Guten Tag,

leider hat es heute den Laptop meiner Freundin erwischt. Da ich selbst noch nie Probleme mit Malware oder ähnlichem hatte, wäre ich über fachkundige Hilfe und Rat sehr dankbar.

Beim Surfen erhielt meine Freundin heute mehrere Meldungen von Avast darüber, dass etwas geblockt wurde. Den Screenshot der Reportdatei vom Avast Webschutz hänge ich an.

Der PC ist ein Netbook mit Windows 7 Starter, SP 1 ist drauf. Browser wird ausscließlich Firefox genutzt mit AdblockPlus (leider kein NoScript). Flash ist aktuell, Java ist nicht installiert. Der PC wird auch zu Geschäften wie Online-Banking, Ebay, etc. genutzt.

Wie sollte man jetzt am besten vorgehen, um auszuschließen dass der PC infiziert ist?

Derzeit läuft ein Vollscan mit MBAM. Ergebnis reiche ich nach.

Ich wäre sehr dankbar, wenn ihr mir helfen könntet.

Ich möchte anfügen, dass ich beim Avast Support nachgefragt habe, wie man sich am besten verhalten sollte. Nur als Info, da dies in manchen Foren als Dealbreaker angesehen wird. Ich weiss nicht, ob mein Englisch ausreicht, um dort viel nachzufragen, daher fühle ich mich hier definitiv besser aufgehoben.

Danke und Grüße
Markus

Der Beitrag wurde von hoesta bearbeitet: 26.09.2012, 13:36

Auch, und herzlich willkommen.
Wenn etwas geblockt wurde, dann ist das eher ungefährlich. Was sagt der komplette Scan mit Avast?
Der hier kann natürlich extra laufen. OK. Wenn es Ergebnisse gibt, dann berichte bitte.
Ich denke nicht, dass es im beschriebenen Fall und so, wie Du es beschrieben hast, zu einer Infektion gekommen ist (natürlich erst den Scan abwarten). Wenn Du allerdings Restzweifel hast, dann setze das Ding einfach neu auf. Könnte bei einem Netbook der schnellere und psychologisch bessere Weg sein.

J4U

Hallo und Willkommen hoesta, so wie ich das lese, schlug der Avast Webschutz mehrfach an als deine Freundin online war und verhinderte den Zugriff auf Webseiten. Wenn da jedes Mal stand das Avast Webschutz etwas geblockt hatte, dann kam keine Malware auf das System deiner Freundin und ihr braucht eigentlich keine Angst zu haben das eine Infektion stattfand. Aber es ist nicht verkehrt(und auch um das Gewissen zu beruhigen )wenn ein kompletter Scan mit Malwarebytes(hoffentlich habt ihr nur die Free installiert) und meinetwegen auch mit Avast eine Vollständige Überprüfung durchgeführt wird.

Falls ihr Online Banking im Web-Browser macht und ihr keine spezielle Online Banking Software verwendet, schaut euch doch mal hier das Projekt Secure Banking: http://www.rokop-security.de/index.php?showtopic=22239 an oder aber die derzeitige Chip Promotion Aktion bei der es für lau eine Online Banking Software gibt: http://www.chip.de/news/Steganos-Online-Ba...2_49700107.html

Es gibt auch ein deutschsprachiges Avast Forum: http://forum.avadas.de/forum.php aber ich denke, hier gibt es mindestens genau so gute Hilfe wie im besagten Avast Forum das vom deutschen Avast Reseller Procello unterstützt wird.

Der Beitrag wurde von simracer bearbeitet: 26.09.2012, 15:55

Hallo,

erstmal vielen Dank für eure Antworten.


Davon bin ich schon nach euren beiden Posts voll überzeugt.

Ok, hier also das Ergebnis eines sehr langen Nachmittags. Wenn ich das Netbook vor mir hätte, wäre es sicher schneller gegangen, aber dank Skype weiß ich, dass alle Scans korrekt durchgeführt wurden.

- vollständiger Scan mit Avast. Scaneinstellungen sind seit der Installation unverändert geblieben. Das einzige was ich damals bei der Installation angepasst hatte, war, alle Aktionen auf "Nachfragen" zu stellen. Das bedeutet: Scangrad Mittel, nicht nach PUP scannen, sonst eben eine vollständiger Scan.

Keine Funde.

Avast zeigt in der Schutzübersicht nur Funde beim Webschutz (1274/7 geprüft), nichts beim Dateisystemschutz o.ä.

- vollständiger Scan mit MBAM (Free Version), vorher Programmaktualisierung und Definitionsaktualisierung.



