. Welche Art von Aussage…??
  2. Worüber willst du dir sicher sein…? Ob das Programm sauber ist…??
  3. Sprichst du von der Autosandbox oder der normalen Sandbox…??

Ob das Programm sauber ist, genau das.

Ich verwende die Avast Freeversion, nehme an das heisst Autosandbox, denke aber auch das das relativ egal sein müsste, Sandbox ist doch Sandbox, oder?

Ok, teste das Programm bei VirusTotal: http://www.virustotal.com/
Und poste den Link der Ergebnisseite hier.

http://www.virustotal.com/file-scan/report.html?id=e8f1d7b7c114830a2d98da229fc67e35d404f1904bf2304c45ddf0edf32eda83-1312148129

2 beschweren sich:

CAT-QuickHeal 11.00 2011.07.31 (Suspicious) - DNAScan
eSafe 7.0.17.0 2011.07.31 Suspicious File

Ergebnisse per MD5:
http://systemexplorer.net/filereviews.php?fid=626063
http://www.threatexpert.com/report.aspx?md5=3a7ad705023930c7782eb1a222177b58

Und das sagt mir jetzt was?

(Finde auf den Webseiten nur Hinweise a la
Is the Process “s2kctl.exe” Safe or Threat ? There is no review for this file …)

Für mich scheint es sauber zu sein.
Habe es aber auch an einen Spezialisten weitergeleitet.
Geb’ dir Bescheid, wenn es Neuigkeiten gibt.
Schönen Tag,
asyn

Damit wir uns nicht falsch verstehen…
Du sprichst über dieses Programm: http://www.majorgeeks.com/download4216.html
Richtig…??
Schönen Abend,
asyn

Nein. Das ist eine ältere Version des Programms. (Hat dieses Programm denselben Hashwert? Sollte eigentlich nicht.)

Also es geht um s2kctl15b103.zip (zB hier: http://www.stargaz0r.nm.ru/files/s2kctl15b103.zip )

  1. Ja, schon klar, wollte nur wissen, ob es um dieses Programm geht. (Diese Version wäre auf alle Fälle sicher.)
  2. Die (Fern-)Analyse war unklar, deshalb würde ich zumindest Vorsicht walten lassen.
    Bitte sende die Datei ans Virenlabor für eine genauere Untersuchung: virus(at)avast.com
    Danke,
    asyn
  1. Habe mal spasseshalber diese ältere Version von www.majorgeeks.com geladen: aber auch da springt die Sandbox an. (Woher weisst Du dass diese Version sicher ist und warum weiss es avast nicht auch?)
  2. erledigt. Hoffe ich musste da nicht noch irgendwas texten…
  1. Weil die ältere Version schon durchgetestet wurde. Und die ASB springt an, weil es trotzdem ein Programm ist, daß sich tief ins System eingräbt und “ungewöhnliche Aktionen” durchführt. Wie soll das von der Heuristik unterschieden werden…? Geht nicht.
  2. Danke. Nein, du mußt nichts “texten”. :wink:

Danke auch schon mal für die nette Unterstützung bis hier.

Aber die Sandbox sollte doch eigentlich nur anspringen, wenn eine Gefahr besteht, und wenn avast nun scheinbar weiß, dass das Programm sicher ist, ist es ja eigentlich unnötig, dass die Sandbox anspringt. Könnte man sowas nicht zB über den Hash-Wert regeln?

Andere Frage:
Kann der Normaluser eigentlich auch nachschauen, dass gewisse Programme von avast als sicher eingestuft sind (bei denen aber die Sandbox anspringt)?

  1. Gerne.
  2. Grundsätzlich könnte man das. Allerdings würde es mit einer extremen Verlangsamung einhergehen.
  3. Nein, leider nicht.

Man könnte ja die Option “Überprüfen, ob das Programm sicher ist” anbieten
(neben den Sandbox-Optionen “in der Sandbox öffnen (empfohlen)” / “Normal öffnen” / “abbrechen”)

Und wer entscheidet das, ob ein Programm sicher ist oder nicht? ???

Diese Frage musst Du wenn dann an Asyn stellen (vgl Post Nr 32)

Nein, das bringt gar nichts.
Jegliche Datei wird ohnehin von den diversen Schilden überprüft.
Denke, das wollte dir auch TerraX mit seiner Nachricht sagen. (Bitte um Korrektur, falls ich hier falsch liege…!)
Schönen Sonntag,
asyn

Hier behauptest Du doch eine alte Version des Programms ist sicher. Wie kannst Du das dann behaupten wenn nicht avast dieselbe Überprüfung wie Du vornehmen können soll?