Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

10 Seiten V  < 1 2 3 4 > »   
Closed TopicStart new topic
> Innerhalb weniger Minuten ist die Malware wieder undetected
simracer
Beitrag 29.11.2012, 00:14
Beitrag #21



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Beim Ausführen der Datei(die ich vorher aufs Desktop kopierte)reagierte Avast so: und dann wurden Dateien(laut Avast Rootkit)in den Container verschoben:

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 00:14


--------------------
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 00:29
Beitrag #22



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Malwarebytes alias Chica PC-Shield Free fand per Schnellüberprüfung auch 4 Files:
ZITAT
ChicaPC-Shield 1.65.1.1000
www.chicalogic.com

Datenbank Version: v2012.11.28.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxxxxxx :: xxxxxxxxxxxxxxx [Administrator]

29.11.2012 00:14:49
cpcs-log-2012-11-29 (00-14-49).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 234237
Laufzeit: 4 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\n (Trojan.0Access) -> Löschen bei Neustart.

(Ende)


--------------------
Go to the top of the page
 
+Quote Post
Gast_J4U_*
Beitrag 29.11.2012, 00:45
Beitrag #23






Gäste






ZITAT(SLE @ 28.11.2012, 23:53) *
Wenn nämlich diesselbe Malware nicht über die gesperrte Webseite kommt zählt die Blacklist nichts.
Das ist nicht unwahr, wenn der nette Zeitgenosse mit dem USB-Stick... Trotzdem kann diese Datei wegen der Blacklist gar nicht erst auf den USB-Stick gelangen (theoretisch). Falls doch, Norton erkennt das Zeug zum aktuellen Zeitpunkt als Heuristikvirus, so schlecht kann die Signatur nicht sein. Ob die Verhaltensanalyse anschlägt, mag ausprobieren wer will.

J4U
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 01:27
Beitrag #24



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Ergänzend: ich hab natürlich meine Systempartition C nicht so gelassen und ein Backup/Image der Systempartition C mit der Paragon Rettungs/Boot-CD eingespielt.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 29.11.2012, 10:29
Beitrag #25



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(J4U @ 29.11.2012, 00:44) *
Das ist nicht unwahr, wenn der nette Zeitgenosse mit dem USB-Stick... Trotzdem kann diese Datei wegen der Blacklist gar nicht erst auf den USB-Stick gelangen (theoretisch).


Wenn alle dasselbe AV nutzen. Derzeit wird ja nur eine gängige ZeroAccess Variante verteilt, die sollte zumindest jeder vernünftige Verhaltensschutz mittlerweile erkennen.
Die Avast Meldung von Uwe macht in meinen Augen keinen Sinn, wenn ein Netzwerkschutz beim Ausführen anschlägt...


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 11:13
Beitrag #26



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Was ich dir bildlich nicht festhalten konnte SLE: nachdem ich die Datei ja ausgeführt hatte und da zuerst abermals der Avast Netzwerkschutz anschlug, kamen danach alle paar Minuten ein Meldefenster von Avast, in dem stand das Avast ein Rootkit gestoppt hätte das in Recycler hätte aktiv werden wollen. Ein Bild davon was dann in Container/Quarantäne verschoben wurde zeigte ich ja schon aber nachdem alle paar Minuten lang eine solche Aktion stattfand, entschloss ich mich das System mit Chica PC-Shield Free zu scannen(dessen Ergebnis postete ich ja schon)und als nach dessen Bereinigung nochmal Meldefenster von Avast kamen, scannte ich mit Malwarebytes Anti-Rootkit das System und da kam zu Anfang noch bevor der Anti-Rootkit Scanner gestartet war auch ne Meldung wegen eines Rootkits ob man das bereinigen wolle oder so ähnlich. Danach startete der Malwarebytes Anti-Rootkit Scanner und noch während dessen Scans entschloss ich mich, danach sofort ein Backup/Image der Systempartition C einzuspielen.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 29.11.2012, 11:59
Beitrag #27



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Klingt so als hätte Avast mal wieder versagt und nur die Hälfte gestoppt....Comodo auch stumm geblieben?


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 12:03
Beitrag #28



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



ZITAT
Klingt so als hätte Avast mal wieder versagt und nur die Hälfte gestoppt....Comodo auch stumm geblieben?

Hast du wohl richtig eingeschätzt SLE smile.gif ja Comodo blieb stumm(wieder ne Bestätigung für dich)und was mich an Avast etwas stört ist warum Avast nicht die Registry mit überprüft ph34r.gif
Andererseits: müsste man auch mal von anderen Usern mit deren Virenschutzlösungen lesen können, wie deren Programme reagieren wenn besagte schädliche Datei auf deren System ausgeführt wird. Ich glaube, Avast ist nicht das einzige Virenschutz Programm das da ins straucheln gerät.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 12:05


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 29.11.2012, 12:05
Beitrag #29



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(simracer @ 29.11.2012, 12:02) *
...nicht die Registry mit überprüft ph34r.gif


Warum sollte man? Bei Bereinigungen sinnvoll wenn dort irgendwas an Systemeinstellungen verbogen wurde. Der Rest ist irrelevant, wenn dort ein paar Verweise von Malware ins nichts stehen ist das ohne jegliche Auswirkungen.

