Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[SLE]

Von daher hat Avast in meinen Augen nicht versagt sondern ich umging bewusst einen Schutzmechanismus(Netzwerkschutz samt Blacklist)um an das bösartige File zu gelangen.

Avast versagt hier insofern völlig, da nicht alle Einfallstore auf die Blacklist kommen können. Wollen wir hoffen, dass es wenigsten in den Standardeinstellungen mit Sandbox mittlerweile hier greift (sollte aber), denn mit Signaturen sind sie auch nicht bei den schnellsten dabei. Das TDL und ZeroAccess Verhalten ist seit über einem Jahr im Grunde dasselbe und Avast wurden die proaktiven Schwächen dazu oftmals aufgezeigt. Das dein (ebenfalls kastriertes) Comodo hier schweigt wundert mich fast noch mehr, den hier kann und sollte man das HIPS doch recht präzise einstellen, wenn man die Autosandbox deaktiviert.

Insofern: Auch wenn du im gewählten Falle etwas deaktiviert hast um an das File zu kommen, zeigt das Beispiel das dein momentanes Setup nicht effektiv gegen eine der weitverbreitesten Gefahren schützt. Natürlich kann man zugute halten, dass man sobald man die Infektion merkt ein Image (hier unbedingt samt MBR) zurückspielen kann. Aber auch da kann schon Schaden vorliegen: geklaute PW etc.

[simracer]

Natürlich kann man zugute halten, dass man sobald man die Infektion merkt ein Image (hier unbedingt samt MBR) zurückspielen kann. Aber auch da kann schon Schaden vorliegen: geklaute PW etc.

SLE, glaubst du etwa, ich erstelle Backups von der Systempartition C ohne MBR? nein die Option MBR und auch die Option Erste Spur der Festplatte(Sektor 0)sind immer aktiviert wenn ich ein solches Backup erstelle. Ausserdem bin ich jetzt mal über "meinen eigenen Schatten gesprungen" und habe die Avast Autosandbox aktiviert mit der Einstellung auf Nachfragen.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 14:17

[SLE]

Ausserdem bin ich jetzt mal über "meinen eigenen Schatten gesprungen" und habe die Avast Autosandbox aktiviert mit der Einstellung auf Nachfragen.

Na dann, erneut ausführen und schauen ob's hilft.

[Gregor]

Habe momentan leider keinen Testrechner mehr übrig, würde mich interessieren wie EAM darauf reagiren würde.
Denke aber das der Verhaltensschutz greifen sollte.

Der Beitrag wurde von Gregor bearbeitet: 29.11.2012, 15:54

[markusg]

Ja, aber diese Variannten scheinen den MBR nicht anzufassen.
Trotzdem schon mutig, auf seinem arbeits pc malware mutwillig auszuführen, würd ich persönlich nicht machen...

[simracer]

Na dann, erneut ausführen und schauen ob's hilft.

So SLE, wie schon erwähnt hatte ich die Avast Autosandbox aktiviert und auf Nachfragen gestellt, dann wieder die Avast Schutzsteuerung komplett deaktiviert, die Datei im ersten Link von blueX runtergeladen, auf dem Desktop gespeichert und dann die Avast Schutzsteuerung wieder komplett aktiviert und geschaut ob die Autosandbox auch wirklich an ist. So weit so gut, also führte ich die Datei aus und die Avast Autosandbox meldete sich das ich die Datei in der Autsandbox ausführen sollte und ich bestätigte das mit OK. Und was passierte dann? Ein Fake Antivirus konnte sich aktivieren trotz Autosandbox und ich hätte mir laut dem Fake eine Kaufversion von denen runterladen und kaufen sollen weil das Fake angeblich Infektionen auf meinem System fand Konsequenz: Paragon Boot-CD ins CD-Fach gelegt, den PC resetet und das neueste Systembackup von heute vormittag aufgespielt.
Noch eine Anmerkung zu der Aussage von markusg:

is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n

Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe?