- Suchlauf mit HitmanPro (hatte ich beim Aufsetzen des Netbooks zum Glück installiert, als OnDemandScanner).

Keine Funde.

Soweit also die Ergebnisse.

Mich hatte in dem Screenshot von den Avast-Meldung gestört, dass die ersten 6 URLs nicht ganz angezeigt werden, die entsprechen aber der letzten URL (ist also dieselbe Seite).

Folgendes habe ich noch nicht machen lassen. Würde das eurer Meinung nach noch Sinn machen bzw. wäre das nocht nötig?

- Versuchen zu rekonstruieren, wo genau wie gesurft wurde zu der betr. Zeit (über die FF Chronik). Bisher habe ich nur die Aussage: "ich habe gesurft und da kamen Popups". Ist aber eigentlich auch egal oder?

- OTL und dieser Rootkit-Scanner aswMBR.exe

Was sonst noch:


Eigentlich geht es nur um die Restzweifel Heutzutage lernt man ja, auf gar keinen Fall einem AV-Programm zu trauen und daher bin ich natürlich froh über die Scans, aber irgendwo ganz hinten im Hinterkopf sag ich mir: das sagt doch gar nichts aus, 100% kannst du nicht sicher sein. Neu aufsetzen könnte ich frühestens in 6-8 Wochen. Leider.


Herzlichen Dank für eure Hilfe!

Der Beitrag wurde von hoesta bearbeitet: 26.09.2012, 18:53

Ich kann mir nicht vorstellen nachdem du mit den verschiedenen Scannern das System hast scannen lassen von deiner Freundin und es dabei keine Funde gab, das da noch eine Infektion auf ihrem Laptop wäre. Und was die 100% betrifft, die gibt es nicht, irgendwo findet Malware immer wieder mal auf Windows-Systemen ein Schlupfloch um eindringen zu können und wenn ich nach dem Avast Webschutz ginge der mir eine Seite blockte und dadurch eine Infektion verhinderte, dann müsste ich fast alle 2 Wochen mein System neu aufsetzen weil in dem Zeitraum ich wieder mal auf eine Webseite stieß bei der der Avast Webschutz diese blockte und meldete das eine Infektion dort gestoppt wurde
Was ich dir bzw deiner Freundin mit auf dem Weg geben könnte: achtet darauf das das System stets aktuell ist, das alle Programme und Anwendungen(vor allem Java Runtime, Flashplayer usw.)immer aktualisiert werden und wenn eine externe Festplatte vorhanden ist, das ihr euch mit dem Thema Systembackup beschäftigt. Will heissen: holt euch ein Backup/Image Programm und erstellt damit auf die externe Festplatte(falss eine vorhanden ist)ein Systembackup/image. Dazu verlinke ich dir mal 2 Programme die beim aktualisieren des Systems behilflich sind und ein empfehlenswertes Backup Program(allesamt Freeware):
http://www.filehippo.com/de/updatechecker/
http://www.chip.de/downloads/Secunia-Perso...I_28151435.html
http://www.chip.de/downloads/Paragon-Backu...e_32533759.html

Doch , es sagt aus, dass keine bekannte Bedrohung gefunden wurde.
Vielleicht fühlt sich der Hinterkopf wohler, wenn bis dahin kein Online-Banking & Co. durchgeführt wird? Wenn Du das Ding neu machst, dann wechsle danach die Passwörter aus. Sollte man sowieso ab und an machen und das wäre ein günstiger Zeitpunkt.

J4U

Deshalb benutze ich keins.

Wenn das WEB-Filter/Sucher/Blocker, also der http-Scanner eines AVs Alarm schlägt, dann sollte man die Seite meiden. Die gemeldete JavaScript-Malware kann natürlich eine Seite betreffen, welche die bis Freitag vorhandene Internet-Explorer-Sicherheitslücke ausnutzten möchte. Da bist mit dem FireFox schon mal außen vor. Einen JS-Blocker habe ich noch nie benutzt, aufgrund der Komfort-Einschränkungen. AddBlock schützt ja schon in diese Richtung, da Mist auch gerne über Werbung und versteckte Inhalte verteilt wird.

Das Avast jetzt die Seite nicht vollständig anzeigt ist dusslig. Gibt es da nichts als Historie? simracer?

