Jump to content

zteb4543

Member
  • Posts

    26
  • Joined

  • Last visited

Everything posted by zteb4543

  1. Ich kann die Datei leider nirgends hochladen, weil sie nicht mehr da ist (ist das Standardverhalten des Flash Installers, daß er sich nach Installation löscht?!?). Im Emsisoft Log kann ich sehen, daß sie install_flashplayer17x32_mssd_aaa_aih.exe hieß. Das ist lt. Suche einer der Standardnamen. Das besagt aber natürlich nichts. Heruntergeladen war sie zu 99.9% von Adobe. Ich hatte speedtest.net geöffnet und den dort vorhandenen Link verwendet. Wie sieht es mit der folgenden Frage aus? Die ist noch unbeantwortet. "Warum finde ich Details nur zu 3 statt den 7 Funden aus der Übersicht" Einer steht in Surfschutz, 2 weitere mit Behaviour.Trojan in Verhaltensanalyse (wget und Flash Installer). Danke, M
  2. Hallo. Mußte wegen Plattenfehlern den Rechner incl. Emsisoft Internet Security neu aufsetzen. In den letzten 2 Tagen stieg die Anzahl angeblicher Malware-Funde auf mittlerweile 7. Das einzige, was an Auffälligkeiten in den Logs zu finden ist, ist das beim Flash Installer Behaviour.Trojan steht. Zu den 7 (oder 6 wg. des Flash-Installers?) Funden kann ich in keinem der Einträge unter Protokolle etwas finden. Ich bitte um Hilfestellung bei 1) Beurteilung der Trojan-Warnung bei den Flash-Installer 2) Dem Finden näherer Details zu den 7 Funden aus der Übersicht Vielen Dank, M
  3. Hallo, der Surfschutz blockiert die o.g. URL, Zugriffe auf http://downloads.sourceforge.netaber nicht. Weshalb ist sunet geblockt? Dabke und Grüße, M
  4. Hallo. Erstmal Kommando zurück... Bei und nach De-Installation von Anti-MW und OA und Installation der IS mußte ich ja diverse Mal neu booten und alles anderen Netzwerkfunktionen liefe ja auch. Aus "Verzweiflung" habe ich gerade noch einmal neu gebootet und nun konnte ich das VPN aufbauen. Vielleicht hatte sich da irgendwas in den IP Stacks verhakelt. Melde mich wieder, wenn es wieder auftaucht. Gruß, M
  5. Hallo, ich habe gerade von Anti-Malware/Online Armor auf die kombinierte "Internet Security" aktualisiert. Der Versuch, ein VPN mittels Cisco Software aufzubauen schlägt fehl. Meldungen in "Protokolle" kann ich nicht finden. Die Firewall-Regeln ("Schutz-Firewall" und "Erweiterte Konfiguration") sind wie voreingestellt und sehen für mich richtig aus. Was kann ich tun, um herauszufinden, warum das nicht mehr funktioniert? Danke, M
  6. Hallo, würde "Meine Entscheidung speichern" nicht bedeuten, daß in Zukunft überhaupt keine Online-Abfragen zur Prüfung gemacht werden? Danke und Grüße, M
  7. Hallo, die Setupdatei schicke ich Ihnen gleich zu. Die Meldung, die ich bekomme, hänge ich hier an. Danke und Grüße, M
  8. Zusatzinfo: Wenn ich per Kontextmenu die Datei scannen lasse, wird nichts Suspektes gefunden.
  9. Hallo, der "Dateiwächter" hat unter Protokolle schinbar noch nie etwas eingetragen und der letzte Eintrag in "Verhaltensanalyse" ist von Ende Juli. Besteht nicht die Möglichkeit, daß Sie ganz einfach den o.g. Downloadlink nutzen und den Test mit dem heruntergeladenen Setup-Programm lokal durchführen? Danke und Grüße, M
  10. Hallo, soweit komme ich gar nicht. Wenn ich die *setup*.exe starte werde ich mit einem roten Fenster gleich auf die potentielle Gefahr hingewiesen. (Und nein, ich würde den Yahoo SmartBar nicht mit installieren) Danke und Grüße, M
  11. Hallo, der Installer, der von der Seite http://sourceforge.net/projects/freefilesync/ heruntergeladen werden kann, wird beim Start als gefährlich gemeldet. Ich gehe von einem false positive aus. Können Sie dies bestätigen? Danke und Grüße, M
