gdata 2010

[gelöscht] · 27. März 2009

Hi,

ich habe letztens auf GDATA 2010 geupdatet und seid dem springt, wenn ich auf dem SuRun Konto einen EXplorer starte immer die Datenausführungsverhinderung auf und dann stürtzt der Explorer.exe Prozess ab. Dies passiert aber nicht mit einem als Admin gestarteten Explorer oder als Admin selbst.
ich hab schon die GDATA Hotline befragt aber die wussten auch nichts und sagten mir die entwicklung würde sich drum kümmern, das war vor 2 wochen (ziemlich erbärmlich für GDATA schließlich bekommen die Programmierer ja dafür ihr Geld).
jetzt würde ich gern wissen ob noch jemand das problem kennt und mir vielleicht sogar sagen kann, was ich in surun oder irgentwoanders einstellen kann.
die Datenausführungsverhinderung ist auf den system standart einstellungen also nur für erforderliche windows-programme und dienste aktiv.

ty schon mal im voraus

ps: nicht meckern wegen der nicht immer vorhandenen groß- und kleinschreibung

KKay · 29. März 2009

Ich habe mir die Testversion von GDATA AV 2010 installiert und die läuft ohne mullen und knullen.

Mir fällt zwar auf, dass der Scanner ohne Admin-Rechte keinen Zugriff auf manche Dateien bekommt und man ihn so als Administrator laufen lassen muss (Das hätte auch vom Dienst erledigt werden können), dass man zum Verstellen der Einstellungen Admin-Rechte braucht (Das könnte konfigurierbar sein) und dass der Scanner ein mit UPX 1.25 gepacktes WordPad 5.1.2600.1106 (xpsp1.020828-1920) als Trojaner (Gen:Trojan.Heur.5064051070) erkennt, aber abstürzen tut nichts.

Sstbk · 24. Dez 2010

Hi!
Ich habe genau das gleiche Problem.
Nur habe ich kein GDATA installiert, sondern Avira bzw. seit Rechner-Neuinstallation McAfee.
Sowohl vor als auch nach Neuistallation habe ich das Problem sporadisch.
Ich kann kein Muster ausmachen, wonach dieser Ausführungsverhinderungsdienst kommt. :-/
Wie können wir dem Problem auf die Schliche kommen?
Auswertung aller installierter Programme?
Es wäre echt klasse diese nervigen Abstürze abzuschalten.

Viele Grüße,
StBk

KKay · 29. Dez 2010

Sorry für die späte Antwort.

Ich habe eine Meldung des Ausführungsverhinderungs-Dienstes noch nie gesehen.
Bei welchem SuRun und welchem Betriebssystem tritt der Fehler auf?

Sstbk · 29. Dez 2010

Hi!
Kein Thema, ist ja schließlich Weihnachten gewesen. :-)
Ich habe Version 1.2.0.8 installiert.
Als Betriebssystem ist WinXP SP3 drauf (inkl. aller Updates).
Gestern habe ich leider verpasst einen Screenshot zu machen, aber sobald es wieder auftritt werde ich das nacholen.
Im Prinzip ist das nur ein Popup mit der Meldung, dass der Ausführungsverhinderungsdienst eine AUsführung verhindert hat und ein Button "Meldung schließen".
Nach drücken dieses Buttons kommt die Absturzmeldung der explorer.exe

Viele Grüße,
Stefan

KKay · 29. Dez 2010

Ist das Problem vielleicht mit SuRun 1.2.0.9 behoben?
(Da wurde die Initialisierung der Hooks verändert)

Sstbk · 29. Dez 2010

Ich werde die mal installieren.
Kann ich die einfach drüber installieren, oder muss ich vorher deinstallieren?

KKay · 29. Dez 2010

Einfach drüber installieren.

Sstbk · 29. Dez 2010

Ich kam zwar noch nicht dazu die Installation zu machen, aber das Problem ist wieder aufgetaucht und ich habe mal ein Screenshot gemacht.
Hier die Fehlermeldung:

Hier die Absturzmeldung:

Und hier die weiterführende Info:

Sstbk · 30. Dez 2010

Also ich habe jetzt die neuste Version installiert.
Ich weiß nicht ob es Zufall ar oder ob es damit in Verbindung steht, aber direkt danach ist mein McAfee angesprungen mit folgendem Bild:

Er hat einen Registrierungsschlüssel einem Dialer zugeordnet.
Wurde der Schlüssel von SuRun erstellt?

