Qihoo 360 Internet Security 2013

[Chibi88]

Müsst ihr mal testen:

Die Datei öffnen: Qihoo meldet sich. Haken auf ignorieren setzen und das Ganze 2-3x wiederholen. Irgendwann wird der Trojaner ausgeführt und man bekommt keine Meldung mehr. Verstehe ich nicht. Wenn das beim ersten mal passieren würde, wäre der durch.

 

[purzelbär]

Also: hab mir die Ransom Datei von FLOWR1D3R runtergeladen, aufs Desktop gespeichert und dann ausgeführt. Avast zeigt keinerlei Reaktion aber Online Armor Free Programschutz(HIPS)kam sofort mit einem Meldefenster das OA Free die Datei noch nicht kennen würde und ich musste selbst entscheiden ob ich zulasse oder blockiere. Hab dann blockieren gedrückt und die Geafahr wurde abgewendet: Auch nach einem Reboot jetzt ist das System nicht gesperrt.

Malewareb. und Panda sagen Datei ist OK! Oh man......

Mach mal einen Komplett Scan mit Malwarebytes.

 

[Chibi88]

Führ mal aus, Purzelbär. Kann ja immer mal passieren, dass ein Programm nicht in der Whitelist ist. Mich würde Proaktiv interessieren.

 

[MaxDev]

Kann mal einer die Datei mit Malwarebytes scannen?

Ob das anschlägt?

 

[purzelbär]

Führ mal aus, Purzelbär. Kann ja immer mal passieren, dass ein Programm nicht in der Whitelist ist. Mich würde Proaktiv interessieren.

Ich hab die Datei ausgeführt Chibi88, mach ich immer bei den Ransoms weil man dann erst sieht ob die Virenschutz Programme die Infektionen verhindern können oder nicht.

Kann mal einer die Datei mit Malwarebytes scannen?

Ob das anschlägt?

Per Kontext Scan mit Malwarebytes wird die Ransom Datei auf dem Desktop bei mir mit Malwarebytes nicht beanstandet.

 

[Chibi88]

Ich hab die Datei ausgeführt Chibi88, mach ich immer bei den Ransoms weil man dann erst sieht ob die Virenschutz Programme die Infektionen verhindern können oder nicht.

Ich meinte damit OA. Geh auf akzeptieren. KÖNNTE ja auch was gutes sein, wenn es dem Programm nicht bekannt ist. Erst dann kann man sehen, was passiert.

Edit: Qihoo blockt es. Heuristic.

 

[purzelbär]

So blöd bin ich dann doch wieder nicht denn dann käme garantiert der Sperrbildschirm

Edit: Qihoo blockt es. Heuristic.

Beim Ausführen? mach mal einen Systemreboot........

 

[FLOWR1D3R]

Müsst ihr mal testen:

Die Datei öffnen: Qihoo meldet sich. Haken auf ignorieren setzen und das Ganze 2-3x wiederholen.

Das kann Ich grad nicht nachvollziehen. Wenne den RANSOM aus Qurantäne holst ,wird immer automatisch ein haken in der Whitelist gemacht. Ignorieren? mach mal ein Screen.

 

[Chibi88]

So blöd bin ich dann doch wieder nicht denn dann käme garantiert der Sperrbildschirm

Beim Ausführen? mach mal einen Systemreboot........

Virtual PC. So ne Kamikaze Aktion würde ich ja auch nicht machen

 

[FLOWR1D3R]

Kann mal einer die Datei mit Malwarebytes scannen?

Ob das anschlägt?

Schlägt nicht an . keiner schlägt an , außer Qihoo

 

[Chibi88]

Das kann Ich grad nicht nachvollziehen. Wenne den RANSOM aus Qurantäne holst ,wird immer automatisch ein haken in der Whitelist gemacht. Ignorieren? mach mal ein Screen.

@FLOWR1D3R: Wenn der Virus erkannt wird, beim öffnen, dann steht da ja links "remove" und rechts "Postone" oder sowas, sprich: Auslassen oder ignorieren. Es wird kein Haken automatisch gesetzt. Wenn man die Datei wieder öffnet, dann erscheint die Meldung normalerweise wieder. Mir kommt es nur so vor, dass, wenn man die Datei bzw diese Aktion schnell genug wiederholt, der Virenscanner nicht mehr nachkommt und die Datei ausgeführt wird. Das war bei mir der Fall

 

[purzelbär]

Schlägt nicht an . keiner schlägt an , außer Qihoo

Abwarten.......hab eine Komplett Überprüfung mit Malwarebytes gestartet und das Ransom File sitzt noch aufm Desktop.......