Trotzdem schon mutig, auf seinem arbeits pc malware mutwillig auszuführen, würd ich persönlich nicht machen...

Ist definitiv jetzt Schluss damit bei mir, nochmal hole ich mir keines der Files.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 16:04

[SLE]

Habe momentan leider keinen Testrechner mehr übrig, würde mich interessieren wie EAM darauf reagiren würde.
Denke aber das der Verhaltensschutz greifen sollte.

No prob. Es kommen Meldungen bei fast allen Aktionen.

[SLE]

@uweli
Interessant und schlecht für Avast. So mies hätte ich es nicht vermutet. Und Comodo bleibt wieder stumm? Ist ja fast unglaublich, dann würde ich beides verbannen, da es hier nicht um irgendwelche Exoten Malware geht.

Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe?

Weil du Glück hast und vielleicht auch hin und wieder die richtige Skepsis. Wenn du so eine File irgenwo per DriveBye oder sonstwie bekommst würde deine komplette Schutzsoftware versagen. Warum dann auf sowas verlassen?

Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 16:04

[simracer]

Comodo blieb wieder stumm SLE, die Firewall läufft im Spiele Modus wegen meinen Rennsimulationen, die Firewall und Defense+ Sicherheitsstufe stehen jeweils auf Sicherer Modus und die Comodo Sandbox ist dauerhaft deaktiviert. Warum das fragst du jetzt vielleicht? Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt.

Weil du Glück hast und vielleicht auch hin und wieder die richtige Skepsis. Wenn du so eine File irgenwo per DriveBye oder sonstwie bekommst würde deine komplette Schutzsoftware versagen. Warum dann auf sowas verlassen?

Einerseits hast du recht damit andererseits gebe ich dir als Antwort das was ich auch schon markusg schrieb:

Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe?

Ein weiterer Grund ist der das ich bis dato mit Avast und Comodo als Schutzlösung zufrieden bin und mir bis jetzt noch nicht ungewollt eine böswillige Infektion damit eingefangen habe. Wenn der Fall doch mal bei mir eintreten sollte, dann kann ich mir überlegen ob ich Avast und Comodo den Rücken kehre oder nicht und noch immer ist es so das der grösste Risikofaktor vor dem Monitor sitzt. Wäre ich ein User der sich nicht um sein System und Programme kümmern würde, hätte vermutlich schon eine bösartige Infizierung über Java, Adobe Flashplayer oder dergleichen mein System infizieren können ohne das ich das gewollt hätte.

[simracer]

Comodo blieb wieder stumm SLE, die Firewall läufft im Spiele Modus wegen meinen Rennsimulationen, die Firewall und Defense+ Sicherheitsstufe stehen jeweils auf Sicherer Modus und die Comodo Sandbox ist dauerhaft deaktiviert. Warum das fragst du jetzt vielleicht? Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt.

Das: passiert jedes Mal wenn die Comodo Sandbox aktiviert ist und ich die Rennsimulationen starten/spielen will

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 16:58

[SLE]

Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt.

Deine Simulation stürzt ab und erzeugt dmps. Beschäftige dich mit Comodo und richte es gescheit ein. Wenn du das nicht hinbekommst ist das Programm einfach nichts für dich.

Einerseits hast du recht damit andererseits gebe ich dir als Antwort das was ich auch schon markusg schrieb: Ein weiterer Grund ist der das ich bis dato mit Avast und Comodo als Schutzlösung zufrieden bin

Zufriedenheit schützt nicht. Du hast eindrucksvoll gezeigt, dass deine Schutzssoftware in der von dir verwendeten Konfiguration gegen weitverbreitete Bedrohungen bei dir stumm bleibt. Die Gründe auf das Argument "bis jetzt bliebt ich sauber" habe ich oben erläutert. Dies sprechen nicht für die Software sondern für andere Faktoren. Ich bin zufrieden ohne klassische Schutzssoftware und habe mir nie was eingefangen. Bedeutet das im Umkehrschluss, dass diese Software komplett sinnlos ist??