Und heute ist übrigens der Datenausführungsverhinderungsdienst wieder gekommen.
Also die neue Version hat keine Besserung gebracht.

KKay · 30. Dez 2010

StBk wrote: Er hat einen Registrierungsschlüssel einem Dialer zugeordnet.
Wurde der Schlüssel von SuRun erstellt?

Nein! Definitiv nicht.

StBk wrote: Und heute ist übrigens der Datenausführungsverhinderungsdienst wieder gekommen.
Also die neue Version hat keine Besserung gebracht.

Mist! Ich habe eine Ahnung, woran das liegen kann.
Vielleicht hast Du ja wirklich "Bewohner" in Deinem System, die sich nicht mit SuRun vertragen... Ich glaube aber eher, dass eine Explorer-Erweiterung nicht mit SuRun's IAT-Hook harmoniert.

Wenn Du in SuRun's Einstellungen die Option "Zeige Einstellungen für erfahrene Benutzer" aktivierst und dann auf der Seite Programmfilter die zweite Option von oben ("Direkt in Programme...") deaktivierst, hast Du dann immer noch das Problem mit der Datenausführungsverhinderung? (Du musst Dich ab- und wieder anmelden!)

Sstbk · 3. Jan 2011

Kay:1293705491 wrote: Mist! Ich habe eine Ahnung, woran das liegen kann.
Vielleicht hast Du ja wirklich "Bewohner" in Deinem System, die sich nicht mit SuRun vertragen... Ich glaube aber eher, dass eine Explorer-Erweiterung nicht mit SuRun's IAT-Hook harmoniert.

Ich habe meines Wissens nur 7-Zip und McAfee als Erweiterungen des Explorers. (oder: was ist alles eine Erweiterung?)
Viel ist auf dem System noch nicht drauf, da es ja auch erst recht neu aufgesetzt ist und ich nicht gleich immer 100% draufspiele, sondern nur was ich grade brauche.

Kay:1293705491 wrote: Wenn Du in SuRun's Einstellungen die Option "Zeige Einstellungen für erfahrene Benutzer" aktivierst und dann auf der Seite Programmfilter die zweite Option von oben ("Direkt in Programme...") deaktivierst, hast Du dann immer noch das Problem mit der Datenausführungsverhinderung? (Du musst Dich ab- und wieder anmelden!)

Ich habe die Option mal deaktiviert und seitdem erstmal keinen Absturz mehr gehabt.
Was ist denn der Unterschied bei der Option?

KKay · 3. Jan 2011

StBk wrote: Ich habe die Option mal deaktiviert und seitdem erstmal keinen Absturz mehr gehabt.
Was ist denn der Unterschied bei der Option?

Mit der Option de-/aktiviert man SuRun's IAT-Hook

SuRun versucht abzufangen, wenn ein Programm gestartet werden soll. Microsoft hat dazu leider kein API.
Die Option bewirkt, das SuRun direkt Speicher in allen Programmen so verändert, dass einige Windows-Funktionen zunächst in SuRun-Funktionen "verbogen" werden. Diese SuRun-Funktionen rufen evtl. die originalen Windows-Funktionen auf oder starten über den SuRun-Dienst Programme automagisch mit gehobenen Rechten.

Malware und Anti-Malware Programme benutzen u.A. dieselbe Technik, um sich ins System zu hängen.

Das scheint mit einem Programm in Deinem Setup und SuRun zusammen nicht zu funktionieren.

Wenn Du SuRun's "AutoMagie" nicht brauchst, lass am Besten die Option deaktiviert.
Wenn Du sie brauchst, muss ich zunächst ein Szenario in einer VM nachstellen, bei dem Explorer auch abstürzt. Dann kann ich die Stelle suchen, an der es "knallt".

Sstbk · 18. Jan 2011

Also jetzt sind wieder 2 Wochen vergangen und ich habe das Problem nicht wieder bekommen.
Anscheinend hast du also Recht.
Ich habe auch (außer dass ich keine Abbrüche mehr habe) bisher keinerlei Veränderungen am Systemverhalten festgestellt.
Hätte ich's überhaupt irgendwie bemerken können, dass der IAT-Hook deaktiviert ist?

KKay · 21. Jan 2011

Der IAT-Hook übernimmt den Großteil der automatisch zu startenden Sachen, besonders ab Vista.
Der ShellExecute-Hook ist weit weniger effektiv, aber brauchbar unter WinXP/2k.

Wenn Du keine Programme benutzt, die "automagisch mit gehobenen Rechten" gestartet werden sollen, brauchst Du keinen der Hooks.