Druckversion des Themas

Geschrieben von: hoesta 26.09.2012, 13:33

Guten Tag,

leider hat es heute den Laptop meiner Freundin erwischt. Da ich selbst noch nie Probleme mit Malware oder ähnlichem hatte, wäre ich über fachkundige Hilfe und Rat sehr dankbar.

Beim Surfen erhielt meine Freundin heute mehrere Meldungen von Avast darüber, dass etwas geblockt wurde. Den Screenshot der Reportdatei vom Avast Webschutz hänge ich an.

Der PC ist ein Netbook mit Windows 7 Starter, SP 1 ist drauf. Browser wird ausscließlich Firefox genutzt mit AdblockPlus (leider kein NoScript). Flash ist aktuell, Java ist nicht installiert. Der PC wird auch zu Geschäften wie Online-Banking, Ebay, etc. genutzt.

Wie sollte man jetzt am besten vorgehen, um auszuschließen dass der PC infiziert ist?

Derzeit läuft ein Vollscan mit MBAM. Ergebnis reiche ich nach.

Ich wäre sehr dankbar, wenn ihr mir helfen könntet.

Ich möchte anfügen, dass ich beim Avast Support nachgefragt habe, wie man sich am besten verhalten sollte. Nur als Info, da dies in manchen Foren als Dealbreaker angesehen wird. Ich weiss nicht, ob mein Englisch ausreicht, um dort viel nachzufragen, daher fühle ich mich hier definitiv besser aufgehoben.

Danke und Grüße
Markus

Geschrieben von: J4U 26.09.2012, 14:18

Auch, und herzlich willkommen.
Wenn etwas geblockt wurde, dann ist das eher ungefährlich. Was sagt der komplette Scan mit Avast?
Der hier kann natürlich extra laufen. OK. Wenn es Ergebnisse gibt, dann berichte bitte.
Ich denke nicht, dass es im beschriebenen Fall und so, wie Du es beschrieben hast, zu einer Infektion gekommen ist (natürlich erst den Scan abwarten). Wenn Du allerdings Restzweifel hast, dann setze das Ding einfach neu auf. Könnte bei einem Netbook der schnellere und psychologisch bessere Weg sein.

J4U

Geschrieben von: simracer 26.09.2012, 15:49

Hallo und Willkommen hoesta, so wie ich das lese, schlug der Avast Webschutz mehrfach an als deine Freundin online war und verhinderte den Zugriff auf Webseiten. Wenn da jedes Mal stand das Avast Webschutz etwas geblockt hatte, dann kam keine Malware auf das System deiner Freundin und ihr braucht eigentlich keine Angst zu haben das eine Infektion stattfand. Aber es ist nicht verkehrt(und auch um das Gewissen zu beruhigen )wenn ein kompletter Scan mit Malwarebytes(hoffentlich habt ihr nur die Free installiert) und meinetwegen auch mit Avast eine Vollständige Überprüfung durchgeführt wird.

Falls ihr Online Banking im Web-Browser macht und ihr keine spezielle Online Banking Software verwendet, schaut euch doch mal hier das Projekt Secure Banking: http://www.rokop-security.de/index.php?showtopic=22239 an oder aber die derzeitige Chip Promotion Aktion bei der es für lau eine Online Banking Software gibt: http://www.chip.de/news/Steganos-Online-Banking-Gratis-Vollversion-2012_49700107.html

Es gibt auch ein deutschsprachiges Avast Forum: http://forum.avadas.de/forum.php aber ich denke, hier gibt es mindestens genau so gute Hilfe wie im besagten Avast Forum das vom deutschen Avast Reseller Procello unterstützt wird.

Geschrieben von: hoesta 26.09.2012, 18:51

Hallo,

erstmal vielen Dank für eure Antworten.

Davon bin ich schon nach euren beiden Posts voll überzeugt.

Ok, hier also das Ergebnis eines sehr langen Nachmittags. Wenn ich das Netbook vor mir hätte, wäre es sicher schneller gegangen, aber dank Skype weiß ich, dass alle Scans korrekt durchgeführt wurden.

- vollständiger Scan mit Avast. Scaneinstellungen sind seit der Installation unverändert geblieben. Das einzige was ich damals bei der Installation angepasst hatte, war, alle Aktionen auf "Nachfragen" zu stellen. Das bedeutet: Scangrad Mittel, nicht nach PUP scannen, sonst eben eine vollständiger Scan.

Keine Funde.

Avast zeigt in der Schutzübersicht nur Funde beim Webschutz (1274/7 geprüft), nichts beim Dateisystemschutz o.ä.

- vollständiger Scan mit MBAM (Free Version), vorher Programmaktualisierung und Definitionsaktualisierung.



- Suchlauf mit HitmanPro (hatte ich beim Aufsetzen des Netbooks zum Glück installiert, als OnDemandScanner).

Keine Funde.

Soweit also die Ergebnisse.

Mich hatte in dem Screenshot von den Avast-Meldung gestört, dass die ersten 6 URLs nicht ganz angezeigt werden, die entsprechen aber der letzten URL (ist also dieselbe Seite).

Folgendes habe ich noch nicht machen lassen. Würde das eurer Meinung nach noch Sinn machen bzw. wäre das nocht nötig?

- Versuchen zu rekonstruieren, wo genau wie gesurft wurde zu der betr. Zeit (über die FF Chronik). Bisher habe ich nur die Aussage: "ich habe gesurft und da kamen Popups". Ist aber eigentlich auch egal oder?

- OTL und dieser Rootkit-Scanner aswMBR.exe

Was sonst noch:


Eigentlich geht es nur um die Restzweifel Heutzutage lernt man ja, auf gar keinen Fall einem AV-Programm zu trauen und daher bin ich natürlich froh über die Scans, aber irgendwo ganz hinten im Hinterkopf sag ich mir: das sagt doch gar nichts aus, 100% kannst du nicht sicher sein. Neu aufsetzen könnte ich frühestens in 6-8 Wochen. Leider.


Herzlichen Dank für eure Hilfe!