€: Jedere gescheite Verhaltensblocker erkennt ZeroAccess. wink.gif Da sind eigentlich alle Tests der letzten 1,5 Jahre heranziehbar. Wenn nicht, braucht man gute Signaturen.

Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 12:07


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 12:10
Beitrag #30



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Das mein ich doch SLE: Avast überprüft bei den OnDemand Scans nicht die Registry und wie Malwarebytes und andere Scanner aufzeigen, macht sich Malware auch in der Registry breit und verändert dort Einstellungen bzw setzt eigene ich nenn es mal Befehle rein.
ZITAT
€: Jedere gescheite Verhaltensblocker erkennt ZeroAccess. wink.gif Da sind eigentlich alle Tests der letzten 1,5 Jahre heranziehbar. Wenn nicht, braucht man gute Signaturen.

Mich würde mal interessieren wie Programme wie Kaspersky, BitDefender, G-Data, Avira Premium usw auf das File, das ich ausführte, reagieren würde bei Usern die besagte Programme im Einsatz haben.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 12:16


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 29.11.2012, 12:25
Beitrag #31



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(simracer @ 29.11.2012, 12:09) *
Das mein ich doch SLE: Avast überprüft bei den OnDemand Scans nicht die Registry und wie Malwarebytes und andere Scanner aufzeigen, macht sich Malware auch in der Registry breit und verändert dort Einstellungen bzw setzt eigene ich nenn es mal Befehle rein.

Wenn aber die entsprechenden files fehlen ist das i.d.R. völlig irrelevant. Sieht toll aus wenn Scanner XY noch ein paar Traces in der Registry findet, schlimm ist es nicht.

ZITAT(simracer @ 29.11.2012, 12:09) *
Mich würde mal interessieren wie Programme wie Kaspersky, BitDefender, G-Data, Avira Premium usw auf das File, das ich ausführte, reagieren würde bei Usern die besagte Programme im Einsatz haben.

GData: BB erkennt ZA, Kaspersky sollte es mittlerweile (2013) auch in den Standardeinstellungen proaktiv stoppen, auf mehreren Wegen; BD: keine Ahnung; Avira hat bei sowas oft schnell Signaturen. Ein unkastriertes Avast mit Sandbox sollte hier auch geholfen haben.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_J4U_*
Beitrag 29.11.2012, 12:41
Beitrag #32






Gäste






ZITAT(SLE @ 29.11.2012, 12:24) *
ein paar Traces in der Registry ..., schlimm ist es nicht.
Doch, das ist schlimm weil, das tut die Registry so aufblähen. Und dann muss die geputzt werden, und die muss defragmentiert werden, und ciao.gif


Sorry, kurz vor der Spätschicht ist mir manchmal so komisch... rolleyes.gif
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 12:43
Beitrag #33



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



ZITAT
Wenn aber die entsprechenden files fehlen ist das i.d.R. völlig irrelevant. Sieht toll aus wenn Scanner XY noch ein paar Traces in der Registry findet, schlimm ist es nicht.

Dann hab ich jetzt mal als Beispiel folgende Frage an dich SLE weil du dich ja damit sehr gut auskennst: Angenommen man hat sich eine Ransomsoftware Infektion eingefangen und ein Fake AV ist demnach auf betreffendem System aktiv. Nun entschliesst sich der User(in dem Fall ich als Beispiel), das System mit dem installiertem Malwarebytes Free im Abgesicherten Modus bereinigen zu lassen. Nachdem der Scan fertig ist und man würde die Infektionen von der Säuberung/Bereinigung ausschliessen die die Registry betreffen, könnte dann Malwarebytes Free(als Beispiel)überhaupt eine Säuberung durchführen die das Fake AV richtig "wegputzt" oder blieben weiterhin Störungen des Systems und dessen Sicherheit zu befürchten durch die nicht bereinigten Registry Einträge?


