Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[simracer]

Ich habe nicht gesagt, dass er nicht auf youtube war, nur stark bezweifelt, dass er sich da infzierte.

Kann gut sein das sich auf youtube ein weiteres Fenster geöffnet hat und dadurch die Infektion kam, wissen wir nicht weil wir nicht dabei waren.

[SLE]

Kann gut sein das sich auf youtube ein weiteres Fenster geöffnet hat ...

Mhm. Naja irgendwann ist immer das erste Mal

[simracer]

So isses SLE und nach nun ungefähr 4 Jahren hat es meinen Schwager nun leider auch einmal erwischt mit einer Infektion.

[Schattenfang]

Ich schließe zu 99,9 % aus, dass er sich die Infektion über Youtube eingefangen hat. Das ist quasi unmöglich. Aber ich sage sowas meiner Frau auch immer

Ist aber auch egal, der Infektionsweg spielt ja keine Rolle. Ich drücke in solchen Fällen meist auf "Sandbox schließen" und plötzlich war gar nichts

Der Beitrag wurde von Schattenfang bearbeitet: 01.10.2013, 18:18

[SLE]

Ich schließe zu 99,9 % aus, dass er sich die Infektion über Youtube eingefangen hat. Das ist quasi unmöglich.

Ich sagte ja er war vielleicht der erste immerhin habe ich auch noch nicht von aufpoppenden Fenstern auf YT gehört. Wobei, bei Anglervideos gib es vielleicht fiese Köder??
Aber solange Leute glauben es kommt von youtube ist die nächste Infektion nicht weit.

Ich drücke in solchen Fällen meist auf "Sandbox schließen" und plötzlich war gar nichts

Welche Sandbox hat eine so benannte Funktion?

Der Beitrag wurde von SLE bearbeitet: 01.10.2013, 20:05

[Gast_florian5248_*]

Ich wollte Schattenfang mit seiner Antwort nicht vorgreifen, denke aber mal er meint Sandboxie..

Wobei, bei Anglervideos gib es vielleicht fiese Köder??

Psycho

Aber ich sage sowas meiner Frau auch immer

Auch das kommt mir bekannt vor.

@SLE
KIS2014 bietet doch auch da einen gewissen Schutz "Ransom & Co " oder ?

Ansonsten war der Monolog von heute Nachmittag absolut Fernsehreif.

Der Beitrag wurde von florian5248 bearbeitet: 01.10.2013, 20:19

[Gast_florian5248_*]

@SLE

KIS2014 bietet doch auch da einen gewissen Schutz "Ransom & Co " oder ?

Kannst du es bitte beantworten. Danke.....

[SLE]

Ich wollte Schattenfang mit seiner Antwort nicht vorgreifen, denke aber mal er meint Sandboxie..

Ich auch, aber für die Mitleser sollte er präziser werden ;-) "Sandbox schließen" kenne zumindest ich als Option nicht. Je nach Einstellung reicht es jedoch alle Programme in der SB zu beenden oder diese danach zusätzlich manuell zu leeren. Einen Ransom wird man in der Sandbox eh nicht merken, da er sich nicht wie erforderlich im System einnisten kann.

@SLE
KIS2014 bietet doch auch da einen gewissen Schutz "Ransom & Co " oder ?

KIS bietet einen gewissen Schutz schon immer, auf mehreren Ebenen: Erkennung (Signatur, Cloud, Heuristik, ZETA), Prozessschutz (HIPS, Exploit Protection) und Schutz vieler der Ressourcen die Ransoms verändern müssen (HIPS) um zu funktionieren. Ransomware hatte es bei installiertem KIS schon in den letzten Jahren viel schwerer als bei anderen Produkten.

Neu in der 2014 ist eine Option, selbst dann noch einreifen zu können, wenn so ein Ding doch mal installiert wurde. Der Versuch den Bildschirm beim Boot zu sperren wird dabei erkannt und der Ransom kann auch selbst über eine Tastkombi beendet werden, so dass man wieder auf das System kommt und z.b. ein Rollback anstoßen kann. Realisiert wird dies über einen Treiber.