Geschrieben von: simracer 26.09.2012, 19:14

Ich kann mir nicht vorstellen nachdem du mit den verschiedenen Scannern das System hast scannen lassen von deiner Freundin und es dabei keine Funde gab, das da noch eine Infektion auf ihrem Laptop wäre. Und was die 100% betrifft, die gibt es nicht, irgendwo findet Malware immer wieder mal auf Windows-Systemen ein Schlupfloch um eindringen zu können und wenn ich nach dem Avast Webschutz ginge der mir eine Seite blockte und dadurch eine Infektion verhinderte, dann müsste ich fast alle 2 Wochen mein System neu aufsetzen weil in dem Zeitraum ich wieder mal auf eine Webseite stieß bei der der Avast Webschutz diese blockte und meldete das eine Infektion dort gestoppt wurde
Was ich dir bzw deiner Freundin mit auf dem Weg geben könnte: achtet darauf das das System stets aktuell ist, das alle Programme und Anwendungen(vor allem Java Runtime, Flashplayer usw.)immer aktualisiert werden und wenn eine externe Festplatte vorhanden ist, das ihr euch mit dem Thema Systembackup beschäftigt. Will heissen: holt euch ein Backup/Image Programm und erstellt damit auf die externe Festplatte(falss eine vorhanden ist)ein Systembackup/image. Dazu verlinke ich dir mal 2 Programme die beim aktualisieren des Systems behilflich sind und ein empfehlenswertes Backup Program(allesamt Freeware):
http://www.filehippo.com/de/updatechecker/
http://www.chip.de/downloads/Secunia-Personal-Software-Inspector-PSI_28151435.html
http://www.chip.de/downloads/Paragon-Backup-Recovery-2012-Free_32533759.html

Geschrieben von: J4U 26.09.2012, 19:33

Doch , es sagt aus, dass keine bekannte Bedrohung gefunden wurde.
Vielleicht fühlt sich der Hinterkopf wohler, wenn bis dahin kein Online-Banking & Co. durchgeführt wird? Wenn Du das Ding neu machst, dann wechsle danach die Passwörter aus. Sollte man sowieso ab und an machen und das wäre ein günstiger Zeitpunkt.

J4U

Geschrieben von: Solution-Design 26.09.2012, 19:47

Deshalb benutze ich keins.

Wenn das WEB-Filter/Sucher/Blocker, also der http-Scanner eines AVs Alarm schlägt, dann sollte man die Seite meiden. Die gemeldete JavaScript-Malware kann natürlich eine Seite betreffen, welche die bis Freitag vorhandene Internet-Explorer-Sicherheitslücke ausnutzten möchte. Da bist mit dem FireFox schon mal außen vor. Einen JS-Blocker habe ich noch nie benutzt, aufgrund der Komfort-Einschränkungen. AddBlock schützt ja schon in diese Richtung, da Mist auch gerne über Werbung und versteckte Inhalte verteilt wird.

Das Avast jetzt die Seite nicht vollständig anzeigt ist dusslig. Gibt es da nichts als Historie? simracer?

Für mich als einfachst zu installierendes, konfigurierendes und auch zu kapierendes Schutzprogramm gilt immer noch Sandboxie als Kaufversion. Für Menschen mit häufigen Mails mit Datei-Anhängen ein AV mit Behaviour-Blocker. Mir persönlich gefällt dahingehend Symantecs AV (das Teil ohne SchlangenölDesktop-Firewall. Die Verhaltensblocker-Lösung bei Avast ist eher...Blödsinn.

Kaspersky ist auch nett. Dann hört es aber schon auf. Ausgehend davon, dass der Nutzer mit "Nichts" zu tun haben möchte.

Geschrieben von: simracer 26.09.2012, 19:56

Meinst du jetzt eine Avast Webschutz Historie? so etwas: http://www.abload.de/image.php?img=116gx8l.jpg http://www.abload.de/image.php?img=2w5zzr.jpg http://www.avast.com/de-de/lp-fr-security-report-t30?utm_source=prg_fav_70_0&utm_medium=prg_lnk&utm_campaign=free2paid&utm_content=prg_fav_de-desecurity-report&p_var=.%2Ffa%2Fde-de%2Fsecurity-report&p_sem=1&p_ssm=0&p_som=159612&p_sim=346131&p_fsm=2590&p_fim=0&p_msm=29&p_mim=0&p_wim=0&p_wsm=50374&p_pro=0&p_vep=7&p_ves=0&p_lqa=0&p_lsu=24&p_lst=0&p_lex=365&p_lng=de&p_lid=de-de&p_elm=58&p_vbd=1466?
Edit: Die Avast Webschutz Report Datei(die in der GUI)ist leer bei mir, zeige ich dir deshalb nicht. Allerdings gibt es(XP als mein Beispiel)ein Avast Verzeichnist mit einem Ordner report darin: C/Dokumente und Einstellungen/All Users/Anwendungsdaten/Avast Software/Avast/report: http://www.abload.de/image.php?img=37ed3k.jpg

Geschrieben von: Solution-Design 26.09.2012, 20:42

Die Textdatei WEB-Shield. Sind dort die aufgesuchten geblockten Links vollständig aufgeführt? Wenn ja, dann ist es perfekt.

Geschrieben von: simracer 26.09.2012, 20:45

Bei mir ist logischerweise die Textdatei WEB-Shield leer. Müsse wir mal schauen, ob hoesta diese Datei vom System seiner Freundin hier posten/anhängen kann bzw will.

Geschrieben von: hoesta 27.09.2012, 06:35

Hallo,

das ist genau der Screenshot vom allerersten Post. Das ist die Reportdatei. Dort gibt es 7 Meldungen, so steht es auch in der Übersicht. Die dort gelisteten 7 URLs wurden geblockt (Aktion jeweils blockiert).

Ergebnisse 1-6 sind irgendwie gekürzt, das letzte Ergebnis eine volle URL. Wir haben dann nachgeschaut: wenn man mit der Maus über die anderen 6 Ergebnisse fährt, sieht man, dass es immer dieselbe URL ist.

Also immer directagain.net und dann eben die Zusätze des jeweiligen Ergebnisses.

Hilft das weiter?

