Infizierte Webseiten Einstellungen

[Gast_Xeon_*]

Webseitensperrung ist immer eine von vielen Möglichkeiten. Obwohl... Eigentlich doof. Sieht man ja gar nicht was los ist. Bei mir würde das nur die Neugierde steigern

HTTP Scanner von G Data aus und ran an die Seite




EDIT: Mir wurde eine run.exe auf der Seite angeboten.

Der Beitrag wurde von Xeon bearbeitet: 25.03.2009, 22:22

[Gast_teddy247_*]

Dies scheint eine Phishing-seite zu sein, man wird wohl auf eine Seite umgeleitet , die Passwörter etc ausspäht. Kaspersky Is 2009 verweigert den zugriff und auch Firefox WOT blockiert

Auch Gdata 2010 lädt die Seite nicht, allerdings kamen da keine Meldungen


www.elvis-las-vegas.110mb.com/html/las_vegas_1974.html

so. ganz in ordnung ist diese seite wohl doch nicht, denn nun meckert auch opera, und verweigert den zugriff mit dem hinweis die website fordert daten von meinem computer an.....

und auch bluecoat web protection k9 meckert und verweigert:


K9 Web Protection Alert
Filtering Alert
Category Blocked
The site you tried to visit belongs to a category that your computer is set to block.
http://elvis-las-vegas.110mb.com/html/las_vegas_1974.html is blocked because it is currently categorized as:

Suspicious
Sites considered to have suspicious content and/or intent. This categorization is determined by analysis of web reputation factors. If a site is determined to be clearly malicious or benign, it will be placed in a different category.

Go Back Return to the previous page.


Der Beitrag wurde von teddy247 bearbeitet: 29.03.2009, 10:35

[Gast_teddy247_*]

Vermutlich auch eine unangenehme Seite... ich probiers aber nicht aus


www.spywareremove.com

[Rios]

Ja ja, Downloade SpyHunter. ( von klick ) Den Verantwortlichen von Spy Hunter wurde in einen U.S.Security Forum mal die Meinung gesagt. Absolute Irreführung und besch..

[Voyager]

Google schützt jetzt vor falschen Codec Meldungen , der Browser weiss jetzt das Flash nur von Adobe stammt ? Nee Schade doch nicht.... die Warnung stammt von der Fakeseite





Der Beitrag wurde von Voyager bearbeitet: 04.04.2009, 06:44

[Rios]

Ja es ist noch sehr früh, war aber schon bei einen meiner Nachbarn, der ein kleines Problem hatte. Hatte sich da verfangen, und ein Fake AV geladen. Muss von da her gekommen sein


Wurde hier schon mal geprüft



Der Beitrag wurde von Rios bearbeitet: 04.04.2009, 07:34

[Voyager]

Aus den Bildern Antivir und MBAM kann man eher nur schwer erkennen welches Objekt genau gescannt und erkannt wurde von daher füge ich noch eins an wo das etas offensichtlicher wird.

[Solution-Design]

Was ist denn das für eine lustige Datei? http://www.virustotal.com/de/analisis/4707...0d601b45be160c9. Von Symantecs Autoprotect wird der Download unterbunden. Ist sie aber auf der Festplatte (durch Deaktivierung Autoprotect) findet Symantec die Malware weder OnDemand noch OnAccess. Sehr interessant. Und ob es sich bei der Erkennung um http-Scan-Signaturen handelt, erkenne ich jetzt auch nicht wirklich.

EDIT: Habe die Datei gestartet. asquared macht nüscht, ist aber auch nix für Behaviorblocker, Ikarus kennt sie nicht und NAV deinstalliert die Software weitgehend.

Der Beitrag wurde von Solution-Design bearbeitet: 04.04.2009, 13:45

[Gast_Xeon_*]

EDIT: Habe die Datei gestartet. asquared macht nüscht, ist aber auch nix für Behaviorblocker, Ikarus kennt sie nicht und NAV deinstalliert die Software weitgehend.

Signaturbasierend erkennt G Data hier nichts, jedoch wenn ich die Datei nun versuche zu starten:



Und da ich das Programm nicht wirklich kenne, komme ich der Empfehlung von G Data nach und verbiete eine Installation:



Eine Installation wurde verhindert, dass Programm wurde geblockt und in die Quarantäne verschoben...Verhaltensüberwachung sei Dank.

