Infizierte Webseiten Einstellungen

[Voyager]

Was schätzt du denn was Sonar dazu sagen könnte wenn man dem Teil schon ansieht das es Malware sein muss (Fake System Prozess von einer Schein URL) Das Ding macht sicher was verbotenes und das fällt auf ..


http://www.abload.de/img/3fmj2.jpg

[markus17]

Also Avast und Bitdefender bemängeln die Datei. Führt man die Datei mit deaktiviertem Wächter aus, dann blockt sie die Verhaltensanalyse mit dem Vermerk, dass der Scanner einen Virus gefunden hat. Führt man die Datei mit G Data 2011 und alten Signaturen aus, dann erkennt G Data nichts.

Ich schau mir gerade an, ob der Rootkitscan noch etwas findet, wenn man neustartet.

[Solution-Design]

Je mehr ich von deinen Tests des neuen Wundermittels in der G-Data-Suite lese, umso weniger halte ich davon (von dem Wunder-Behaviorblocker)

Der Beitrag wurde von Solution-Design bearbeitet: 04.03.2010, 20:51

[markus17]

(von dem Wunder-Behaviorblocker)

Hat niemand behauptet. Der erste Eindruck war im Vergleich zum BB von der Version 2010 nicht übel... In letzter Zeit bin ich eben in diesem Thread etwas aktiver und vielleicht interessiert es ja ein paar Leute, wie G Data 2011 auf diverse Samples in verschiedenen Situationen reagiert.

btw: Das Rootkit wurde nach der Installation und einem Update entfernt und erscheint auch nach mehreren Neustarts nicht mehr.

[Solution-Design]

und vielleicht interessiert es ja ein paar Leute, wie G Data 2011 auf diverse Samples in verschiedenen Situationen reagiert.

Auf jeden Fall. Denn nichts gibt mehr, als ein Praxistest.

[Voyager]

@markus17

h??p://sysoptechs.com/v2/out/flash_10_6.exe


http://www.abload.de/img/3tyll.jpg

Die Reaktion bleibt aus trotz prozessualer Aktivitäten der flash_10_6.exe im Taskmanager , die Datei im RUN Eintrag ist identisch mit der flash_10_6.exe.

Es geht aber auch anders *duck*


http://www.abload.de/img/3sq7q.jpg

[Solution-Design]

@markus17

h??p://sysoptechs.com/v2/out/flash_10_6.exe


http://www.abload.de/img/3tyll.jpg

Unter Vista startet das Teil nicht. Reales System.

[attachment=5913:flash_10_6.png]

[markus17]

Ich habe diese Flashplayer-Teile gestern noch ausprobiert (mit Erfolg... für die infizierten Files xD) und sie auch an G Data weitergeleitet. Vielleicht geht da ja noch etwas. ^^

[Voyager]

Vielleicht geht da ja noch etwas. ^^

/v2/out/ . Das ist ein offener Ordner, da liegt noch nee Stange mehr Zeug drin und da das alles zeitmässig Neu ist denke ich mal die legen das täglich neu rein

[markus17]

Bei mir geht die Website nicht mehr?

[Voyager]

Stimmt , nu ist Feierabend.. Das System konnte folgenden Hostnamen nicht auflösen: sysoptechs.com

[markus17]

Ja was findet man denn da auf Facebook ...
hxxp://youtube.torrent-galaxy.in/watch.htm (VORSICHT!)
http://www.virustotal.com/de/analisis/458e...8c54-1267981091

Führt man die Datei aus, möchte sie noch eine csrss.exe starten ... xp warnt dabei noch einmal ob man die Datei wirklich ausführen will (:-o). Erst jetzt meldet sich der BB von G Data. Gelöscht werden dann nur zwei Registryeinträge und ein File im System32 Ordner. Damit ist aber wahrscheinlich nur die Hälfte behoben. :-/

*edit*
Was sagt NIS dazu? Was ist, wenn der User die Insight-Warnung ignoriert?

Der Beitrag wurde von markus17 bearbeitet: 07.03.2010, 18:05

[Voyager]

rate doch mal


http://www.abload.de/img/363jd.jpg

[markus17]

Hab ich mir schon gedacht, wenn man sich ansieht, was da alles passiert. ^^

Den grüne Haken hinter dem Download finde ich aber interessant. Wird hier des öfteren versucht, die Bewertungen zu verfälschen? (bei WOT kann man auch auf das Problem stoßen)

[Voyager]

Wird hier des öfteren versucht, die Bewertungen zu verfälschen?

Die Seiten werden soweit ich weiss nur alle paar Wochen erneut gecheckt...

[Solution-Design]

http://www.virustotal.com/de/analisis/458e...8c54-1267981091
Führt man die Datei aus, möchte sie noch eine csrss.exe starten ... xp warnt dabei noch einmal ob man die Datei wirklich ausführen will (:-o). Erst jetzt meldet sich der BB von G Data. Gelöscht werden dann nur zwei Registryeinträge und ein File im System32 Ordner. Damit ist aber wahrscheinlich nur die Hälfte behoben. :-/ Was sagt NIS dazu? Was ist, wenn der User die Insight-Warnung ignoriert?

http://www.virustotal.com/de/analisis/0d43...51e2-1267992411

a-squared AntiMalware 5.0ß sagt dazu gar nichts. Null. Es werden Dateien erstellt. Diese werden entpackt, dann noch mal entpackt und dann liegen sie immer noch im Temp-Verzeichnis. Zwischenzeitlich gibt es noch eine Fehlermeldung, dass Firefox irgendwie fehlt und das war es bisher.

Was diese Dateien tun?
[attachment=5930:MAlw.png]
[attachment=5931:MAlw2.png]
[attachment=5932:MAlw3.png]

[Solution-Design]

Mittels ProzessExplorer kann man den Task killen (muss aber suchen, die gibt es ja x-mal) und anschließend können die Dateien gelöscht werden. Interessanterweise tragen sie sich auch noch in den Autostart ein. Warum hier a-squared so still war?

[attachment=5934:malw.png]

[Julian]

Version 4.5 blockt das Ding jedenfalls, vermutlich sogar vollständig.
Das IDS ist ja in V. 5 Beta derzeit noch stark beschränkt.

[Solution-Design]

Version 4.5 blockt das Ding jedenfalls, vermutlich sogar vollständig.

Vollständig ist korrekt. Aber dass das IDS in der jetzt aktuellen Beta so dermaßen eingeschränkt ist, dass noch nicht mal Autostarts gemeldet werden. Hätt selbst ich nicht erwartet.

[Rios]

Trojan Tdss. (Vundo) ect.


http://safeweb.norton.com/report/show?url=...mp;x=6&y=11

http://browsingprotection.f-secure.com/swp...LM9gT2nPI8ThqwM