Geschrieben von: simracer 27.09.2012, 07:42

Hallo hoesta, Solution-Design hätte gerne die Text Datei vom Webschutz gesehen. Schau mal unter Dokumente und Einstellungen/All Users/Anwendungsdaten/Avast Software/Avast/report dort nach einer Webshield Text Datei und poste den Inhalt davon.

Geschrieben von: hoesta 27.09.2012, 07:51

Ah ok, müsste ich dann wieder per Fernanleitung suchen lassen. Ich versuchs.
Ich hab bei mir selber nachgeschaut und da ist eine lange Liste mit Datum und Einträgen "Diese Reportdatei wurde erstellt am" und das erste Datum ist das der Erstinstallation von Avast auf dem PC.


Dort muss doch aber exakt dasselbe stehen wie in der Reportdatei vom Screenshot oder?

Geschrieben von: simracer 27.09.2012, 08:06

Poste einfach den Inhalt der Web Shield Text Datei hier im Forum oder lade diese als Anhang hoch.

Geschrieben von: SLE 27.09.2012, 08:54

Ja, aber ungekürzt und für den gesamten Verlauf. Es ist eben eine Schwäche von Avast, das es leider immer noch nicht geschafft wurde vernünftige und konfigurierbare reports einzubauen.

Zum Kernproblem: Eigentlich kein Grund zur Panik, wenn du jedesmal wenn irgendein Webscanner meint etwas geblockt zu haben einen Vollscan bzw. sogar noch einen Scan mit anderen Tools durchführst machst du irgendwann nichts anderes mehr. Überflüssig.

Avast hat dne Zugriff geblockt. Ob es schädlich war oder nicht ist daraus erstmal nicht ersichtlich, aber egal.

Geschrieben von: simracer 27.09.2012, 09:46

@SLE
Eine Frage meinerseits an dich(da du dich ja auskennst): was wäre denn beim System der Freundin von hoesta passiert wenn Sie ein Virenschutz Programm zu dem Zeitpunkt installiert gehabt hätte, das keinen Webschutz hat? Hätte da die(vom Avast Webschutz geblockte)Infektion auf ihr System eindringen können oder hätte da zum Beispiel dessen Echtzeitschutz Modul(OnAccess Scanner)angeschlagen und die Infektion verhindert?

Geschrieben von: simracer 27.09.2012, 12:30

Warum so pessimistisch SLE? es gibt doch bei Avast für jedes Echtzeitschutz Modul eine Statistik in der GUI die man sich anzeigen lassen kann und eine Reportdatei auch in der GUI die man aufrufen kann. Zusätzlich gibt es in dem genannten Verzeichnis den Ordner report mit Text Report Dateien für jedes Schutz Modul die man auch aufrufen und reinschauen kann. Ausserdem, wenn man das: http://www.abload.de/image.php?img=182dnd.jpg aktiviert und auf Reort Datei erstellen klickt, bekommt man online das: http://www.avast.com/de-de/lp-fr-security-report-t30?utm_source=prg_fav_70_0&utm_medium=prg_lnk&utm_campaign=free2paid&utm_content=prg_fav_de-desecurity-report&p_var=.%2Ffa%2Fde-de%2Fsecurity-report&p_sem=1&p_ssm=0&p_som=159612&p_sim=346131&p_fsm=3841&p_fim=0&p_msm=37&p_mim=0&p_wim=0&p_wsm=73173&p_pro=0&p_vep=7&p_ves=0&p_lqa=0&p_lsu=24&p_lst=0&p_lex=364&p_lng=de&p_lid=de-de&p_elm=58&p_vbd=1466 angezeigt

Geschrieben von: SLE 27.09.2012, 12:59

Dazu muss man wissen: Hier wurde ja erstmal nur ein Javascript gemeldet, mehr nicht. War es schädlich, was war es bzw. sollte es machen, wie ist der Browser eingestellt etc.
Wenn: Höchstwahrscheinlich ja, es sieht aber absolut nicht nach einem dieser unrealistischen Einzelfälle aus aus, wo ein Webschutz hilfreich wäre.

Auf jedem Fall bringt es nicht viel nach so einer Sache Scans zu starten. Wenn das AV was durchgelassen hätte (wofür es null Anzeichen gibt), würde ich diesem dann nicht noch im Scan vertrauen.



Statistiken sind Gimmicks und nicht zu vergleichen mit Reports mit denen man sinnvoll arbeiten kann. Hier sieht man ja es ist schon schwer möglicht die komplette Quelle zu erkennen - also Mist. Avast bietet eben seit Ewigkeiten nur diese Textdateien, die aber wenn entsprechend gefüllt auch extrem unübersichtlich sind und nicht leicht zu filtern etc.

Die Version 5 war ein guter Beginn, mal sowas eine brauchbare GUI hinzukriegen. (leider mit Schwächen: Flash voraussetzen etc.) Aber irgendwie hat man dann aufgehört und angehalten hier konsequent weiterzumachen.

Geschrieben von: simracer 27.09.2012, 13:17

Nehmen wir mal an, es war ein schädliches Javascript, dann hat doch in dem Fall der Avast Webschutz funktioniert und das ausführen des schädlichen Javascripts verhindert und somit auch einer Infektion vorgebeugt, das finde ich schon mal gut weil ja Virenschutz Programme genau das tun sollen: Infektionen zu vermeiden. Was mir jetzt noch nicht ersichtlich ist: ein Virenschutz Programm ohne Webschutz, hätte das genauso reagieren können und das schädliche Javascript stoppen können oder hätte das Javascript aktiv werden können und der Hintergrundwächter des Virenschutz Programms ohne Webschutz hätte "erst" dann in Aktion treten können?
Ausserdem verstehe ich nicht die Diskussionen hier im Forum zum Thema Webschutz ob so ein Modul nun sinnvoll ist oder nicht. Der Fall von hoestas Freundin hat doch gezeigt das ein Webschutz Modul kein Placebo ist, sondern eine Schutzfunktion/instanz die eine Stufe früher greift als ein OnAccess Scanner und erfogreich eine(mögliche)Infektion verhinderte.
.
Dazu muss man glaube ich aber auch hoesta etwas zur Seite stehen, der neu im Forum ist und besorgt war und deshalb als Absicherung/Gegenkontrolle ein paar OnDemand Scanner auf dem System hat laufen lassen. Das finde ich für ihn schon so weit in Ordnung weil er sich Sorgen machte und sich um das System kümmern wollte.