Gruß Xeon

Der Beitrag wurde von Xeon bearbeitet: 04.04.2009, 18:53

[Gast_teddy247_*]

Hallo

kennt jemand diese software: www.spykiller.com

Wot Bewertung :rot

ich kann die seite gott sei dank erst gar nicht öffnen, Bluecoat K9 Web protection blockiert mit folgendem hinweis


K9 Web Protection Alert
Filtering Alert
Category Blocked
The site you tried to visit belongs to a category that your computer is set to block.
http://www.spykiller.com/ is blocked because it is currently categorized as:

Spyware / Malware Sources
Sites which distribute spyware and other malware. Spyware is defined as software which takes control of your computer, modifies computer settings, collects or reports personal information, or misrepresents itself by tricking users to install, download, or enter personal information. This includes drive-by downloads; browser hijackers; dialers; intrusive advertising; any program which modifies your homepage, bookmarks, or security settings; and keyloggers. It also includes any software which bundles spyware (as defined above) as part of its offering. Information collected or reported is "personal" if it contains uniquely identifying data, such as email addresses, name, social security number, ip address, etc. A site is not classified as spyware if the user is reasonably notified that the software will perform these actions (i.e., it alerts that it will send personal information, be installed, or that it will log keystrokes).

Computers / Internet
Sites that sponsor or provide information on computers, technology, the Internet and technology-related organizations and companies.

Der Beitrag wurde von teddy247 bearbeitet: 04.04.2009, 19:08

[Solution-Design]

Das Programm versucht lediglich einen Autostart zu erstellen. Wenn da der Verhaltensblocker von G-Data ohne jeglichen Kommentar anspringt, dann isser Müll Das Programm tut nix böses, außer nerven.

Nachtrag Symantec: Das Programm wird vollständig entfernt.
Nachtrag asquared: Im Standard-, als auch Paranoid-Modus wird der Autostarteintrag entdeckt.

Der Beitrag wurde von Solution-Design bearbeitet: 04.04.2009, 19:16

[Solution-Design]

@teddy247

www.spykiller.com ist nur noch ein Portal. Links und Schluss. Warum der Host noch in der Datenbank ist Schlecht gepflegt würde ich sagen. Wird auch von (BIT9?) asquared geblockt. Die sollen sich mal ein Beispiel an Symantecs Surfschutz-PlugIn nehmen

[Gast_teddy247_*]

@teddy247

www.spykiller.com ist nur noch ein Portal. Links und Schluss. Warum der Host noch in der Datenbank ist Schlecht gepflegt würde ich sagen. Wird auch von (BIT9?) asquared geblockt. Die sollen sich mal ein Beispiel an Symantecs Surfschutz-PlugIn nehmen

stimmt. norton safe web sagt nämlich site is safe . aber andererseits lieber ein mal zuviel gewarnt , wie zu spät ..

[Gast_Xeon_*]

Nachtrag Symantec: Das Programm wird vollständig entfernt.
Nachtrag asquared: Im Standard-, als auch Paranoid-Modus wird der Autostarteintrag entdeckt.

Ich dachte wenn hier ein Programm anspringt ist es Müll..? ....oder jetzt auf einmal doch nicht mehr ?

Du erninnerst dich noch:

Das Programm versucht lediglich einen Autostart zu erstellen. Wenn da der Verhaltensblocker von G-Data ohne jeglichen Kommentar anspringt, dann isser Müll whistling.gif Das Programm tut nix böses, außer nerven.

Der Beitrag wurde von Xeon bearbeitet: 04.04.2009, 21:28

[Solution-Design]

asquared ist nicht mit Standard-Behaviorblocken zu vergleichen. Es springt wentlich häufiger an, als zum Beispiel AntiBot oder auch ThreatFire. Ist schon fast so sensibel wie ein HIPS. Und es wure ein Autostarteintrag gemeldet. Das ist so erst mal nichts besonderes. Aber es wurde wenigstens was gemeldet. Im Modus "intelligente Alarm Reduktion" ist es ruhig. Dann arbeitet es wie AntiBot. Ad- / Spyware und auch Rogue ist selten malicious. Meist nur nevend und sollte auch signaturbasierend erkannt und wieder deinstalliert werden. Und da ist der Gelbe momentan führend.

Der Beitrag wurde von Solution-Design bearbeitet: 04.04.2009, 21:43

[chris30duew]

Also in dem Fall muss ich auch sagen, scheint die Verhaltensüberwachung von Gdata nicht schlecht zu sein, es erkennt zumindest mal die schadhafte datei die auch norton erkennt, und es wird auch nix von gesagt das die datei versucht sich in den autostart einzutragen (normal steht wenn dem so ist in der verhaltensüberwachung von Gdata "versucht starteintrag hinzuzufügen"). Hier wird speziell das verdächtige Verhalten angezeigt.....finde ich nicht sooooooo schlecht die erkennung da bei Gdata

[Gast_Xeon_*]

Meist nur nevend und sollte auch signaturbasierend erkannt und wieder deinstalliert werden. Und da ist der Gelbe momentan führend.

