E-Mail von der Telekom - Schadprogramm auf Rechner?

[purzelbär]

Bei deinem Handy wäre es wohl das Beste du sicherst dir dir wichtige Dateien wie Fotos usw. die auf dem Handy sind auf einen externen Datenträger und dann setzt du das Handy auf Werkseinstellungen zurück und installierst dir wieder die Apps drauf, die dir wichtig sind. Bezüglich Live AV: Gogle einfach nach Antivirus Live CD bzw Scanner die gibt es von fast allen bekannten Herstellern wie Kaspersky, AVG, Avira, F-Secure, BitDefender usw.

 

[CoMo]

Live AV: Gogle einfach nach Antivirus Live CD bzw Scanner die gibt es von fast allen bekannten Herstellern wie Kaspersky, AVG, Avira, F-Secure, BitDefender usw.

Es geht doch hier um Windows? Warum dann extra ein Live-System nutzen und nicht die integrierte Windows Defender Offlineüberprüfung?

 

[PC295]

die integrierte Windows Defender Offlineüberprüfung?

Die Offline-Prüfung mit dem Defender taugt nichts. Der Defender hat, wie die meisten anderen AVs, nur eine so gute Erkennungsrate, weil sie an der Cloud hängen. So unterscheiden sich die Erkennungsraten teilw. deutlich.
Siehe: https://www.av-comparatives.org/tests/malware-protection-test-march-2024/

Außerdem können integrierte oder auf einem infizierten System installierte AVs durch Schadsoftware manipuliert werden. Ein bootfähiges LiveSystem scannt Dateien auf Datenträgern, während das infizierte System inaktiv ist.

 

[CoMo]

Außerdem können integrierte oder auf einem infizierten System installierte AVs durch Schadsoftware manipuliert werden. Ein bootfähiges LiveSystem scannt Dateien auf Datenträgern, während das möglicherweise infizierte System inaktiv ist.

Hä? Das ist doch genau der Sinn der Offlineüberprüfung. Der PC startet neu, ein minimales Windows PE wird gestartet und dort läuft der Scan. Das "möglicherweise infizierte System" läuft dann eben nicht.

Siehe: https://www.av-comparatives.org/tests/malware-protection-test-march-2024/

Diese Tests sind sowieso völliger Quatsch und nichts weiter als Clickbait / Marketing. Malware kann eben nur automatisiert erkannt werden, wenn sie bekannt ist. Deshalb taugt die meiste Antivirensoftware genau nichts. Erst recht nicht, wenn sie auf dem System selbst mit SYSTEM-Rechten läuft und damit weitere Angriffsfläche bietet.

 

[PC295]

Der PC startet neu, ein minimales Windows PE wird gestartet und dort läuft der Scan.

Das PE wird aber aus dem infizierten System heraus gestartet.
Ein Livesystem lädst du dir von einem vertrauenswürdigen System herunter.
Außerdem verfügt der Offline-Defender über keine Online-Funktionen. Es nur ein billiges Commandlinetool, welcher die bereits vorhandenen Datenbanken verwendet.

Diese Tests sind sowieso völliger Quatsch

Ja für dich, bzw. die, die keine Möglichkeiten haben, die Ergebnisse einfach zu selbst zu prüfen.

Malware kann eben nur automatisiert erkannt werden, wenn sie bekannt ist.

Das war vor 20 Jahren so. Moderne AVs funktionieren anders.

 

[areiland]

Bitte prüfen Sie Ihre Endgeräte mit einer Schutz-Software. IP-Informationen: 2003:d9:571f:f300:9c2c:d720:a29d:e986:51599

Und damit kannst Du doch im Router nachsehen, welches Gerät betroffen ist. Denn das ist die IPv6 Adresse des jeweiligen Gerätes und Dein Router verrät, Dir welches der Geräte diese besitzt. Denn anders als bei IPv4 wird die IPv6 Adresse meist auch zu öffentlichen Adresse des jeweiligen Gerätes.

 

[CoMo]

Das war vor 20 Jahren so. Moderne AVs funktionieren anders.

Also ich hatte kürzlich einen PC zu fixen, auf dem der Windows Defender nach jedem Reboot Malware erkannt und gelöscht hat. Der betroffene hat mehrere Tools angewendet. Neben diversen installierten Scannern auch das Kaspersky Live System und das Avira Live System. Alle haben gemeldet, das System wäre sauber.

Nach dem Reboot kam wieder der Windows Defender und meldete eine Malware, die gelöscht wurde.

Tja. Was nun? Welches tolle "moderne" AV soll man nehmen? Wie viel Schlangenöl muss man draufkippen?

Ein mir zugesendetes FRST-Log hat Licht in die Sache gebracht.

\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemLoginWindows10.vbs

Was mag das wohl sein?

Set Obj = CreateObject("WScript.Shell")
Obj.Run "PowerShell -ExecutionPolicy RemoteSigned -File " & "C:\Users\Public\SystemCurrentUpdate.PS1", 0

Aha. SystemCurrentUpdate.PS1. Das taucht auch ständig in den Defender Logs auf.