Für mich als einfachst zu installierendes, konfigurierendes und auch zu kapierendes Schutzprogramm gilt immer noch Sandboxie als Kaufversion. Für Menschen mit häufigen Mails mit Datei-Anhängen ein AV mit Behaviour-Blocker. Mir persönlich gefällt dahingehend Symantecs AV (das Teil ohne SchlangenölDesktop-Firewall. Die Verhaltensblocker-Lösung bei Avast ist eher...Blödsinn.

Kaspersky ist auch nett. Dann hört es aber schon auf. Ausgehend davon, dass der Nutzer mit "Nichts" zu tun haben möchte.

Meinst du jetzt eine Avast Webschutz Historie? so etwas: http://www.avast.com/de-de/lp-fr-security-...&p_vbd=1466?
Edit: Die Avast Webschutz Report Datei(die in der GUI)ist leer bei mir, zeige ich dir deshalb nicht. Allerdings gibt es(XP als mein Beispiel)ein Avast Verzeichnist mit einem Ordner report darin: C/Dokumente und Einstellungen/All Users/Anwendungsdaten/Avast Software/Avast/report:

Der Beitrag wurde von simracer bearbeitet: 26.09.2012, 20:20

Die Textdatei WEB-Shield. Sind dort die aufgesuchten geblockten Links vollständig aufgeführt? Wenn ja, dann ist es perfekt.

Bei mir ist logischerweise die Textdatei WEB-Shield leer. Müsse wir mal schauen, ob hoesta diese Datei vom System seiner Freundin hier posten/anhängen kann bzw will.

Hallo,

das ist genau der Screenshot vom allerersten Post. Das ist die Reportdatei. Dort gibt es 7 Meldungen, so steht es auch in der Übersicht. Die dort gelisteten 7 URLs wurden geblockt (Aktion jeweils blockiert).

Ergebnisse 1-6 sind irgendwie gekürzt, das letzte Ergebnis eine volle URL. Wir haben dann nachgeschaut: wenn man mit der Maus über die anderen 6 Ergebnisse fährt, sieht man, dass es immer dieselbe URL ist.

Also immer directagain.net und dann eben die Zusätze des jeweiligen Ergebnisses.

Hilft das weiter?

Der Beitrag wurde von hoesta bearbeitet: 27.09.2012, 06:42

Hallo hoesta, Solution-Design hätte gerne die Text Datei vom Webschutz gesehen. Schau mal unter Dokumente und Einstellungen/All Users/Anwendungsdaten/Avast Software/Avast/report dort nach einer Webshield Text Datei und poste den Inhalt davon.

Ah ok, müsste ich dann wieder per Fernanleitung suchen lassen. Ich versuchs.
Ich hab bei mir selber nachgeschaut und da ist eine lange Liste mit Datum und Einträgen "Diese Reportdatei wurde erstellt am" und das erste Datum ist das der Erstinstallation von Avast auf dem PC.


Dort muss doch aber exakt dasselbe stehen wie in der Reportdatei vom Screenshot oder?

Poste einfach den Inhalt der Web Shield Text Datei hier im Forum oder lade diese als Anhang hoch.

Ja, aber ungekürzt und für den gesamten Verlauf. Es ist eben eine Schwäche von Avast, das es leider immer noch nicht geschafft wurde vernünftige und konfigurierbare reports einzubauen.

Zum Kernproblem: Eigentlich kein Grund zur Panik, wenn du jedesmal wenn irgendein Webscanner meint etwas geblockt zu haben einen Vollscan bzw. sogar noch einen Scan mit anderen Tools durchführst machst du irgendwann nichts anderes mehr. Überflüssig.

Avast hat dne Zugriff geblockt. Ob es schädlich war oder nicht ist daraus erstmal nicht ersichtlich, aber egal.

@SLE
Eine Frage meinerseits an dich(da du dich ja auskennst): was wäre denn beim System der Freundin von hoesta passiert wenn Sie ein Virenschutz Programm zu dem Zeitpunkt installiert gehabt hätte, das keinen Webschutz hat? Hätte da die(vom Avast Webschutz geblockte)Infektion auf ihr System eindringen können oder hätte da zum Beispiel dessen Echtzeitschutz Modul(OnAccess Scanner)angeschlagen und die Infektion verhindert?

