Och Bärchen. Der ganze Scheiß wurde schon im Neuinstallations-Thread von Kronos durchgekaut.

1. haben locker >90% der von ransoms Betroffenen kein Image oder kein aktuelles Image
2. die einfachen Sperrtrojaner wirst mit FRST in wenigen Minuten los. Ich zitier mal schraubi:

Zitat:

Zitat von schrauber

Du willst wegen der ASK Toolbar neu installieren?
Du wilst wegen nem BKA, den ich beim Pinkeln gehen, nebenbei beim Abschütteln, von der Platte rotze, neuaufsetzen?


Alter.........

Purzelbär: Mit der Angst als Antriebsfaktor hat der SLE mal Recht, die erhält die Branche weitgehend am Leben.

Zu der Ransom-Geschichte: Ohne das damische Java und selbst mit, wenn Du nicht auf das angebliche Java Update geklickt hättest, wäre nix passiert. Selbst da wärst Du also ohne AVG "durchgekommen".

Tipp: Schmeiss das AVG weg und nimm MSE, dazu das:
HitmanPro.Alert - SurfRight

Nach 4 Wochen Trialphase läuft es als freeware weiter mit Ausnahme der 2 Funktionen:
- Process Protection
Protects the main executable of a process against unmapping
--> Vereinfacht gesagt geht die Malware hin, öffnet eine vertrauenswürdige Anwendung wie zB explorer.exe und ersetzt den legitimen Code durch Bestandteile des eigenen schädlichen, das ganze passiert dann ohne Datei, direkt aus dem Speicher.
- CryptoGuard
Protects your data against Cryptolocker-like ransomware; behavior-based

Ist ja lieb von dir gemeint Avenger77, aber ich weiß schon selbst welche Schutzsoftware ich verwende. Und wenn ich damals nicht auf das vermeintliche Java Update Fenster im FF geklickt hätte und das stattdessen ignoriert und das FF Fenster dazu geschlossen hätte, wäre es nicht zu dieser Infektion gekommen. Was ich damals auch nocht wusste ist: es waren BKA/GVU Ransoms die es dem User ermöglichten Windows im Abgesicherten Modus mit Eingabeaufforerung zu starten und dann von da aus zum Beispiel mit Malwarebytes Free das System wieder zu bereinigen. Es gab dann mal im Rokop Forum einen Link der nicht direkt aufrufbar war in dem fast täglich eine neue Varianten dieser Ransoms runterladbar waren und so gut wie kein AV wie Avast, AVG, BitDefender, Avira und noch ein paar mit denen ich das getestet hatte, konnte die Sperrung des Systems verhindern wenn ich die Files ausführte. War jedoch OA oder Comodo FW Defense+ mitinstalliert, verhinderten deren proaktiven Schutzmechanismen oft das erfolgreiche Ausführen der Ransom Files und eine Sperrung fand nicht statt. Comodo verschob dabei die Ransom Files in Quarantäne, OA aber nicht, liess die Ransom Files da wo sie waren(meistens auf dem Desktop).

Eben.

Das allein zeigt schon, wie mighty diese Glorreichen Triple A sind
ICH hätte das AVG sofort zum Hangartor hinausbefördert, bei so einer einfachen Infektion, wenn es versagt hätte.
NATÜRLICH sperrt OA den Zugriff erst einmal und fragt nach, das ist ja der SINN eines HIPS.
Also halten wir fest: Du hast da ein Tool drauf, das im wirklichen Ernstfall völlig versagt hat und im Gegenzug dafür pro bono schön den Netzwerktraffic auslesen darf und wahrscheinlich auch macht!

Zitat:

Zitat von Avenger77

Eben.

