Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[SLE]

Und dafür gibt es Foren SLE, mit Usern darin, die sich bereit zeigen anderen Usern helfen zu wollen. Stichwort claudia.

Das ist ja auch supi. Aber dann hilft es dir vielleicht im konkreten Fall - aber auf Dauer musst du dich mit deinen Programmen auseinandersetzten, die Einstellungen und Meldungen verstehen.

[Gregor]

No prob. Es kommen Meldungen bei fast allen Aktionen.

Ok, danke...

[markusg]

Hi
hab eh die Erfahrung, das viele Nutzer mit den Comodo Meldungen nicht zurande kommen.
Man sollte es sich dann einfacher machen denke ich.
Windows firewall, kann ausreichend, Extra FW ist nicht nötig.
Sandboxie fürs browsen.
Vernünftiges AV wie emsisoft (nur als beispiel)
Da sind die Meldungen doch recht einfach gehalten, und aktuelle Malware wird, meiner Erfahrung nach auch geblockt, wenn es angezeigt wird. :-)

[Schattenfang]

@simracer

Ich möchte Dir wirklich Sandboxie ans Herz legen, wenn du Dich mit diesen Technologien beschäftigen möchtest. Erstens lernst Du bei der Konfiguration und Einstellung schon ziemlich viel und zweitens ist Comdo im Vergleich zu Sandboxie eine Nullnummer. Nicht böse gemeint, aber auf Avast würde ich mich allein nie verlassen. Comodo ist zwar durchaus ein Zusatz, aber es gibt bessere. Warum nicht diese nutzen?

[Gast_claudia_*]

Comodo ist mehr als nur eine Firewall.
Ab Win 7 ist zwar die Firewall von Windows (hinter einem Router) völlig ausreichend, aber D+ ist schon ein mächtiges Werkzeug gegen Malware.

Eigentlich reichen die Bordmittel ab Windows 7 insgesamt aus (FW, AV, Benutzerkonto, EMET und ein paar Anpassungen) (+ Brain.exe)

[Gast_blueX_*]

Ich sehe es auch so wie Sebastian, dass die URL-Blockierung keinen wirklichen Schutz bietet. Was ist, wenn die Malware aus anderen Quellen stammt (Einschleußung über USB-Stick oder durch einen Exploit).

Übrigens werden seit heute keine Backdoors mehr verteilt, sondern wieder Trojan.FakeAV. Fast stündlich sind neue Varianten zu finden.
Wie schlecht, dass die AVs sind, erkennt man bei einem Scan einer Datei: https://www.virustotal.com/file/cc653bf2455...d34bd/analysis/

Die Signatur von Kaspersky wurde übrigens erst durch eine Einsendung von mir hinzugefügt. Auch Kaspersky erkennt derzeit die Files nicht.
Nicht mal heuristisch besteht eine Erkennung der AVs.


Hmm ... das überrascht mich doch, dass die AVs nicht in der Lage sind, eine ordentliche Signatur bzw. eine Generische Erkennung einzupflegen.


EDIT: Das Sample habe ich übrigens an alle gelisteten AVs bei Virustotal eingesandt. Das nächste in einer Stunde ist aber wieder sicher undetected.




Der Beitrag wurde von blueX bearbeitet: 29.11.2012, 20:18

[Schattenfang]

ber D+ ist schon ein mächtiges Werkzeug gegen Malware.

Da bin ich anderer Meinung. D+ ist ein Hips und in diesem Sektor gibt es imo bessere Lösungen.

[markus17]

Genau so ein FakeAV habe ich letztens von einem Notebook einer bekannten entfernt. Wenn ich das aktuelle Sample aus dem ersten Link in der VM mit G Data teste, dann wird dieses ebenfalls über die Verhaltensüberwachung gelöscht. Mittlerweile schlagen auch beim URL Scan von V-Total weitere Hersteller Alarm: https://www.virustotal.com/url/12d64186c69f...sis/1354217227/

*edit*
Wenn ich die doppelte Dateiendung entferne, dann wird die Malware immer noch von G Data gelöscht.

Der Beitrag wurde von markus17 bearbeitet: 29.11.2012, 20:34

[simracer]

Hmm ... das überrascht mich doch, dass die AVs nicht in der Lage sind, eine ordentliche Signatur bzw. eine Generische Erkennung einzupflegen.

Bei der Avast Autosandbox heute stand etwas drin von Generischer Erkennung und das man die Anwendung in der Autosandbox ausführen solle(war vorgegeben, hätte man aber auch ändern können auf Abbrechen oder normal ausführen). Trotzdem konnte sich das Fake AV aktivieren und mein System "infizieren".

[simracer]

Hi
hab eh die Erfahrung, das viele Nutzer mit den Comodo Meldungen nicht zurande kommen.
Man sollte es sich dann einfacher machen denke ich.

markusg, dann erlaube mir mal die Gegenfrage was Comodo Meldungen die von Usern nicht verstanden werden, damit zu tun haben das die aktivierte Comodo Sandbox meine Rennsimulationen nicht starten lässt. Die Comodo bringt nämlich keine Meldung wenn ihre Sandbox aktiviert ist, was ich machen will/soll wenn ich meine Rennsimulationen starten will. Zu Anfang wenn die Comodo frisch installiert ist(und die Sandbox noch deaktiviert ist von mir), kommen 1 oder 2 Abfragen vom Defense+ und von der Firewall wenn Steam und Race07 gestartet werden.