Virtual PC. So ne Kamikaze Aktion würde ich ja auch nicht machen

So isses aber abgesehen davon hätte ich Paragon Systembackups da auf der USB Festplatte, eine Kaspersky Rescue Disk und ein installiertes Malwarebytes Free.

 

[FLOWR1D3R]

@FLOWR1D3R: Wenn der Virus erkannt wird, beim öffnen, dann steht da ja links "remove" und rechts "Postone" oder sowas, sprich: Auslassen oder ignorieren. Es wird kein Haken automatisch gesetzt. Wenn man die Datei wieder öffnet, dann erscheint die Meldung normalerweise wieder. Mir kommt es nur so vor, dass, wenn man die Datei bzw diese Aktion schnell genug wiederholt, der Virenscanner nicht mehr nachkommt und die Datei ausgeführt wird. Das war bei mir der Fall

Ist aber kein normales user verhalten ? Bei mir zumindest nicht ,Ich klick auf remove/entfernen und fertig

 

[Chibi88]

Datei wird nicht von MWB erkannt. Datei wird auch nicht von Avast! erkannt. Datei wird ausgeführt und Trojaner wird aktiviert. System ist nicht mehr zugänglich. Bei mir hat es auch nur Qihoo geblockt bis jetzt.

Der Gehärtete Modus blockiert die Datei. Muss man aber erst aktivieren.

 

[purzelbär]

Datei wird nicht von MWB erkannt. Datei wird auch nicht von Avast! erkannt. Datei wird ausgeführt und Trojaner wird aktiviert. System ist nicht mehr zugänglich. Bei mir hat es auch nur Qihoo geblockt bis jetzt.

Bedenke dabei eines: Malwarebytes als Free installiert ist nur der OnDemand Scanner ohne Wächter/Echtzeitschutz. Demnach kann Malwarebytes Free in Echtzeit beim Ausführen des Ransoms gar nicht schützen. Zu Qihoo: Hast du direkt danach dein System rebootet nachdem Qihoo den Angriffsversuch des Ransoms verhindert hat? Ich habe es früher schon mal geschrieben: bei manchen Ransoms wird das System(bei mir)erst nach einem Rebbot gesperrt.

 

[FLOWR1D3R]

Bedenke dabei eines: Malwarebytes als Free installiert ist nur der OnDemand Scanner ohne Wächter/Echtzeitschutz. Demnach kann Malwarebytes Free in Echtzeit beim Ausführen des Ransoms gar nicht schützen. Zu Qihoo: Hast du direkt danach dein System rebootet nachdem Qihoo den Angriffsversuch des Ransoms verhindert hat? Ich habe es früher schon mal geschrieben: bei manchen Ransoms wird das System(bei mir)erst nach einem Rebbot gesperrt.

Clean
hier wird auch MWBytes aufgelistet: https://www.virustotal.com/de/file/...d46d1b3bb8085a2addc509c2/analysis/1383240297/

Alle werden aufgelistet (glaube) , sogar Kingsoft und Baido aber Qihoo ? Fehlanzeige

 

[purzelbär]

Uups auch per Komplett Überprüfung(Partition C)erkennt Malwarebytes das Ransom File auf dem Desktop(noch)nicht:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.31.07

Windows XP Service Pack 3 x86 NTFS (
Internet Explorer 8.0.6001.18702
xxxxxxxx :: xxxxxxxx [Administrator]

31.10.2013 20:52:28
mbam-log-2013-10-31 (20-52-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 323125
Laufzeit: 19 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

 

[FLOWR1D3R]

Purzelbär, Sie halten anscheinend sehr viel von Malwarebytes ? Der Ransom ist mega gut gecryptet und X mal in ein Laufzeitpacker gesteckt worden.

 

[MaxDev]

Ich bin gerade nochmal beim erstellen einer Virtual Machine.
Diesmal aber mit Windows 8.1 und nicht Windows 7.

Dort werde ich auch einige Programme laufen lassen.

Melde mich, wenn es fertig mit installieren ist!

 

[purzelbär]

Siezen brauchen wir uns glaube ich nicht ja Malwarebytes OnDemand Scanner ist bekannt dafür Ransom Infektionen aufzuspüren und löschen zu können. Ich verwende Malwarebytes Free schon lange als zusätzlichen OnDemand Scanner und bislang löschte dieser jede Ransom Infektion.