Geschrieben von: hoesta 27.09.2012, 14:55

Hi,

was ich erstmal aus euren Antworten sehe, ist, dass die Meldung über blockierte Infektionen an sich nicht unüblich ist und erstmal auch nur besagt, dass etwas blockiert wurde. Das war mir ehrlich gesagt nicht ganz klar, weil ich ausser Fehlalarmen von Avira noch nie seit 3 Jahren Avast Erfahrungen mit diesen Meldungen hatte. Daher die Scans. Die Ondemand-Scanner auch eben aus dem Grund um sicher zu gehen, dass Avast nichts übersehen hat.

Das (englische) Avast-forum ist nicht übermässig hilfreich. Gut, dass ich hier gepostet und Hilfe bekommen habe. Ich habe dort eine von den URLs zur Prüfung gepostet, aber mehr als OLT bitte und könnte gefährlich sein, wurde nicht gesagt.

URL ist:
directagain.net/in.php?source=7777q=ciesuid=56rnd=0j1aomGQdgans8berqbv%2Bg%3D%3D

Vorsicht, da es wirklich Malware beinhalten könnte.

Ich bin erstmal zuversichtlich, dass effektiv geblockt wurde, falls es etwas zu blocken gab.

Geschrieben von: SLE 27.09.2012, 15:27

Es hat kein ausführen von schädlichem Code verhindert, sondern das Laden einer kompletten Seite - mehr nicht. Und es kam in der Vergangenheit schon öfters vor, dass eben so einfach gestrickte Webschutz Lösungen Seiten in der Blacklist haben, die gar nicht mehr exisitieren oder dadurch komplett gesperrt sind.
btw.: Die genannte Seite auch nicht mehr.


Nun die "besseren" Mechanismen hätten das Script wirklich stoppen können. Der Webschutz hat es nicht, er hat einfach den Zugriff auf eine Seite blockiert.
Und wo der Schadcode erkannt wird, völlig egal. User ist geschützt gut ist. Ob man dazu Zig-Schilde braucht sei dahingestellt.


Und? Das wann ist egal.
Die Ablehnung die, diejenigen wenigen die sich hier auskennen, bringen hat doch v.a. mit dem Ansatz des streamscannens zu tun. Auf der anderen Seite wird sich nämlich dann beschwert, dass das Browsen langsamer ist. Noch krasser, wenn Produkte den User auffordern SSL Verbindungen zu deaktivieren oder durch die eigenen Zertifikate zu ersetzten...

Ein paar IP und oder Domain Blacklists (siehe MWBPro oder EAM), sofern anständig gewartet und nicht ewig mit toten Links, sind doch nicht per se verkehrt. Dies da eben bestimmte hosts für das Verbreiten von Malware, und nur dafür bekannt sind, so gesperrt werden. So läuft man nicht in Gefahr sich darüber was neues einzufangen, was ein Stream Scanner oder ein Dateiscanner (gleiche Signaturen) nicht erkennen.


Es ist aber ein fairer Tipp, ihm dieses Sorgen zu nehmen und auf die Überflüssigkeit des Vorgehens hinzuweisen.

Andersherum. Ein Bsp.: User A hatte 1 Woche lange keine Meldung vom Webscanner, verdächtig beim doch soooo verseuchten Internet, da ging bestimmt was durch. Er hätte in dieser Logik mind. diesselben Gründe für einen on-demand Scan, wo bei einem Fund eh alles zu spät wäre.

Geschrieben von: simracer 27.09.2012, 15:28

Solche Meldungen über blockierte Anwendungen sind auch bei einem Webschutz Modul nicht unüblich hoesta denn der Webschutz greift eine Stufe früher als zum Beispiel der OnAccess Scanner eines Virenschutz Programmes und verhindert den Zugriff auf die Webseite auf der etwas infiziert ist. So wird verhindert das beim Zugriff auf die infizierte Webseite sich in deinem Beispiel das "bösartige" Javascript über den Browser Zutritt auf dein System verschaffen kann.

Mach dir deswegen keine Kopf mehr, es trat keine Infektion in Kraft/Aktion am PC deiner Freundin

Da ist nichts mehr, die URL ist wohl abgeschaltet bzw nicht mehr aktiv: http://www.abload.de/image.php?img=2qckgb.jpg

Geschrieben von: hoesta 27.09.2012, 15:48

Hi,

Danke! Ich habe es endlich kapiert, denn es geht gar nicht um eine blockierte Malware sondern um eine blockiere Seite, wenn ich es richtig verstehe. So steht es ja auch in der Reportdatei: URL geblockt, also gar nicht erst geladen. Da sitzt man irgendwie auf dem Schlauch, obwohl es glasklar dasteht.

Jetzt wird es vielleicht abstrus, aber ich traue mich mal trotzdem zu fragen: Heißt das, dass es theoretisch möglich wäre, dass Avast diese Meldung auch ausgegeben hätte, wenn die Seite auch schon gestern nicht verfügbar gewesen wäre, einfach weil sie geblacklistet ist oder wurde die Seite vor dem Zugriff gescannt?

Ein einzig Gutes hat so eine Sache: man beschäftigt sich intensiv mit Sicherheitskonzepten etc.

Nochmal und nicht oft genug: danke euch!!

Geschrieben von: SLE 27.09.2012, 15:52

JA

Geschrieben von: J4U 27.09.2012, 17:59

Ach doch, es beruhigt die Nerven, vor allem dann, wenn noch ein zweiter Scanner zum Einsatz kommt. Wer dann immer noch nicht schlafen kann, der kann sich die Zeit, bis er müde wird, mit Rechner neu aufsetzen vertreiben.

Geschrieben von: Gary12345 29.09.2012, 13:15

Hallo,

Stimmt so nicht - wenn es Verbindungen blockiert kann dennoch andere Malware auf dem PC sein.