[Gast_claudia_*]

Da bin ich anderer Meinung. D+ ist ein Hips und in diesem Sektor gibt es imo bessere Lösungen.

besser vielleicht, aber sicherlich nicht preiswerter

[Gast_claudia_*]

markusg, dann erlaube mir mal die Gegenfrage was Comodo Meldungen die von Usern nicht verstanden werden, damit zu tun haben das die aktivierte Comodo Sandbox meine Rennsimulationen nicht starten lässt. Die Comodo bringt nämlich keine Meldung wenn ihre Sandbox aktiviert ist, was ich machen will/soll wenn ich meine Rennsimulationen starten will. Zu Anfang wenn die Comodo frisch installiert ist(und die Sandbox noch deaktiviert ist von mir), kommen 1 oder 2 Abfragen vom Defense+ und von der Firewall wenn Steam und Race07 gestartet werden.

bist du sicher, das die Benachrichtigung für Prozesse die automatisch in der Sandbox ausgeführt werden, aktiv ist?

Der Beitrag wurde von claudia bearbeitet: 29.11.2012, 20:46

[simracer]

Meinst du das claudia: ? Ich hab gerade Comodo komplett neu installiert, die Sandbox aktiviert gelassen, das System rebootet nachdem ich die Konfiguration auf Proactive Security geändert habe und nun bin ich gespannt was passiert wenn ich die Rennsimulationen starten will.
Edit/Update: es kam keinerlei Abfragefenster und die Fehlermeldung kam erneut. In der Liste der aktiver Prozesse steht die Steam Anwendung als vertrauenswürdig drin: und was mich etwas stutzig macht: warum steht in der ganzen Liste bei den Prozessen Sandbox Level aus? Comodo hatte ich doch deinstalliert gehabt und dann neu installiert gehabt mit dieses Mal aktiver Sandbox.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 21:10

[simracer]

Nachdem ich nun meine Rennsimulationen mit deaktivierter Comodo Sandbox starten konnte, stehen nun bei Comodo Defense+ unter Liste Aktiver Prozesse 3 Pozesse drin wenn die Rennsimulation läuft: und nur der Prozess Steam.exe wurde als Vertrauenswürdig beurteilt. Die beiden anderen nicht sondern Unbekannt und wenn ich bei denen hergehe und die einstelle das das Vertrauenswürdige Dateien wären, ändert das nichts und die werden weiterhin als Unbekannt von Comodo geführt.
PS: Alle 3 Prozesse wurden schon von mir an Comodo übermittelt, das hab ich vorhin auch nochmal gecheckt
Weiteres Edit: Endlich klappt es: Alle 3 Prozesse von Steam und Race07 werden nun als Vertrauenswürdig aufgeführt: und die Rennsimulation startet mit aktivierter Comodo Sandbox
Ein ganz dickes Danke an claudia

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 21:43

[Gast_claudia_*]

bei vertrauenswürdigen Prozesse ist der Level auf aus und so wie im Bild zwei richtig. (Ausnahme wenn du bewusst Prozesse in der Sandbox starten willst wie Browser z.B.)

Starte mal bei den zwei unbekannten Prozessen mit rechter Maustaste online suche und setze sie danach als Trust.
Danach Programm (Rennspiel) neustarten.

[simracer]

claudia, lese nochmal den letzten Abschnitt meines letzten Postings Was mir gerade einfällt: Steam.exe das schon als Vertrauenswürdig geführt wurde, wurde nochmal übermittelt. Meinst du das könnte der "Knackpunkt" gewesen sein? Die 2 anderen Prozesse waren schon übermittelt und bis vorhin aber noch als Unbekannt geführt.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 21:50

[Gast_claudia_*]

ja hatte ich überlesen.
Schön das es es klappt.

[simracer]

Bin ich jetzt was von froh und vor allem Dir dankbar claudia

[simracer]

aber auf Dauer musst du dich mit deinen Programmen auseinandersetzten, die Einstellungen und Meldungen verstehen.

SLE, wie du siehst, bin ich gewillt mich damit zu beschäftigen und habe Dank der Mithilfe von claudia es nun endlich geschafft das meine Rennsimulationen auch mit aktivierter Comodo Sandbox starten/laufen.

[SLE]

SLE, wie du siehst, bin ich gewillt mich damit zu beschäftigen und habe Dank der Mithilfe von claudia es nun endlich geschafft das meine Rennsimulationen auch mit aktivierter Comodo Sandbox starten/laufen.

Und, kennst du die wahre Ursache? Das Problem ist einerseits natürlich die Verschachtelung von Comodo, andererseits aber auch die Herangehensweise. Da werden HIPS Ausnahmen gesetzt, wenn es Probleme mit der Sandbox gibt etc.
Hoffentlich bleiben die Steam-Sachen sauber... Leider ist die Hilfe ja in englisch, so dass dir das das Einarbeiten zusätzlich erschwert.

Aber zurück zum Ursprungsproblem: Probiere doch mal dein Comodo so zu konfigurieren, dass es dich vor echten Bedrohungen (Testfile hast du ja) auch warnt und somit als Schutz einen Sinn macht und nicht nur als Rennspielblocker.