Lieber Uwe,
bei G Data wird das "böswillige" Verhalten erkannt bevor es sich installieren kann, von dem her find ich es besser wenn schon vorher geblockt wird.Was aber daran nun führend sein soll, dass sich ein Fake Programm erst installieren läßt und nachträglich dann entfernt werden muß will mir nicht so ganz einleuchten, na ja.....nun gut...

Und wie chris30duew schon sagte, es wird hier ganz speziell ein Verdächtiges Verhalten erkannt, womit der Verhaltensblocker völlig richtig liegt und empfiehlt das Programm zu blockieren....damit hat er seine Aufgabe erfüllt.

Sicherlich sind andere Methoden auch wirkungsvoll, aber in diesem Fall ist mir die von G Data am liebsten, blockieren bevor es sich installieren kann.

Gruß Xeon

Der Beitrag wurde von Xeon bearbeitet: 04.04.2009, 22:02

[Solution-Design]

Ich denke, du verstehst da etwas falsch. Beginne ich bei Symantecs AV. Wie schon in diesem Thread gezeigt wurde, blockt dieses AV das Programm sofort. Der Download wird gelöcht. Ich dagegen habe den Wächter deaktiviert, das Programm Word jumble solver.avi.exe installiert und geschaut, was dann passiert. Ergebnis: Das Programm wurde vollständig deinstallert, inklusive Registriereinträge.
Der zweite Test war mit asquared anti.malware im Modus "intelligente Alarm Reduktion". Hier wir nichts gemeldet. Im Standard- als auch im Paranoid-Modus wird ein Autostart-Eintrag gemeldet. Auch HIPSen, nur mal Onlinermor genannt, melden lediglich diesen Autostart-Eintrag. Die Dekstop-Firewall meldet anschließend eine Verbindung ins Internet. Das Programm verhält sich völlig normal, wie andee ähnliche nicht Rogueware auch. Warum soll da etwas blockiert werden? Das ist das, was mich wundert. Da ist das, was ich für nicht normal halte. Sogesehen empfinde ich es mehr als seltsam, was G-Data da meldet. Ob es bei dieser Klauware jetzt Sinn macht, stelle ich nicht in Frage. Eher die Funktionsweise des "Was auch immer-Blockers".

QUELLTEXT

C:\Dokumente und Einstellungen\Nutzer\Desktop\Word jumble solver.avi.exe
C:\Dokumente und Einstellungen\Nutzer\Desktop\Word jumble solver.avi.exe will eine ausführbare Datei erstellen C:\Programme\Privacy center\pc.exe
C:\Programme\Privacy center\agent.exe
C:\Programme\Privacy center\pc.exe
C:\Dokumente und Einstellungen\Nutzer\Desktop\Word jumble solver.avi.exe(2056) will starten C:\Programme\Privacy center\agent.exe(0)
C:\Programme\Privacy center\tools\sp\spbho.dll
C:\Programme\Privacy center\agent.exe(2088) will starten C:\Programme\Privacy center\pc.exe(0)
C:\Programme\Privacy center\pc.exe(1364) will benutzen C:\WINDOWS\system32\svchost.exe(912)
C:\Programme\Privacy center\pc.exe, Ausgehender TCP Zugriff erlaubt für: 194.165.4.39:80"

Der Beitrag wurde von Solution-Design bearbeitet: 04.04.2009, 23:24

[Gast_Xeon_*]

Warum soll da etwas blockiert werden?

Ich verstehe dich glaube wirklich nicht ganz, Norton blockiert doch das Programm auch schon beim Download.G Data macht doch nichts anderes nur eben mit dem Verhaltensblocker, der hier erkennt das was nicht ganz koscher ist, womit er auch recht hat.Beide Progamme erfüllen ihren Zweck, wenn auch mit unterschiedlichen Methoden oder nicht ?

Gruß Xeon

[Voyager]

@Xeon

Das ist soweit ich das mitbekommen habe ausschliesslich nur Rogueware (Schreckware) , was will ein Verhaltensblocker daran erkennen ? Ein Verhaltensblocker hat ein ganz anderen Aufgabenbereich. Schreckware hat kein verdächtiges Verhalten weil der AV nicht sehen kann das die Software nur in der Oberfläche lügen erzählt. Gdata wirds signaturbasierend erkennen und nichts anderes.

Der Beitrag wurde von Voyager bearbeitet: 04.04.2009, 22:36