Beispiel:

Malware nimmt Verbindungen auf, es wird blockiert jedoch wird die Malware nicht entfernt.



#Mach bitte nur einen OTL Scan nach dieser Anleitung: http://www.trojaner-board.de/85104-otl-otlogfile-by-oldtimer.html



Für einen Virenscanner ist eine Malware bekannt, für den anderen ist diesselbe Malware nicht bekannt.

Geschrieben von: hoesta 03.10.2012, 16:33

Hallo zusammen,

die o.g. Meldung tritt auf einer Seite auf die meine Freundin öfters besucht. Das hat sie jetzt bemerkt. Die URL ist (Vorsicht!):

DasBlondinchen.blogspot.de

Ist die Seite infiziert/gehackt oder sonst was?

Danke euch!

Geschrieben von: Gary12345 03.10.2012, 16:39

Das sagt zumindestens VT: https://www.virustotal.com/url/bbc93cbe7036696619b3cb2d8a9698dd36ae00af27d9d1f74c3d533abb23e11e/analysis/1349278634/

Geschrieben von: simracer 03.10.2012, 16:40

AVG meldet da einen Blackhole Exploit der blockiert wurde: http://www.abload.de/image.php?img=unbenannt1p6pkc.jpg Laut VirusTotal aber ist die Seite sauber: https://www.virustotal.com/url/bbc93cbe7036696619b3cb2d8a9698dd36ae00af27d9d1f74c3d533abb23e11e/analysis/1349278580/

Geschrieben von: Gary12345 03.10.2012, 16:43

Du gehst einfach auf die Seite ohne zu wissen was auf der ist? Was wäre denn wenn AVG nicht angeschlagen hätte?

Geschrieben von: simracer 03.10.2012, 16:48

Ganz einfach: im schlimmste Fall wäre die Paragon Rescue Disk zum Einsatz gekommen

Geschrieben von: Gary12345 03.10.2012, 16:49

Wäre aber unnötige Arbeit gewesen.

Geschrieben von: simracer 03.10.2012, 16:51

Das ja, aber in 40 Minuten(dauert bei meiner Kiste so lange)hätte ich damit wieder eine cleane Systempartition C(inkl. MBR)eingespielt gehabt

Geschrieben von: J4U 03.10.2012, 17:06

Seiten gibts...
http://safeweb.norton.com/report/show?url=http:%2F%2Fdasblondinchen.blogspot.de%2F&product=other&version=19.8.0.14&layout=SOS&lang=0701&siteName=Germany&pid=1003&source=toolbar findet die Seite jedenfalls OK.

J4U

Geschrieben von: hoesta 03.10.2012, 17:16

Die Sache lässt mir keine Ruhe. Jetzt wurden wohl Warnungen vom Netzwerk ausgegeben.

Nach knapp einer Stunde haben wir es jetzt geschafft, dass sie mir die Report-Dateien von Avast geschickt hat. Die Report-Datei von Avast vom Netzwerk-Schutz hänge ich an. Der letzte Eintrag von heute sind die Warnungen.

Außerdem hänge ich die Report-Datei vom Web-Schutz an. Hier ist der Eintrag vom 26. September, der vom damaligen Alarm von Avast, wichtig.

Könnt ihr damit irgendetwas anfangen?

Geschrieben von: Gary12345 03.10.2012, 17:20

Umsonst wird der Scanner ja nicht angeschlagen haben. Poste wie oben gesagt, einen OTL Bericht.

Geschrieben von: hoesta 03.10.2012, 17:24

Das ist leider nicht möglich, da ich das Netbook nicht hier habe.

Hast du auf der Seite oder in den Report-Dateien etwas entdeckt?

Danke und Grüße

Geschrieben von: Gary12345 03.10.2012, 17:27

Nur das etwas nicht stimmt. Ich will nur schnell sehen, ob Du infiziert wurdest.

Geschrieben von: simracer 03.10.2012, 17:31

Im Webschutz Report steht nichts von heute wohl aber von heute im Netzwerkschutz Report:

Da hat wohl der Netzwerkschutz von Avast heute etwas beblockt.

Geschrieben von: Domino 03.10.2012, 17:37

Ich kann mir nicht vorstellen, das "DasBlondinchen" wissentlich solche Skripte auf Ihre Seite packt.
Faul ist das allemal.




Domino

Geschrieben von: simracer 03.10.2012, 17:41

Wissentlich macht "DasBlondchen" das bestimmt nicht, nur ist es heutzutage so das seriöse Webseiten von Hackern infiziert werden und die Betreiber das erst später feststellen. Kann auch sein, das Avast und AVG da mit Fehlalarmen anschlugen und es False Posive sind. Kann ich nicht beurteilen.

Geschrieben von: hoesta 03.10.2012, 17:42

Was für Skripte sind das? Die Malware verteilen?

Soll ich meine Freundin mit MBAM oder Avast scannen lassen? Was wäre euer Rat?

Es ist so bescheiden, dass ich das Ding nicht vor mir habe, aber ich kann es leider nicht ändern.

Geschrieben von: Gary12345 03.10.2012, 17:43

OTL und MBAM würden da am Besten sein.

Geschrieben von: hoesta 03.10.2012, 17:50

OK. MBAM ist zum Glück auf dem Netbook installiert, dann lass ich das wieder per Anleitung einen Scan machen. Ergebnis melde ich dann. Danke euch!

Geschrieben von: hoesta 04.10.2012, 09:54

Anbei das Log von MBAM:

Schonmal gut oder?

Avast schreibt auf meine Frage ob es sich um eine infizierte Seite oder ein False Positive handelt, dass ein Dienst namens Sucuri die Seite als verdächtig einstuft. Die Erklärung habe ich nicht ganz verstanden:


http://forum.avast.com/index.php?topic=106550.0

Auch wenn die Seite infiziert wäre, hat Avast aber den Zugriff komplett geblockt beim Netwerzkschutz, also die Seite gar nicht erst aufrufen lassen, richtig?