Das allein zeigt schon, wie mighty diese Glorreichen Triple A sind
ICH hätte das AVG sofort zum Hangartor hinausbefördert, bei so einer einfachen Infektion, wenn es versagt hätte.
NATÜRLICH sperrt OA den Zugriff erst einmal und fragt nach, das ist ja der SINN eines HIPS.
Also halten wir fest: Du hast da ein Tool drauf, das im wirklichen Ernstfall völlig versagt hat und im Gegenzug dafür pro bono schön den Netzwerktraffic auslesen darf und wahrscheinlich auch macht!

Avenger77 du Schlaumeierchen, frag mal bei deinen Kollegen markusg nach was es mit den Ransoms auf sich hatte die im Dezember 2011 ein paar Tage vor Weihnachten auftauchten und hier für mächtig Arbeit bei den Helfern hier sorgten dann wirst du schnell feststellen das es damals täglich neue Varianten dieser Ransoms gab und diese von vielen bekannten AV's per Signaturerkennung erst nach ein paar Tagen erkannt wurden und Systeme von Usern mit verschiedenen AV's gesperrt wurden nachdem diese versucht hatten die als video.exe getarnten Ransoms auszuführen.
Kannst aber auch gerne bei Rokop in der Kategorie Trojaner, Viren und Würmer nachschauen, dort die Seiten durchsuchen und dann den Thread den ich meine wenn du dir etwas Mühe gibst finden

Zitat:

Zitat von Darklord666

Comodo ist aber auch eins der aggressivsten AV's. Mit vielen Fehlalarmen und es gab mal einen FW-Test von denen, der Scareware-Charakter hatte.

Comodo ist vor allem nicht leicht zu konfigurieren und wenn aber bei Comodo der Proaktive Modus aktiviert war, erkannte Comodo das Ausführen der Ransom Files als gefährlich und verhinderte das undas Ransom File landete in Quarantäne. Ich selbst hatte damals AVG IS und Zemana AntiLogger installiert und die beiden konnten die Infektion nicht verhindern, Von anderen Usern bei Rokop erfuhr ich dann das auch andere namhafte AV's die Ransom Files nach Tagen erkannten nachdem die in deren Signaturen eingepflegt wurden. War aber auch ein richtiges Katz und Maus Spiel damals weil fast täglich neue Varianten mit einem anderen Hashwert eingespielt wurden und die AV Hersteller quasi mit ihren Signaturen hinterher hechelten.

Zitat:

Zitat von purzelbär

Avenger77 du Schlaumeierchen, frag mal bei deinen Kollegen markusg nach was es mit den Ransoms auf sich hatte die im Dezember 2011 ein paar Tage vor Weihnachten auftauchten und hier für mächtig Arbeit bei den Helfern hier sorgten dann wirst du schnell feststellen das es damals täglich neue Varianten dieser Ransoms gab und diese von vielen bekannten AV's per Signaturerkennung erst nach ein paar Tagen erkannt wurden und Systeme von Usern mit verschiedenen AV's gesperrt wurden nachdem diese versucht hatten die als video.exe getarnten Ransoms auszuführen.
Kannst aber auch gerne bei Rokop in der Kategorie Trojaner, Viren und Würmer nachschauen, dort die Seiten durchsuchen und dann den Thread den ich meine wenn du dir etwas Mühe gibst finden


Comodo ist vor allem nicht leicht zu konfigurieren und wenn aber bei Comodo der Proaktive Modus aktiviert war, erkannte Comodo das Ausführen der Ransom Files als gefährlich und verhinderte das undas Ransom File landete in Quarantäne. Ich selbst hatte damals AVG IS und Zemana AntiLogger installiert und die beiden konnten die Infektion nicht verhindern, Von anderen Usern bei Rokop erfuhr ich dann das auch andere namhafte AV's die Ransom Files nach Tagen erkannten nachdem die in deren Signaturen eingepflegt wurden. War aber auch ein richtiges Katz und Maus Spiel damals weil fast täglich neue Varianten mit einem anderen Hashwert eingespielt wurden und die AV Hersteller quasi mit ihren Signaturen hinterher hechelten.