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 29.11.2012, 12:57
Beitrag #34



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(simracer @ 29.11.2012, 12:42) *
Dann hab ich jetzt mal als Beispiel folgende Frage an dich SLE weil du dich ja damit sehr gut auskennst: Angenommen man hat sich eine Ransomsoftware Infektion eingefangen und ein Fake AV ist demnach auf betreffendem System aktiv. Nun entschliesst sich der User(in dem Fall ich als Beispiel), das System mit dem installiertem Malwarebytes Free im Abgesicherten Modus bereinigen zu lassen. Nachdem der Scan fertig ist und man würde die Infektionen von der Säuberung/Bereinigung ausschliessen die die Registry betreffen, könnte dann Malwarebytes Free(als Beispiel)überhaupt eine Säuberung durchführen die das Fake AV richtig "wegputzt" oder blieben weiterhin Störungen des Systems und dessen Sicherheit zu befürchten durch die nicht bereinigten Registry Einträge?


Durch die nicht bereinigten Registry Einträge bleiben keine Störungen, wohl aber durch gerade bei Ransoms gern genutzte verstellte Standard-Registry Einträge. Da ist dann eben bei der Winlogon der Explorer nicht eingetragen und zuzsätzlich werden noch ein paar Programme (Regediit, Taskmanger) an der Ausführung gehindert. Folglich bereinigt man das System samt Registry, aber es funktioniert trotzdem nicht. Hinzu kommen oft manipulierte und ausgetauschte Systemdateien - auch da versagen viele Bereinigungen, weil löschen allein nicht hilft. Hatte gerade diese Woche wieder so einen Fall. (der hatte sogar Avast) Und hier liegt gerade auch bei Malwarebytes - einem der besseren Bereiniger - eine große Schwäche. Es gibt sehr wenige Programme, die hier intelligenter desinfizieren, z.B. Kaspersky aber auch MSE.

Bereinigt man die Registry nicht hat man vielleicht einen toten Eintrag zum Start suspekter Files, die aber eh nicht mehr existieren. Folglich irrrelevant.

Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 12:58


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 13:03
Beitrag #35



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Also SLE, ist es doch nicht so verkehrt wenn nicht sogar nützlich bei bestimmten Infektionen wie zum Beispiel Ransomsoftware wenn man einen Scanner einsetzt, der auch die Registry bereinigt und manipulierte Standard-Registry Einträge wieder korrigiert indem die Manipulationen die von der Infektion erstellt wurden gelöscht werden.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 29.11.2012, 13:09
Beitrag #36



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(simracer @ 29.11.2012, 13:02) *
Also SLE, ist es doch nicht so verkehrt wenn nicht sogar nützlich bei bestimmten Infektionen wie zum Beispiel Ransomsoftware wenn man einen Scanner einsetzt, der auch die Registry bereinigt und manipulierte Standard-Registry Einträge wieder korrigiert indem die Manipulationen die von der Infektion erstellt wurden gelöscht werden.


Ja, aber die allerallerallermeisten machen das eben nicht. Sie scannen nur die Registry und löschen - das ist oft überflüssig und reicht eben nicht. Sie verschlimmbessern oft sogar und erschweren eine manuelle Bereinigung, wobei hier die Eräuterung jetzt zu weit gehen würde.

Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 13:10


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
markusg
Beitrag 29.11.2012, 13:36
Beitrag #37



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n
und das neue Variannten auf Malware servern verteilt werden, häufig mehr mals pro Stunde ist auch nichts besonders neues :-)
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 13:46
Beitrag #38



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



ZITAT
is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n
und das neue Variannten auf Malware servern verteilt werden, häufig mehr mals pro Stunde ist auch nichts besonders neues :-)

So weit richtig deine Aussage markusg, aber auch doch nur teilweise denn ich hatte ja ganz bewusst die Avast Schutzsteuerung deaktiviert gehabt um überhaupt das tdss File runterladen und danach ausführen zu können. Ein normaler User der nicht mit Malware spielt bzw. testet, hätte auf die Reaktion des Avast Netzwerkschutz richtig reagiert und den gesperrten Zugriff auf die Seite mit der Infizierung hingenommen. Von daher hat Avast in meinen Augen nicht versagt sondern ich umging bewusst einen Schutzmechanismus(Netzwerkschutz samt Blacklist)um an das bösartige File zu gelangen.


--------------------
Go to the top of the page
 
+Quote Post
markusg
Beitrag 29.11.2012, 13:48
Beitrag #39



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



Aber da alle zero access variannten im grunde gleich sind, währe bei einer nicht auf der blacklist stehenen seite die infektion warscheinlich erfolgreich gewesen, ich neme an, du hattest den netzwerk schutz dafür deaktviert, um das file zu laden.
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.11.2012, 13:52
Beitrag #40



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Ich hatte die komplette Avast Schutzsteuerung deaktiviert um das File laden zu können. Ausserdem ist bei mir wie es SLE schon richtig andeutete, Avast etwas "kastriert" weil die Autosandbox deaktiviert ist die nach SLE's Meinung das TDSS gestoppt hätte.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 13:52


--------------------
Go to the top of the page
 
+Quote Post

10 Seiten V  < 1 2 3 4 > » 
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 07:33
Impressum