Danke und Grüße

Geschrieben von: J4U 04.10.2012, 11:10

Es geht um http://www.google.com/translate?u=http%3A%2F%2Fblogging.nitecruzr.net%2F2012%2F09%2Fblogger-blogs-being-hijacked-by.html&hl=en&ie=UTF8&langpair=en%7Cde&langpair.x=13&langpair.y=3 (Gugel-Doitsch). Auf der Blondinchen-seite findet sich einiges von dem Instagramm-Zeug und das wird angemeckert, zumindest von Avast. Norton z.B. stuft das als ungefährlich ein, trotzdem versucht die Seite einiges an Zubehör zu laden, ohne Werbeblocker leitet die auch ganz fix mal um. So ganz sauber scheint mir das Verhalten der Seite nicht zu sein, auch wenn ich nichts gefährliches feststellen konnte.
Ich denke, Avast hat geblockt, was ihm nicht gefallen hat und dem Rechner geht es gut.

J4U

PS: ...und hier noch die Erinnerung an das Restrisiko, man weiß nie, was da draußen so vor sich geht.

Geschrieben von: simracer 04.10.2012, 11:18

Sehe ich auch so hoesta und der Scan mit Malwarebytes hat ja quasi bestätigt das sich nichts auf das Notebeook deiner Freundin "einnisten" konnte. Klar man könnte jetzt sagen Sie soll ihr System noch zusätzlich mit einer Live CD wie Kaspersky Rescue Disk 10 scannen weil da Wndows aussen vor bliebe oder auch mit OTL oder Hijack This das System checken, aber ich finde das braucht man nicht und das würde meiner Meinung nach keine bisher nicht aufgedeckten Infekionen hervorbringen. Meiner Meinung nach ist das System deiner Freundin clean.

Das ist klar J4U, ginge man danach, dürfte man mit einem Windows Rechner zumindest nie mehr online gehen, weil irgendwo im Internet immer irgendwo eine Gefahr lauert das Malware auf einem Windows Rechner eindringen könnte.

Geschrieben von: Domino 04.10.2012, 11:42

Das sagt das Virenlabor.
Aber gehackt ist die Seite allemal.


Domino

Geschrieben von: simracer 04.10.2012, 12:05

Ich konnte vorhin ihre Webseite mit Firefox im Privaten Modus aufrufen, ging zu Kontakt und schickte ihr diese Nachricht:

Ich hoffe es wird von der Webseitenbetreiberin ernst genommen.

Geschrieben von: hoesta 04.10.2012, 14:35

Erstmal und am aller wichtigsten: die Community hier ist wirklich einsame Spitze!

Danke an Domino fürs Einsenden. Das war nicht das Avast Labor oder? Dort habe ich nämlich heute morgen nochmals die URL zur Untersuchung eingereicht.

Danke auch vielmals an simracer! Das hätte ich dann auch noch in Angriff nehmen müssen. Danke!

Darf ich was in der Sache nachfragen:

was ist der Unterschied zwischen "malicious software" und "malware code"? Klingt im ersten Moment dumm, aber ist es nicht so dass der Code sozusagen eine Fernsteuerung ist, die sagt, was genau gemacht (also in dem Fall Schlimmes nachgeladen) werden soll?

Wenn also das Labor sagt, "malicious software" nein, "malware code" ja, heisst das, dass die Anleitung noch als Rest vorhanden ist, aber die eigentliche Malware nicht?

Oder ist Code an sich auch schon infiziert?

Grüße

Geschrieben von: simracer 07.10.2012, 14:57

Die Webseitenbetreiberin von DasBlondchen hat per Mail geantwortet:

Geschrieben von: hoesta 08.10.2012, 12:27

Hallo,

nachdem das Netbook nochmals mit MBAM gescannt wurde, gibt es nun einen Fund. Es könnte sich um ein False Positive handeln (Zusatz .gen), aber vielleicht könnten die Profis nochmals drüber schauen?

Anbei das Log:

Hier das Ergebnis von Virustotal. Die Datei wurde gestern schon einmal von jemand anderem gescannt, mit dem Ergebnis 2/42. Hier aber das Ergebnis von heute:

https://www.virustotal.com/file/3927bc2a5f4e017582774326a7b34c90f374474f8385b0b95f9f821088cfae03/analysis/1349694916/

Geschrieben von: Gary12345 08.10.2012, 14:20

OTL Scan nach dieser Anleitung: http://www.trojaner-board.de/85104-otl-otlogfile-by-oldtimer.html

Spielst Du GTA, v.a. GTA San Andreas?

Danke

Geschrieben von: hoesta 08.10.2012, 14:28

Hallo,

ich kann kein Log erstellen, da ich das Netbook nicht vor mir habe und meine Freundin das nicht schafft.

Kann ich dir die Datei per Email schicken vielleicht alternativ?

Sie spielt eigentlich gar keine Spiele.
Edit:Das Spiel ist nicht vorinstalliert und auch sonst nicht installiert.

Danke.

Geschrieben von: Gary12345 08.10.2012, 14:59

Hab Dir jetzt mal eine PN geschickt.

Geschrieben von: hoesta 08.10.2012, 15:10

Ich hab dir die Datei gerade geschickt. Gibst du wegen dem Ergebnis dann hier Bescheid?

Danke !!!

Geschrieben von: Gary12345 08.10.2012, 15:33

Scheint Malware zu sein. Mache mal bitte einen OTL Scan. Wäre am Besten.

Geschrieben von: simracer 08.10.2012, 15:47

Gary du hast aber schon gelesen was hoesta schrieb?

Geschrieben von: hoesta 08.10.2012, 15:57

Oh nein! Also Malware.

Nützt es irgendetwas einen Vollscan mit Avast zu machen?

Geschrieben von: Gary12345 08.10.2012, 16:17

Andere Frage: Wann hast Du denn wieder Zugriff zum PC?

Geschrieben von: hoesta 08.10.2012, 16:20

Leider erst wieder in ca. 2-3 Wochen.

Installiert sind Avast Free, MBAM Free und HitmanPro. Die kann ich per telef. Anleitung bedienen lassen.

Was kann ich tun? Hast du eine Idee um welchen Schädling es sich handelt?