Wundert mich, dass noch keiner diesen Quark kommentiert hat.
1.ZAL ist gegen Keylogger, nix FBI Sperrtrojaner. Bevor Du noch ZAM testen möchtest, vergiss es, nur eine Kopie von HitmanPro, eine schlechte.
2.Was soll dieser Signaturenquark? Jedes einigermassen gute AVP sollte erkennen, wenn ein Prozess winlogon.exe manipulieren will, über den Behavior Blocker.
3.Das einzig wirklich gute Programm auf deinem PC ist OA, dieses benutzt IAT/EAT Hooks bei allen wichtigen Kernprozessen von Windows. Damit ist es ein Kinderspiel für OA, Änderungen an der Registry zu bemerken.
4.Selbst wenn dich dieser Sperr Trojaner erwischt hat, geht man im abges. Modus zum HKLM system current winlogon.exe und entfernt schädliche exe Einträge und schaut zusätzlich nach explorer.exe.
Nix Image, nix Neuaufsetzen.
Das weiss ich als ganz normaler Anwender, da braucht man kein rokop Forum zu durchwühlen.
Sorry wenn das jetzt hart klang, aber Dein AVG ist scheisse. Punkt.

Zitat:

4.Selbst wenn dich dieser Sperr Trojaner erwischt hat, geht man im abges. Modus zum HKLM system current winlogon.exe und entfernt schädliche exe Einträge und schaut zusätzlich nach explorer.exe.
Nix Image, nix Neuaufsetzen.

Wenn du so schlau bist Avenger, dann weißt du auch das es Ransoms gab die es nicht zuliessen das man Windows im Abgesicherten Modus mit Eingabeaufforderung starten konnte um so dagegegen vorzugehen und die ausserdem Private Daten verschlüsselten. Und ausserdem: bevor die betroffenen User stundenlang versuchten wieder Windows zum starten zu bekommen, wäre in der Zwischenzeit locker ein zeitnahes Systembackup eingespielt gewesen mit der hohen Wahrscheinlichkeit(bei mir)das dieses sauber ist weil das System vorm erstellen des Backups mit Scannern überprüft wurde. Was du über Zemana schreibst da gebe ich dir recht, wurde ich damals auch deswegen belehrt.

Zitat:

Sorry wenn das jetzt hart klang, aber Dein AVG ist scheisse. Punkt.

Nehme ich zum x-ten male von dir zur Kenntnis, akzeptiere auch deine Meinung aber ich hab dazu eine eigene, andere Meinung weil ich es bestimmt öfters und länger als du benuztz habe und damit meine Erfahrungen gemacht habe.

Zitat:

Zitat von Avenger77

Jedes einigermassen gute AVP sollte erkennen, wenn ein Prozess winlogon.exe manipulieren will, über den Behavior Blocker.

Ah.
Definieren Sie die zu überwachende(n) Schnittstelle(n).

Zitat:

Zitat von Avenger77

3.Das einzig wirklich gute Programm auf deinem PC ist OA, dieses benutzt IAT/EAT Hooks bei allen wichtigen Kernprozessen von Windows. Damit ist es ein Kinderspiel für OA, Änderungen an der Registry zu bemerken.

Usermode-Hooks aus dem 20-sten Jahrhundert sind meiner bescheidenen Meinung nach nicht mehr adäquat,
um Jahr-2015-Malware zu beeindrucken.


Brotip:
1.) ObRegisterCallbacks()
2.) requestedHandle &= ~PROCESS_VM_OPERATION;
3.) ?????????????????????????????????
4.) $$$$$$PROFIT$$$$$$

Ohhh..verständlicherweise muss man dafür Treiber schreiben! Hilfe, Mami, ich hab aber Angst vor Ring 0!

Grüsse - Microwave

P.S. Versenkt den Fred doch gescheiter mal in der Tonne.. Tut ja weh teilweise...