Also ist SystemLoginWindows10.vbs der Dropper, der C:\Users\Public\SystemCurrentUpdate.PS1 bei jedem Boot in den Autostart legt.

SystemLoginWindows10.vbs aus dem Autostart entfernt. Keine Defender-Meldung mehr beim Boot.

Ich habe natürlich trotzdem zur Neuinstallation so schnell wie möglich geraten.

Komisch, warum haben diese "modernen" AVs das nicht geschafft? Die haben doch jetzt KI und Cloud und so?

Ist halt alles Bullshit. Deshalb frage ich nach einem FRST-Log. Weil dort kann ich ungefilterte Daten mit meiner eigenen menschlichen Expertise analysieren. Das kann keine Software.

 

[PC295]

Keine Defender-Meldung mehr beim Boot.

Wenn er trotz vermeintliche Löschung nach jedem Reboot immernoch die Malware meldet, hat er nicht alles erkannt. Tolles Schlangenöl...

 

[CoMo]

Und damit kannst Du doch im Router nachsehen, welches Gerät betroffen ist. Denn das ist die IPv6 Adresse des jeweiligen Gerätes und Dein Router verrät, Dir welches der Geräte diese besitzt. Denn anders als bei IPv4 wird die IPv6 Adresse meist auch zu öffentlichen Adresse des jeweiligen Gerätes.

Das scheint aber eine SLAAC Adresse zu sein. Die hat das Gerät also anhand des per Router Advertisement zugewiesenen Präfix selbst generiert. Und wenn hier Privacy Extensions im Spiel waren, sagt die Adresse genau gar nichts über die MAC-Adresse des Geräts aus. Die Suche dürfte im Nichs versanden.

 

[Lord Alex I]

Hab die Avast live via USB erstellt und gebootet. Läuft seit 21:04 durch, noch immer.

 

[areiland]

Komisch, warum haben diese "modernen" AVs das nicht geschafft?

Weil das aus Sicht der AV Software eine völlig legitime Geschichte war, die AVs eben nicht als Schadroutinen einstufen. Das ist der klassische Fall der in älteren Windows Versionen nicht mehr geschlossenen Sicherheitslücken, die mit völlig legitimen Befehlen ausgenutzt werden und von AVs als vom Nutzer initiiert angesehen werden müssen.

 

[CoMo]

Wenn er trotz vermeintliche Löschung nach jedem Reboot immernoch die Malware meldet, hat er nicht alles erkannt. Tolles Schlangenöl...

Meinen Post noch mal richtig lesen bitte. Dann verstehst du es.

Hab die Avast live via USB erstellt und gebootet. Läuft seit 21:04 durch, noch immer.

Zum dritten Mal. Du hast zwei Optionen:

1. Dein System komplett neu aufsetzen
2. Dein System analysieren und ggfs. bereinigen

1. ist die saubere und sichere Variante.

2. ist die Variante, bei der wir endlich ein FRST-Log aus dem laufenden System benötigen.

 

[PC295]

Meinen Post noch mal richtig lesen bitte. Dann verstehst du es.

Du brauchst jetzt nicht so kommen, ich habe deinen Post genau verstanden!

 

[CoMo]

Na also. Der Dropper, der sich mit jedem Reboot neu erstellt und damit einen anderen Hash hat, taucht nicht mehr in den Signaturdatenbanken auf. Damit ist er für die AV unsichtbar.

Und die gern vermarktete "Verhaltensanalyse" merkt auch nix. Einem Menschen fällt sofort auf, dass ein SystemLoginWindows10.vbs im Autostart da nicht hingehört. Da braucht es keine Supercomputer und keine KI und keine Cloud.

 

[Lord Alex I]

kannst Du doch im Router nachsehen,

Kannst du mir bitte sagen wie/wo ich da nachsehen kann. Router ist eine Fritzbox 7590

 

[Dr. McCoy]

http://fritz.box/?lp=net

 

[CoMo]

Nirgends.

2003:d9:571f:f300:9c2c:d720:a29d:e986:51599

Das kann keine gültige IPv6 Adresse sein. Jede IPv6 Adresse besteht aus 8 Gruppen von 4 Hexadezimalzahlen. Diese Adresse besteht aus mehr als 128 Bit. Sie existiert nicht und hat nie existiert.

 

[Lord Alex I]

Ja, da bin ich schon längst, meinte wo genau, unter meinen mit WLAN Geräten habe ich andere Adressen?

 

[CoMo]

habe ich andere Adressen

Na so eine Überraschung.

 

[Lord Alex I]

Meine Geräte die im Netzwerk sind: Samsung TV, 1 Handy, 1 Tablet, 2 Desktop PC, 2 Laptop, 1 PS4, 1 MQ2, mehr nicht...zu keinen Gerät passt die genannte Adresse....