Geschrieben von: SLE 08.10.2012, 16:45

Zuerst einmal Ruhe bewahren und vor allem einen FP nicht ausschließen.
- Die Datei liegt den AVs lt. Virustotal seit mindestens 2009 vor - erkennen tut von Ihnen niemand etwas. (Die generische Erkennung von TM kannst du erstmal ignorieren)
- Eine dll alleine macht nichts, da so nicht lauffähig - und auch Malwarebytes erkennt nichts weiter...

Eine normale vorbis.dll ist für Soundausgabe (bestandteil von Ogg Vorbis) und es gibt unzählige Versionen davon, da open source und vom jeweiligen Anbieter selbst kompilierbar.

edit: Schau mal, ob du am selben Speicherort auch diese Files findest: ogg.dll; vorbisenc.dll; vorbisfile.dll

Geschrieben von: hoesta 08.10.2012, 16:57

Hallo,

wir versuchen beide ruhig zu bleiben.

Alle von dir genannten Dateien sind unter demselben Pfad vorhanden.

Geschrieben von: SLE 08.10.2012, 17:05

Spricht mehr als deutlich dafür, dass die kompletten libraries von ogg vorbis installiert sind. Die sind alles andere als ein Schädling.

Also zu 99,x% ein FP - zumal ich nirgendwo eine echte Erkennung sehe (selbst Malwarebytes erkennt es nur generisch)

Geschrieben von: Gary12345 08.10.2012, 17:08

Laut Anubis ist da was anders los - aber am Besten wöchentlich Scans machen und schaun was der Bericht sagt. dll kommen meist (immer) nur mit exe.

Geschrieben von: hoesta 08.10.2012, 17:12

Vielen Dank, und das schreibe ich nicht nur so pro forma.

Gibt es eine Möglichkeit wie man MBAM aufmerksam machen kann? Sollte man das überhaupt? An Avast habe ich die Datei geschickt, per Email (an ).

@Gary: Anubis kannte ich nicht. Was ist das Ergebnis?

Geschrieben von: Gary12345 08.10.2012, 17:16

Es hat die Datei angemeckert. Ist ähnlich wie ThreatFire - hab den Bericht zurzeit nicht vor mir.

Geschrieben von: SLE 08.10.2012, 17:22

Dann poste bitte den Link und verwirre hoesta nicht so.

Geschrieben von: hoesta 08.10.2012, 17:22

Ok. Threatfire kannte ich auch nicht. Hatte irgendwo mal gelesen dass Virustotal einzig aussagekräftig ist.

Vielleicht hast du später noch die Gelegenheit den Report reinzukopieren.

Vielen dank!

Geschrieben von: Gary12345 08.10.2012, 17:58

http://anubis.iseclab.org/?action=result&task_id=1f8907608c727b9b42555b6d234b2b3be&format=html

Hab ihn doch noch gefunden

Geschrieben von: Clinton 08.10.2012, 18:09

Habe alle von http://www.rokop-security.de/index.php?s=&showtopic=22253&view=findpost&p=361611 ebenfalls hier auf meinem Rechner die alle im http://www.no23.de/no23web/MP3_OGG_Aufnahme_Software.aspx?smi=1 vorkommen. Hab sie in die Ignorelist von mbam gesetzt. Sie waren und sind definitiv (zumindest meine) FP's.

Geschrieben von: Gary12345 08.10.2012, 18:15

Dann wird Anubis wohl ein Fehler gemacht haben. Kommt wohl davon, dass das Programm eine Malware ähnliche Technik benutzt (Vermutung)

Geschrieben von: scu 08.10.2012, 18:15

Anubis macht merkwürdige Angaben. Obwohl die DLL nicht korrekt geladen werden konnte ("This application has failed to start because ogg.dll was not found. Re-installing the application may fix this problem.") werden angeblich bösartige Aktionen ausgeführt (siehe Summary). Diese sehe ich im Report aber nicht.
Sieht mir auch eher nach einem Fehlalarm aus.

Geschrieben von: hoesta 08.10.2012, 18:18

No23Recorder ist installiert und wird oft benutzt.

Verstehe ich richtig Clinton, dass bei dir MBAM dasselbe Ergebnis mit aktuellen Signaturen ausgibt und du die Dateien deswegen ausgenommen hast?

Der MBAM Scan von letzter Woche war ja ohne Ergebnis.

Geschrieben von: Gary12345 08.10.2012, 18:21

Jetzt weiß ich, warum man noch selten Anubis benutzt ThreatFire geht bei mir irgendwie nicht - jo wird wohl FP sein

Geschrieben von: SLE 08.10.2012, 18:35

Auch keine malwareähnliche Technik ;-) Und Fehler sehe ich bei Anubis nicht - eher in der Interpretation des Berichtes.

1. Geben solche Systeme (auch TF) nur Hinweise wie sich ein Programm verhält. Nur weil bei systemnahen Aktivitäten ein hoher Risikoindex besteht heißt das noch lange nichts und ist bei vielen Programm kein Hinweis auf irgendwas.

Eine gescheit eingerichtete lokale Sandbox lässt sich übrigens mit BSA oft mindestens ebensogut verwenden.

2. Sind diese Verfahren für dlls eher ungeeignet. Dll's - ob schädlich oder nicht - stehen im in Abhängigkeit und müssen geladen werden. Die Abhängigkeit wird hier am Anfang klar ausgegeben " has failed to start because ogg.dll was not found". Daran sieht man, was ich oben sagte und @Clinton konnte jetzt sogar ein Programm nennen, dass diese ogg Bibliotheken am angegeben Ort installiert.

3. Danach wurde versucht diese dll mit dem eigenen dll_analysis Tool zu prüfen, was eben nicht oft klappt... ("Error reloading Dll", "Unable To Locate Component ") Sprich: Anubis hier nicht brauchbar. Sämtliche weitere Meldungen beziehen sich dann quasi nur noch auf das eigene Analysetool und nicht auf die untersuchte dll und sind ignorierbar.

Mit Threadfire wirst du bei der dll auch keine vernünftiges Analyseergebnis bekommen.