Einstellen kannst du es unter: Schutz-Center - Aktivitätsmonitor - Schutz vor Ransomware. Da kannst du auch ggf. die Tastenkombination anpassen. (siehe auch hier)

[simracer]

KIS bietet einen gewissen Schutz schon immer, auf mehreren Ebenen: Erkennung (Signatur, Cloud, Heuristik, ZETA), Prozessschutz (HIPS, Exploit Protection) und Schutz vieler der Ressourcen die Ransoms verändern müssen (HIPS) um zu funktionieren. Ransomware hatte es bei installiertem KIS schon in den letzten Jahren viel schwerer als bei anderen Produkten.

Neu in der 2014 ist eine Option, selbst dann noch einreifen zu können, wenn so ein Ding doch mal installiert wurde. Der Versuch den Bildschirm beim Boot zu sperren wird dabei erkannt und der Ransom kann auch selbst über eine Tastkombi beendet werden, so dass man wieder auf das System kommt und z.b. ein Rollback anstoßen kann. Realisiert wird dies über einen Treiber.

SLE, wie schaut es denn bei Comodo(Defense+) und Online Armor(HIPS=Programmwächter)aus? bieten deren HIPS Komponenten auch einen gewissen Schutz vor Ransoms? wie du ja weißt, hatte ich schon mehrfach Ransom Files hier auf dem Desktop zum Asführen und diese wurden beim Ausführungsversuch von Online Armor erkannt und gestoppt. Wie wirksam(oder auch nicht)wäre dann das HIPS von Comodo bzw Online Armor wenn man mit dem Browser online ist und man da auf einen Ransom "trifft" der als Drive by Download "daherkommt"?

[Gast_florian5248_*]

Danke SLE, für die, wie immer Top Erklärung.

Da ich KIS2014 benutze ist mir auch die Tastenkombi bekannt.

Auch hatte ich an DefenseWall und AppGuard geschnüffelt. Weiß jetzt nicht ob ich das zusammen bekommen. Eine war nicht für 64bit geeignet und andere nicht W8 Schade.

Der Beitrag wurde von florian5248 bearbeitet: 02.10.2013, 08:59

[SLE]

SLE, wie schaut es denn bei Comodo(Defense+) und Online Armor(HIPS=Programmwächter)aus? bieten deren HIPS Komponenten auch einen gewissen Schutz vor Ransoms?

Einen gewissen Schutz bieten alle Programme, bei HIPSen gibt es durch die überwachten Ressourcen noch einen Zugewinn zu AVs. Ob der Nutzer ggf. eine Nachfrage kapiert sei dahingestellt. So umfangreich wie bei KIS ist der Schutz aber nicht.

Wie es bei Comodo aktuell aussieht weiß ich nicht sicher (sollte aber behoben sein), die v5 hat(te?) aber gerade bei Ransoms eklatante Schwächen, da die betreffenden Ressourcen nicht geschützt waren.

@Florian:
Auf Win8 laufen beide, DefenseWall aktuell aber nur auf x86.

Der Beitrag wurde von SLE bearbeitet: 02.10.2013, 09:02

[simracer]

Einen gewissen Schutz bieten alle Programme, bei HIPSen gibt es durch die überwachten Ressourcen noch einen Zugewinn zu AVs. Ob der Nutzer ggf. eine Nachfrage kapiert sei dahingestellt. So umfangreich wie bei KIS ist der Schutz aber nicht.

Wie es bei Comodo aktuell aussieht weiß ich nicht sicher (sollte aber behoben sein), die v5 hat(te?) aber gerade bei Ransoms eklatante Schwächen, da die betreffenden Ressourcen nicht geschützt waren.