Wäre ich ein User der sich nicht um sein System und Programme kümmern würde, hätte vermutlich schon eine bösartige Infizierung über Java, Adobe Flashplayer oder dergleichen mein System infizieren können ohne das ich das gewollt hätte.

Hilft auch nichts, da Updates immer nach der Sicherheitslücke kommen und sich zero-day Attacken gerade dadurch auszeichen zu arbeiten wenn noch kein Update existiert. Wozu brauchst du eigentlich Java?

[simracer]

Selbst wenn ich das ganze Steam Verzeichnis das auf der Partition D ist, in Comodo bei Defense+ Einstellungen/Einschleusen von Shellcode erkennen/Ausnahmen hinzufüge: und das übernehme damit das als Ausnahme definiert ist, kommt die Fehlermeldung die man in dem Bild des vorherigen Postings sieht

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 17:11

[simracer]

Deine Simulation stürzt ab und erzeugt dmps. Beschäftige dich mit Comodo und richte es gescheit ein. Wenn du das nicht hinbekommst ist das Programm einfach nichts für dich.

Und du wüsstest, was ich in Comodo für eine Einstellung machen müsste damit das nicht passiert?

[SLE]

Und du wüsstest, was ich in Comodo für eine Einstellung machen müsste damit das nicht passiert?

Nein, es nicht mein PC und nicht meine gewählte Software. Wenn man sein Programm jedoch versteht sollte man das i.d.R. hinbekommen und wenn es über Ausnahmen ist, bei einer wirklichen Inkompatibilität muss das Programm weg.

[simracer]

Du hast ja schon gelesen das ich das komplette Steam Verzeichnis als Ausnahme für Comodo Defense+ definiert habe so wie ich das im vorherigen Posting schrieb? Auch das zusätzliche hinzufügen von Steam.exe als aktiver Prozess hilft nicht, die Fehlermeldung kommt trotzdem.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 17:24

[SLE]

Du hast ja schon gelesen das ich das komplette Steam Verzeichnis als Ausnahme für Comodo Defense+ definiert habe so wie ich das im vorherigen Posting schrieb? Auch das zusätzliche hinzufügen von Steam.exe als aktiver Prozess hilft nicht, die Fehlermeldung kommt trotzdem.

Steam ist ja sicher nicht der einzige Prozess des Spiels...

[simracer]

Das stimmt schon SLE, aber das gesamte Steam Verzeichnis von der Partition D war als Ausnahme definiert und da sind doch alle Anwendungen und Prozess drin die unter Steam laufen wie Race07, GTRevo, RaceON usw. Ohne installierten Steam Client würden die allesamt nicht laufen.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 17:31

[Gast_claudia_*]

Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter.
(ich helfe dir heute Abend mal das richtig einzustellen)
(und gut das du mal selber siehst, das ein "kastriertes" AV oft nicht weiter hilft)

[SLE]

Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter.

Üben ist nett ausgedrückt, die ganze Debatte zeigt aber das Uwe mit der von ihm genutzten Software eben nicht zurecht kommt. Und dann darauf verlassen?

[simracer]

Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter.
(ich helfe dir heute Abend mal das richtig einzustellen)
(und gut das du mal selber siehst, das ein "kastriertes" AV oft nicht weiter hilft)

Nehme ich gerne an claudia ich hätte nichts dagegen wenn ich auch die Comodo Sandbox als weitere Schutzebene nutzen könnte ohne das diese meine rennsimulationen "abwürgt"

Üben ist nett ausgedrückt, die ganze Debatte zeigt aber das Uwe mit der von ihm genutzten Software eben nicht zurecht kommt. Und dann darauf verlassen?

Und dafür gibt es Foren SLE, mit Usern darin, die sich bereit zeigen anderen Usern helfen zu wollen. Stichwort claudia.