Geschrieben von: Gary12345 08.10.2012, 18:42

Hallo,

Aber was wäre denn die Sicht, wenn es laut Recherche doch kein FPs ist (bz. die Datei unbekannt ist) - Was würde man da machen? -> OTL Scan



Ja, das ist mir auch klar. Ungeeignet ist aber nicht gleich untestbar. Man kann zumindestens testen.

Jo, ich bin mit den Google Suche auf GTA San Andreas gekommen, da soll es auch solche dlls geben --> war dann wohl mein Fehler.

LG

Geschrieben von: Clinton 08.10.2012, 19:07

Habe die Dateien lange nicht mehr getestet da sie ja im Ignore Ordner liegen. Aber ja so war das damals. Werde sie mal wieder rausholen und neu scannen. Dazu muß ich aber an diesen Rechner (XP) und das dauert noch einige Stunden.


Tja das waren sie bei mir auch ne ganze Zeit. Dann eines Tages wurden sie wieder angemeckert und danach hab ich sie getestet und dann auf die Ignorelist gesetzt.

Geschrieben von: Catweazle 08.10.2012, 19:22

Was spricht dagegen TeamViewer, auf beiden Rechner einzusetzen ?


Um das genau abzu checken was da los ist ?!

Catweazle

Geschrieben von: Clinton 08.10.2012, 19:26

Meinst Du jetzt mich?

Geschrieben von: SLE 08.10.2012, 19:53

Bei den vorliegenden Ergebnissen (sehr alt, keine echte Erkennung bei VT, kein Verdacht bei den erweiterten Infos die VT liefert, selbt bei Malwarebytes nur generisch) würde ich als unerfahrener Nutzer das Ding einfach zur Analyse einsenden.
OTL - wenn man wirklich Verdacht hat, es kann und Zeit und Muße hat, durchaus eine Möglichkeit. Oder eben AVZ - IMO etwas mächtiger. Und dann eben schauen, ob man was anderes noch finden kann. Da dll alleine...


Ja, mir hat dieser Link ja auch sofort gezeigt, dass es harmlos ist.

Geschrieben von: Catweazle 08.10.2012, 19:59

@ Clinton

Nein dich meinte ich nicht mit mein posting.

Ich meinte hoesta, und den Rechner von seiner Freundin.

Catweazle

Geschrieben von: Clinton 08.10.2012, 20:18

Nun gehts doch was schneller. Hab die Daten mal aus der Ignorelist gelöscht und mit neusten Signaturupdates gescannt. Das alte Ergebnis:

http://s7.directupload.net/file/d/3037/cjzflfct_jpg.htm

Allerdings wird kein Trojan gefunden wie bei hoesta (Trojan.Agent.Gen) sondern nur Spyware.

Hab dann mal zwei der Dateien bei Jotti hochgeladen (VT war übervoll) und das kam raus:

http://virusscan.jotti.org/de/scanresult/31d40e8014c2b1bf2d554f4e939db753bdde9855

http://virusscan.jotti.org/de/scanresult/88a55766b690e77f68229443f76b8a9bff6c7c89

Geschrieben von: J4U 08.10.2012, 20:22

Von den vorbis.dll gibt es mehrere Varianten, je nachdem, welche man erwischt. Mal isse angeblich gut, mal nicht...

J4U

Geschrieben von: hoesta 08.10.2012, 21:03

Teamviewer kannte ich noch nicht. Wir haben es über Skype versucht aber das ging auf die Dauer auf dem Netbook nicht gut.

@Clinton: Danke! Der Pfad ist bei deinen Funden auch anders, aber das kann an Win 7 liegen. Und natürlich, dass es mehrere Funde sind. Das wundert mich ja, dass die ähnlich betitelten Dateien nicht entdeckt werden.

Vielleicht meldet sich Avast noch auf meine Email.

Geschrieben von: Joybringer 09.10.2012, 19:16

Wenn du bzw. ihr sowieso von Restzweifeln geplagt seid, würde ich persönlich @J4U's zweitem Ratschlag aus Beitrag #6 folgen und das Netbook, sobald es wieder möglich ist, neu aufsetzen. Denn so wie ich das hier verfolge, dreht sich alles nur ergebnislos im Kreis.

Bei den Trojaner-Boardern wird's übrigens auch nicht anders laufen: http://www.trojaner-board.de/125368-trojan-agent-gen-fund-mbam.html

Allerdings spricht auch nichts dagegen, die restlichen Wochen mit weiteren Spekulationen, Scans, Logerstellungen etc. zu überbrücken.

Ps: Deine Freundin ist nicht in der Lage, das BS neu aufzuspielen?

Geschrieben von: hoesta 11.10.2012, 17:29

Hallo,

ich komme leider erst heute dazu wieder zu schreiben.

Nachdem sich das Avast Labor bis heute nicht gemeldet hat, habe ich vorgestern die Datei an Avira geschickt und nach einem halben Tag Antwort bekommen. Ergebnis: KNOWN CLEAN. Es wurde sogar darauf hingewiesen, dass es sich um einen Teil des No23Recorders handelt. Daraufhin habe ich die Datei an MBAM geschickt. Das geht eigentlich nur über den ProModus des Programms (ziemlich kompliziert). Ich habe dann einfach die Datei angehängt an meine Mail an den Support mit dem Hinweis, dass die Datei clean ist und definitiv ein FP vorliegt. Nach einem Tag wieder Antwort, dass es behoben ist.

Erneuter Vollscan mit MBAM des Systems ohne Funde.

Ich kann nur jedem empfehlen, FPs an MBAM zu melden. (@Clinton) Sehr nett und sehr schnell die Antworten von dort.

Ich hoffe, dass war es mit Problemen. Ich danke euch allen nochmal. Ich habe glaube ich gelernt, erstmal Ruhe zu bewahren in solchen Dingen.

Ich wünschte, dass ich meiner besseren Hälfte beibringen könnte, nicht alles anzuklicken was nicht auf 3 ausgeblendet ist, aber da kommt nur zurück: "wozu gibt es denn sonst das Internet und AV-Programme" Tja...