Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
17.03.2013, 17:53
Beitrag
#181
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Besserer Vorschlag von dir für betroffenen ONU der kein aktuelles Systembackup hat? Und: es funktioniert wenn man Malwarebytes als "Bereiniger" installiert hat(mit nicht zu alten Signaturen). Ja, aber der ist leider komplizierter. Oft genug entfernt nämlich MBAM nur einen Teil (den Ursprung) und bleibt dann blind. (soviel zu es funktioniert) Dann gilt es nämlich mal ein paar gescheite Logs anzufertigen (AVZ/OTL) und in speziellen Foren vorstellig zu werden. -------------------- Don't believe the hype!
|
|
|
17.03.2013, 18:21
Beitrag
#182
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.354 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
ZITAT Ja, aber der ist leider komplizierter. Oft genug entfernt nämlich MBAM nur einen Teil (den Ursprung) und bleibt dann blind. (soviel zu es funktioniert) Dann hatte ich ja bis jetzt mit Malwarebytes Glück. Oder wie erklärst du dann das es immer Infektionen an den gleichen Orten waren und andere Scanner wie Emergency Kit oder Kaspersky Rescue Disk nach den Scans mit Malwarebytes nichts mehr fanden? Es waren(laut Malwarebytes)immer solche Fundorte: ZITAT HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\xxxxxxxxx\Anwendungsdaten\skype.dat -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\skype.dat (Trojan.Ransom.ED) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\xxxxxxxx\desktop\animal-sex-video.avi.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt. Beziehungsweise: manchmal fehlte auch schon die letzte Infizierung bei einem Malwarebytes Scan(Desktop)weil das File auf dem Desktop(ich hab mir die Files immer auf das Desktop kopiert)vom Virenschutz Programm in dessen Qurantäne verschoben wurde bei dessen Ausführung. -------------------- |
|
|
17.03.2013, 19:01
Beitrag
#183
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Dann hatte ich ja bis jetzt mit Malwarebytes Glück. Oder wie erklärst du dann das es immer Infektionen an den gleichen Orten waren ... Weil man Startupentries nicht an beliebigen Orten anlegen kann. Die bestehen i.d.R. immer aus einem Regeintrag (hier Winlogon...soll ja gleich beim Booten kommen) und einem File in den Anwendungsdaten das dadurch gestartet wird. Der Dropper auf dem Desktop (wenn die Infektion wie hier über direktes Dateistarten geschieht) löscht sich auch gern mal selbst nach der Ausführung. Diese Aktionen sollte jeder BB erkennen - und müsste es auch. Zeigt aber alles nur, dass du bisher mit den harmlosesten Spielzeugvarianten dieser Dinger experimentiert hast (die es oft über den Link dieses Topics gibt)Die kann man auch "per Hand" entfernen (siehe z.B. Sempervideo). Es gibt und gab aber eben auch weitaus komplexere die noch mehr Unfug machen: Systemdateien verbiegen, Sachen nachladen, Dateien verschlüsseln. Und das sind genau die Sachen wo MWb a.) oft versagt und b.) ein Löschen nur bestimmter Dateien über MWB eine Desinfektion sogar unmöglich machen kann. und andere Scanner wie Emergency Kit oder Kaspersky Rescue Disk nach den Scans mit Malwarebytes nichts mehr fanden? Dies war und ist aber noch nie ein gutes Vorgehen gewesen um eine Infektion bzw. den Umfang oder Reste dieser festzustellen. -------------------- Don't believe the hype!
|
|
|
17.03.2013, 19:13
Beitrag
#184
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.354 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
ZITAT Zeigt aber alles nur, dass du bisher mit den harmlosesten Spielzeugvarianten dieser Dinger experimentiert hast (die es oft über den Link dieses Topics gibt) Hab ich(dir)ja auch immer geschrieben bzw erwähnt das es die Files waren aus den Links von blueX zu Anfang des Threads ZITAT Es gibt und gab aber eben auch weitaus komplexere die noch mehr Unfug machen: Systemdateien verbiegen, Sachen nachladen, Dateien verschlüsseln. Und das sind genau die Sachen wo MWb a.) oft versagt und b.) ein Löschen nur bestimmter Dateien über MWB eine Desinfektion sogar unmöglich machen kann. Das will ich ja gar nicht bestreiten SLE und bei denen "Kalibern" ist es dann besser wenn man sich hilfesuchend an Spezialisten wie das Trojaner Board zum Beispiel wendet, einen PC Fachmann zur Hand hat oder aber wenn man ein sauberes Systembackup/image hat. -------------------- |
|
|
Gast_blueX_* |
26.03.2013, 20:41
Beitrag
#185
|
Threadersteller Gäste |
Abschließend zur Kenntnis:
Die URLs sind zwischenzeitlich nicht mehr erreichbar. Ich denke, da hat jemand bemerkt, dass die URLs von einigen AVs überwacht werden. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 22:47 |