Diskussionsthread zu AVG Free, Avast Free, Avira und andere Freeware Virenschutz Prog

[SEL33]

ok okni,begraben wir die Sache.

 

[okni]

ok okni,begraben wir die Sache.

 

[purzelbär]

Hier das Scanergebnis in Screenshots okni: auf dem vorletzten siehst du was ich schon angedeutet habe. Aber wie kommt der überhaupt dahin? Ganz einfach: Der Ordner meines einen USB Sticks auf dem ich auch manchmal Ransoms gespeichert habe, den hab ich auch als Kopie auf der externen Festplatte und darin war noch das alte Ransom File das jetzt in der AVG Quarantäne "schlummern" darf Und jetzt kannst du mir auch glauben wenn ich behaupte das meine externe Festplatte mit den Backups sauber ist

Ergänzend dazu hab ich auch mal die externe Festplatte mit Malwarebytes Free überprüft damit keiner sagen kann AVG Free hätte beim Scan ja etwas übersehen können Anbei das Malwarebytes Free Logfile dazu:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.12.29.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
]

29.12.2013 17:19:55
mbam-log-2013-12-29 (17-19-55).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf (Z:\|)
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 178312
Laufzeit: 1 Stunde(n), 16 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ja cc207 du hast recht und belassen wir es dabei.

ok okni,begraben wir die Sache.

Na endlich seid ihr beiden zur Vernunft gekommen

 

[MyLife]

Das ist nur die Ruhe vor den Sturm.

 

[SEL33]

Ich würde eher plädieren,"die Ruhe nach dem Sturm".

Ergänzung (29. Dezember 2013)

Der Ordner meines einen USB Sticks auf dem ich auch manchmal Ransoms gespeichert habe, den hab ich auch als Kopie auf der externen Festplatte und darin war noch das alte Ransom File das jetzt in der AVG Quarantäne "schlummern" darf

@purzel

Testest du auf deinem produktiven System diese Ramsoware oder hast du ein Testsytem/VM?

 

[purzelbär]

Produktivsystem mit mehreren Systembackups auf der externen Festplatte. Und jetzt bitte nicht zum x-ten Male das soll man nicht auf einem Produktivsystem machen, das hatten wir schon so oft diese Disussionen. Aber ich habe zur Zeit keine Lust mehr auf die Testerei mit den Ransoms die zudem kaum neue Files bei der Webseite bzw Url hochladen. Anscheinend ist es ruhiger geworden um die BKA bzw GVU Ransoms.

 

[SEL33]

Anscheinend ist es ruhiger geworden um die BKA bzw GVU Ransoms.

Inwiefern,hast du auch darüber was gelesen?

Und jetzt bitte nicht zum x-ten Male das soll man nicht auf einem Produktivsystem machen, das hatten wir schon so oft diese Disussionen.

Um Gottes Willen,ich werde mich hüten.

 

[purzelbär]

Vermute ich nur weil anscheinend keine neuen Ransoms mehr hochgeladen werden auf der Seite wo ich zuletzt fast täglich neue Varianten "bekam".
Beispiel: ich hab da gerade ein Ransom runtergeladen und bei VT überprüft: https://www.virustotal.com/de/file/...053359d75a8e34030b32f9ca/analysis/1388343064/ Das Ergebnis zeigt uns das es ein Ransom sein muss das schon länger im Umlauf ist.

 

[SEL33]

Vermute ich nur weil anscheinend keine neuen Ransoms mehr hochgeladen werden auf der Seite wo ich zuletzt fast täglich neue Varianten "bekam".

Gut vielleicht kommt auf dieser Seite nichts mehr neues mehr nach,aber die allgemeine
Ramsonwelle ist noch nicht vorbei,oder wie ist deine Einschätzung dazu?

 

[okni]

Ja purzel ich glaube die warum auch nicht, ich kann halt nur nicht verstehen warum Avast bei einem neu erstellten Image mit O&O DiskImage von einer 100% sauberen Partition dann die als Bedrohung meldet, und alle anderen AV's nicht.

 

[purzelbär]

Gut vielleicht kommt auf dieser Seite nichts mehr neues mehr nach,aber die allgemeine
Ramsonwelle ist noch nicht vorbei,oder wie ist deine Einschätzung dazu?

Ich glaube auch nicht das die Welle vorbei wäre und denke nur die Quelle wo ich zuletzt die Ransoms her hatte ist versiegt bzw wird von den Hackern vernachlässigt.
okni, schildere doch mal dein Problem in einem der Avast Foren und hast du das mal mit Malwarebytes oder mit einer Antivirus Live CD geprüft? Nicht das Avast tatsächlich eine wirkliche Infektion erkennt.
Beziehungsweise okni, schau dir das mal an: https://www.google.de/search?q=Win3...firefox-a&gws_rd=cr&ei=SnbAUtyHLIiOtQbvsICIAg scheint keine gänzlich unbekannte Malwre zu sein die Avast bei dir erkennt.
Du könntest ein Backdoor haben: http://translate.google.de/translat...&client=firefox-a&rls=org.mozilla:de:official

 

[okni]

