Hilfe
Neues Thema
Antworten
Kompromitiert ist ein System dann wenn es durch Prozesse gegen den Willen manipuliert ist.
Dazu zählen meiner Meinung nicht Prozesse die man selbst startet (eventuell sogar mit Adminrechte) und dann sich wundert was alles mitinstalliert wird.
Siehe Was ist Malware? und Kompromittierung
@Topic: Was macht ein AV Programm wenn sagen wir Malware X zwar bekannt ist, aber diese Malware von einem Server nachlädt, welche zufallsgeneriert ist?
Will das Programm für eine Malware mehrere Signaturen erstellen? Ich denke nicht.
Es wird eventuell der Downloader dank Signatur entfernt aber nicht das was zusätzlich geladen wurde.
Problem erkannt?
Test widerlegt oft in Foren aufgestellte Behauptung dass einmal verseuchtes system neu aufgesetzt werden muss
Nach oben
#32
RalphS 
- Gruppe: VIP Mitglieder
- Beiträge: 8.895
- Beigetreten: 20. Juli 07
- Reputation: 1.126
- Geschlecht:Männlich
- Wohnort:Zuhause
- Interessen:Ja
geschrieben 09. August 2014 - 23:45
Zitat
Adminrechte
Oje.
Da sind wir wieder beim Konzept: Wer als Admin im Netz unterwegs ist, wer kein Paßwort an seinem Adminkonto hat, wer das UAC-Prompt einfach wegklickt "weil's stört"....... Naja. Sowas darf eigentlich nicht passieren.
Ansonsten, so richtig zufallsgeneriert kann das ja nicht werden, immerhin soll die Software ja noch irgenwas tun (können) - und zwar was BESTIMMTES.
Außerdem hilft hiergegen eine ordentlich konfigurierte Firewall. Unbekannter Prozeß, der was aus dem Netz nachladen will? Warum sollte man das zulassen?
= Konzept.
Dieser Beitrag wurde von RalphS bearbeitet: 09. August 2014 - 23:46
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie
#33
Mike7
geschrieben 23. August 2014 - 13:32
Tatsache ist, hat man sich nur PUP's eingefangen kann man sehr wohl sein System mit Malwarebytes Free oder den Emsisoft Emergency-Kit Scanner reinigen, den EEK nutze ich auch neben meinem eigentlichen Virenscanner Avira Free-Antivirus als reinen zusätzlichen OnDemand Scanner, und lasse ihn so alle 2 bis 3 Monate mal drüber laufen.
Und wenn man sich wirkliche Malware eingefangen hat, ist es immer sicherer Windows neu aufzusetzen, oder die bessere Alternative wäre regelmäßige Images der Systempartition oder besser der ganzen Festplatte zu machen, und das dann im Fall der Fälle zurück zu spielen, und dann ist man auf der sicheren Seite.
Und wenn man sich wirkliche Malware eingefangen hat, ist es immer sicherer Windows neu aufzusetzen, oder die bessere Alternative wäre regelmäßige Images der Systempartition oder besser der ganzen Festplatte zu machen, und das dann im Fall der Fälle zurück zu spielen, und dann ist man auf der sicheren Seite.
#34
RalphS
- Gruppe: VIP Mitglieder
- Beiträge: 8.895
- Beigetreten: 20. Juli 07
- Reputation: 1.126
- Geschlecht:Männlich
- Wohnort:Zuhause
- Interessen:Ja
geschrieben 23. August 2014 - 13:45
Bin grad nicht sicher, ob das so rübergekommen ist... daher: mir ging es darum, ein PUP erstmal als PUP zu identifizieren (also als NICHT-Schadsoftware, bestenfalls als 'Stör-Software').
Und weitergehend, den (potentiell) eingefangenen Virus zu identifizieren. Wenn mein Scanner sowas wie Generic/A in shell32.dll findet, muß ich in der Lage sein, festzustellen, ob das ein VIRUS ist oder ein FALSE POSITIVE.
Mehr wollt ich oben gar nicht ausdrücken: daß jede Antwortreaktion einfach zum Problem passen muß, und das unter Berücksichtigung *der eigenen* Anforderungen.
Oder anders gesagt, wenn ich so eine Virenwarnung hab (egal was für eine) und ich brauche ca. 5 Minuten, um mein System auf den Zustand von vor 15 Minuten zurückzusetzen (und mich die verlorenen 10 Minuten nicht stören) -- dann setz ich mein System auf den Zustand von vor fünfzehn Minuten zurück, fertig. Insbesondere, wenn ich zur Identifikation und weitergehenden Entscheidungsphase MEHR als fünf, oder gar fünfzehn, Minuten brauchen würde.
Aber dazu muß ich ein zurückspielbares Backup haben und muß mir 100%ig sicher sein, daß da dieser Virus NICHT drin ist (bei 15 Minuten vermutlich eher nicht gegeben).
Das gehört in diesem Kontext eben auch zum Sicherheitskonzept. Sonst nützt mir das Backup hier genau gar nix.
Und weitergehend, den (potentiell) eingefangenen Virus zu identifizieren. Wenn mein Scanner sowas wie Generic/A in shell32.dll findet, muß ich in der Lage sein, festzustellen, ob das ein VIRUS ist oder ein FALSE POSITIVE.
Mehr wollt ich oben gar nicht ausdrücken: daß jede Antwortreaktion einfach zum Problem passen muß, und das unter Berücksichtigung *der eigenen* Anforderungen.
Oder anders gesagt, wenn ich so eine Virenwarnung hab (egal was für eine) und ich brauche ca. 5 Minuten, um mein System auf den Zustand von vor 15 Minuten zurückzusetzen (und mich die verlorenen 10 Minuten nicht stören) -- dann setz ich mein System auf den Zustand von vor fünfzehn Minuten zurück, fertig. Insbesondere, wenn ich zur Identifikation und weitergehenden Entscheidungsphase MEHR als fünf, oder gar fünfzehn, Minuten brauchen würde.
Aber dazu muß ich ein zurückspielbares Backup haben und muß mir 100%ig sicher sein, daß da dieser Virus NICHT drin ist (bei 15 Minuten vermutlich eher nicht gegeben).
Das gehört in diesem Kontext eben auch zum Sicherheitskonzept. Sonst nützt mir das Backup hier genau gar nix.
Dieser Beitrag wurde von RalphS bearbeitet: 23. August 2014 - 13:47
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie
#35
Mike7
geschrieben 23. August 2014 - 13:58
Ja da gebe ich dir vollkommen recht, und ich wollte einfach nur prinzipiell feststellen das man reine PUP's sehr wohl problemlos entfernen kann wenn man kein Image zu Verfügung hat, aber ansonsten ist man mit einem zurück gespielten Image immer auf der sicheren und schnelleren Seite.