Erstmal auch Danke von mir für deine Erklärung
Ich wusste bis heute nur nicht(mangels Praxis am eigenen PC)wie der Programmwächter(HIPS)von Online Armor reagieren würde bei einem Szenario wie es bei meinem Shwager der Fall war weil ich bis jetzt "nur" Ransom Files hier hatte die ich mir auf dem Desktop abspeicherte und dann ausführte um zu sehen wie die Virenschutz Programme oder Online Armor reagieren würde. Positiv war: Der Programmwächter von Online Armor verhindete bei allen Ransom Files das Ausführen, Infektionen fanden keine statt aber das auf dem Desktop gespeicherte Ransom File wurde auch nicht gelöscht bzw nicht in Quarantäne verschoben. Bei Comodo 5 mit Defense+ fiel mir damals auf das nicht alle Ransom Files(es waren nicht so viele wie mit OA)am Ausführen gehindert wurden und es teilweise zu Infektionen kam aber wenn Comodo ein Ransom File am Ausführen hindete, wurde dieses auch von Comodo in Quarantäne verschoben.
Was ich(und auch andere in meinem Umfeld)nicht verstehen ist warum es vielen Virenschutz Herstellern nicht gelingt, die Ransom Erkennung spürbar zu verbessern?

Ob der Nutzer ggf. eine Nachfrage kapiert sei dahingestellt.

Und auch deshalb würde ich in meinem Umfeld keinem Online Armor oder Comodo FW Defense+ empfehlen oder gar denen installieren wollen weil die Leute erstmal genervt wären durch die Abfragefenster und dann wahrscheinlich mal falsch klicken würden(bei Malware erlauben)und ich mir womöglich hinterher anhören müsste: "Du hast mir doch das Programm empfohlen bzw es mir installiert". Würde ich meinem Schwager zum Beispiel neben AVG Online Armor oder Comodo FW Defense+ installieren, würde mein Telefon nicht mehr still stehen weil er mich ständig anrufen würde und würde mich dann fragen ob er erlauben oder verbieten klicken müsse.

Der Beitrag wurde von simracer bearbeitet: 02.10.2013, 09:24

[Gast_florian5248_*]

Jetzt ist da Thema so ausgeufert das ich noch dazu schreibe.

Gerade Gruppenlizenz 3PC AppGuard gebunkert. So ist das Leben.

[simracer]

Schönen Tag,
ein Ransom, mit im Moment sehr geringer Erkennung.



Virustotal: https://www.virustotal.com/de/file/5ed13636...c7ecf2/analysis

Scheint sich ja zu häufen mit den Seiten und anscheinend sind nicht nur Windows User in Deutschland betroffen sondern auch Linux User aus Österreich wenn ich das Bild von wrohr: http://www.pc-sicherheit.net/post26027.html#p26027 aus dem anderen Forum richtig interpretiere.

Der Beitrag wurde von simracer bearbeitet: 07.10.2013, 17:00

[simracer]

Nicht schön und besser gemacht als die ersten Beispiele(die ich kenne)der sog. Bundestrojaner Websperrseiten:

[ciacomo]

Download classic Shell löscht Norton gleich mal - siehe Foto
Datei bei VT: 0 Erkennungen
 2013.10.29_16h47m03s_001_.png ( 30.5KB ) Anzahl der Downloads: 33

VG

Der Beitrag wurde von ciacomo bearbeitet: 29.10.2013, 16:51

[Solution-Design]

Download classic Shell löscht Norton gleich mal - siehe Foto
Datei bei VT: 0 Erkennungen

Norton hat ja auch Kacheln. Wahrscheinlich Computerliebe

[olli]

ist wahrscheinlich zu neu... hatte ich bei der vorherigen Version auch. Versuche es morgen noch einmal.
Bis denne
Olli

[Gast_blueX_*]

Meldung eines False Positive bei Norton: https://submit.symantec.com/false_positive/

[Kenshiro]

Ein paar Uploadergebnisse [bunt gemischt]:

1
2
3
4
5
6