Ich glaube auch nicht das die Well vorbei wäre und denke nur die Quelle wo ich zuletzt die Ransoms her hatte ist versiegt bzw wird vo den Hacker vernachlässigt.
okni, schildere doch mal dein Problem in einem der Avast Foren und hast du das mal mit Malwarebytes oder mit einer Antivirus Live CD geprüft? Nicht das Avast tatsächlich eine wirkliche Infektion erkennt.
Beziehungsweise okni, schau dir das mal an: https://www.google.de/search?q=Win3...firefox-a&gws_rd=cr&ei=SnbAUtyHLIiOtQbvsICIAg scheint keine gänzlich unbekannte Malwre zu sein die Avast bei dir erkennt.
Du könntest ein Backdoor haben: http://translate.google.de/translat...&client=firefox-a&rls=org.mozilla:de:official

Kann ich mir gar nicht vorstellen, dann müsste Avast ja auch ihn sonst irgendwo auf der Platte finden und nicht nur in einem gepackten Image das ja von dieser Partition gemacht wurde oder purzel.?
Ja das mit dem Avast Forum kann ich mal machen, da müsste ich mich aber erstmal anmelden, vielleicht morgen.

 

[purzelbär]

okni es gibt 2 Szenarien behaupte ich: entweder ist es ein Fehlalarm von Avast oder da ist tatsächlich etwas. Und wenn ich den 2. verlinkten Link sehe, könnte es ein Backdoor sein das sich einer Erkennung unter Windows entziehen kann. Deshalb setzt den Rat dort um aktualisiere dein Malwarebytes, boote dann Windows im Abgesicherten Modus und mach mit Malwarebytes eine Vollständige Überprüfung die auch die Partition/Festplatte erfasst auf der deine Images sind.
Du kannst dich zusätzlich auch an emlyn d: https://www.computerbase.de/forum/t...cht-infektion-vor-dem-posten-beachten.741157/ wenden um einen FRST Scan zu machen den dann emlyn d analysieren und auswerten kann.

 

[MyLife]

@okni
Hattest du das System nicht erst neu aufgesetzt?

 

[okni]

Ok danke purzel, dann werde ich mich morgen mal dran machen.

@MyLive, nein es war das Notebook von meinem Bruder.

 

[purzelbär]

Ok danke purzel, dann werde ich mich morgen mal dran machen.

Mach das auf alle Fälle okni denn mit Backdoors ist nicht zu spaßen, die nisten sich ins System ein, tarnen sich und schaffen Lücken die anderer Malware dazu dient aufs System zu kommen können. Lese dir dazu auch Wikipedia durch: http://de.wikipedia.org/wiki/Backdoor

 

[Randy89]

okni, hab ich dir nicht schon die Antwort in Beitrag #1032 verlinkt? :

all files detected as "Win32:Hupigon-ONX [Trj]" that comes to us as false positive are .pdf, .jpg, .css, .mp3, etc. which have pasted some code with signes of digital signature which is weird.

http://forum.avast.com/index.php?topic=57768.msg486969#msg486969

Es kann sein, dass Avast einfach nur die digitale Signaturen der Dateien ankreidet. Ich würde aber dennoch zur Sicherheit noch mit ein paar Live Scannern gegenprüfen, bzw. die FRST Logs zur Auswertung machen.

 

[okni]

okni, hab ich dir nicht schon die Antwort in Beitrag #1032 verlinkt? :


http://forum.avast.com/index.php?topic=57768.msg486969#msg486969

Es kann sein, dass Avast einfach nur die digitale Signaturen der Dateien ankreidet. Ich würde aber dennoch zur Sicherheit noch mit ein paar Live Scannern gegenprüfen, bzw. die FRST Logs zur Auswertung machen.

Ja ich weiß Randy, ich hatte es mir auch angesehen, und ich habe auch nur damit purzelbär geantwortet. Und das mit den Live-Scannern und auch mit Malwarebytes werde ich morgen mal machen.

Ergänzung (30. Dezember 2013)

So Malwarebytes hat auch nichts beim Suchlauf im abgesicherten Modus gefunden. Und jetzt lade ich gerade das Emsisoft Free Emergency Kit und den Sardu Notfall-Virenscanner herunter, und werde damit auch nochmal jeweils einen Suchlauf starten, aber ich glaube nicht das die etwas finden werden, es wird wohl eher ein Fehlalarm von Avast sein.

 

[purzelbär]

Ergänzung vom 30.12.2013 09:02 Uhr: So Malwarebytes hat auch nichts beim Suchlauf im abgesicherten Modus gefunden. Und jetzt lade ich gerade das Emsisoft Free Emergency Kit und den Sardu Notfall-Virenscanner herunter, und werde damit auch nochmal jeweils einen Suchlauf starten, aber ich glaube nicht das die etwas finden werden, es wird wohl eher ein Fehlalarm von Avast sein.

Sieht wahrscheinlich wirklich nach einem Fehlalarm von Avast aus. Was Sardu betrifft okni: pass auf der Installer will andere Software mit aufs System bringen und wenn dann mal Sardu auf deinem System ist(auch ohne Zusatzsoftware), findet Malwarebytes die Sardu Einträge/Files als PUP Infizierungen.

 

[okni]

Sieht wahrscheinlich wirklich nach einem Fehlalarm von Avast aus. Was Sardu betrifft okni: pass auf der Installer will andere Software mit aufs System bringen und wenn dann mal Sardu auf deinem System ist(auch ohne Zusatzsoftware), findet Malwarebytes die Sardu Einträge/Files als PUP Infizierungen.

Ja ok purzel, ich melde mich dann nochmal wenn ich fertig bin.