Der Beitrag wurde von simracer bearbeitet: 27.09.2012, 09:48

Warum so pessimistisch SLE? es gibt doch bei Avast für jedes Echtzeitschutz Modul eine Statistik in der GUI die man sich anzeigen lassen kann und eine Reportdatei auch in der GUI die man aufrufen kann. Zusätzlich gibt es in dem genannten Verzeichnis den Ordner report mit Text Report Dateien für jedes Schutz Modul die man auch aufrufen und reinschauen kann. Ausserdem, wenn man das: aktiviert und auf Reort Datei erstellen klickt, bekommt man online das: http://www.avast.com/de-de/lp-fr-security-...&p_vbd=1466 angezeigt

Der Beitrag wurde von simracer bearbeitet: 27.09.2012, 12:33

Dazu muss man wissen: Hier wurde ja erstmal nur ein Javascript gemeldet, mehr nicht. War es schädlich, was war es bzw. sollte es machen, wie ist der Browser eingestellt etc.
Wenn: Höchstwahrscheinlich ja, es sieht aber absolut nicht nach einem dieser unrealistischen Einzelfälle aus aus, wo ein Webschutz hilfreich wäre.

Auf jedem Fall bringt es nicht viel nach so einer Sache Scans zu starten. Wenn das AV was durchgelassen hätte (wofür es null Anzeichen gibt), würde ich diesem dann nicht noch im Scan vertrauen.



Statistiken sind Gimmicks und nicht zu vergleichen mit Reports mit denen man sinnvoll arbeiten kann. Hier sieht man ja es ist schon schwer möglicht die komplette Quelle zu erkennen - also Mist. Avast bietet eben seit Ewigkeiten nur diese Textdateien, die aber wenn entsprechend gefüllt auch extrem unübersichtlich sind und nicht leicht zu filtern etc.

Die Version 5 war ein guter Beginn, mal sowas eine brauchbare GUI hinzukriegen. (leider mit Schwächen: Flash voraussetzen etc.) Aber irgendwie hat man dann aufgehört und angehalten hier konsequent weiterzumachen.

Der Beitrag wurde von SLE bearbeitet: 27.09.2012, 13:01

Nehmen wir mal an, es war ein schädliches Javascript, dann hat doch in dem Fall der Avast Webschutz funktioniert und das ausführen des schädlichen Javascripts verhindert und somit auch einer Infektion vorgebeugt, das finde ich schon mal gut weil ja Virenschutz Programme genau das tun sollen: Infektionen zu vermeiden. Was mir jetzt noch nicht ersichtlich ist: ein Virenschutz Programm ohne Webschutz, hätte das genauso reagieren können und das schädliche Javascript stoppen können oder hätte das Javascript aktiv werden können und der Hintergrundwächter des Virenschutz Programms ohne Webschutz hätte "erst" dann in Aktion treten können?
Ausserdem verstehe ich nicht die Diskussionen hier im Forum zum Thema Webschutz ob so ein Modul nun sinnvoll ist oder nicht. Der Fall von hoestas Freundin hat doch gezeigt das ein Webschutz Modul kein Placebo ist, sondern eine Schutzfunktion/instanz die eine Stufe früher greift als ein OnAccess Scanner und erfogreich eine(mögliche)Infektion verhinderte.
.
Dazu muss man glaube ich aber auch hoesta etwas zur Seite stehen, der neu im Forum ist und besorgt war und deshalb als Absicherung/Gegenkontrolle ein paar OnDemand Scanner auf dem System hat laufen lassen. Das finde ich für ihn schon so weit in Ordnung weil er sich Sorgen machte und sich um das System kümmern wollte.

Der Beitrag wurde von simracer bearbeitet: 27.09.2012, 13:20

Hi,

was ich erstmal aus euren Antworten sehe, ist, dass die Meldung über blockierte Infektionen an sich nicht unüblich ist und erstmal auch nur besagt, dass etwas blockiert wurde. Das war mir ehrlich gesagt nicht ganz klar, weil ich ausser Fehlalarmen von Avira noch nie seit 3 Jahren Avast Erfahrungen mit diesen Meldungen hatte. Daher die Scans. Die Ondemand-Scanner auch eben aus dem Grund um sicher zu gehen, dass Avast nichts übersehen hat.

Das (englische) Avast-forum ist nicht übermässig hilfreich. Gut, dass ich hier gepostet und Hilfe bekommen habe. Ich habe dort eine von den URLs zur Prüfung gepostet, aber mehr als OLT bitte und könnte gefährlich sein, wurde nicht gesagt.

URL ist:
directagain.net/in.php?source=7777q=ciesuid=56rnd=0j1aomGQdgans8berqbv%2Bg%3D%3D

Vorsicht, da es wirklich Malware beinhalten könnte.

Ich bin erstmal zuversichtlich, dass effektiv geblockt wurde, falls es etwas zu blocken gab.

Der Beitrag wurde von hoesta bearbeitet: 27.09.2012, 14:57