  12. Verstehe ich Sie richtig, daß Online Armor nur eine Art Hash der Datei zum Lookup in der "Cloud DB" nutzt? Wenn also genau die Datei mit dem Hash in Ihrer DB nicht als schädlich markiert ist, würde Online Armor nicht eingreifen, weil kein "wirklicher" Scan nach den Virensignaturen gemacht wird? Oder verstehe ich Sie komplett miß? Danke und Grüße, M
  13. Sollte der explizite Scan nicht auf die abgelaufene Signatur hinweisen? Und wenn die Datei in Ihrer DB als infiziert markiert ist, warum führt dies nur beim Start zur Meldung, nicht aber beim expliziten Scan? Danke und Grüße, M
  14. Hallo, prüft denn der explizite Scan die Signatur nicht? Eine Warnugn in dem Fall einer abgelaufenen Signatur wäre doch trotzdem hilffreich, oder? Danke und Grüße, M
  15. Passiert. Nachtrag: Interessaterweise meldet Google-Mail nun auch einen Virus, als ich die Datei angehängt habe. Musste sie für das Senden in *.ex umbenennen. Danke und Grüße, M
  16. Hallo, Datei ist von chip.de heruntergeladen worden. Wenn ich den Ordner in dem die Datei enthalten ist explizit mit Emsisoft Anti-Malware scanne wird nichts gefunden. Warum gibt es die Warnung beim Start? Ich gehe davon aus, daß es ein false-positiv ist. Danke und Grüße, M 20140711-virus-warning.pdf
  17. Hallo, 1) könnten diese Programme theoretisch sämtliche Tastaturevents / -eingaben sehen? Also neben der erlaubten C+P Funktionalität auch noch Paßworteingaben im Browser abfangen? Ist wohl bei den o.g. nicht unbedingt zu erwarten, aber ich versuche immer noch, die Meldung an sich zu verstehen und besser beurteilen zu können. 2) Sie hatten außerdem oben gesagt, daß Sie mit Notepad++ die Meldung nicht sehen. Sie haben also ohne Online Armor getestet? Danke, M
  18. Hallo, wie findet man denn heraus, welche Dinge wirklich an den Autostarts hängen und ob sich da was "eingenistet" hat? In Online Armor Autostart sehe ich z.B. folgende seltsame Einträge (siehe Attachments). Danke, M
  19. Hallo, wo kann ich die Ausnahmen anschließend einsehen und ggfs. auch wieder entfernen? Und bezieht sich das nur auf exakt die Veränderung fpr den Process Explorer? Oder würden andere Änderungen, die irgendeine Malware nachträglich macht, nun auch toleriert? Danke, M
  20. Hallo, ein Eintrag aus dem Online-Armor Log für Notepad++ ist z.B. folgender: Keylogger erkannt: notepad++.exe,25.03.2014 10:21:27,Verboten,C:\Program Files\Notepad++\notepad++.exe Notepad++ war ja auch nur ein Beispiel. Auch bei copy-paste in ein Eclipse-Fenster hatte er das gemeldet und das ist der dazugehörige Eintrag: Keylogger erkannt: org.eclipse.equinox.launcher_1.3.0.v20130327-1440.jar,25.03.2014 10:28:27,Erlaubt,C:\eclipse\plugins\org.eclipse.equinox.launcher_1.3.0.v20130327-1440.jar Die Installationsdatei für Notepad++ stammte von hier: http://dl.cdn.chip.de/downloads/32286/npp.6.5.5.Installer.exe?1395668367-1395675867-72235b-B-751a83abb1852a83185737ad3b705b8b.exe Danke, M
  21. Hallo. Nur um sicherzustellen, daß kein Mißverständnis entstanden ist. Ich bekomme weiterhin die Keylogger-Warnung, aber im Protokoll wird nichts dazu vermerkt. Was kann ich tun, um das näher zu untersuchen? Warum wird das im Verhaltensanalyse-Protokoll nicht vermerkt? Danke, M
  22. OK, sieht so aus, als wäre der Eintrag durch das Ersetzen des Taskmanagers durch den Sysinternals Process Explorer modifiziert worden. AntiMalware hat das wieder entfernt (obwohl ich nur Protokoll gewählt hatte) und nun kommt wieder der Windows Taskmanager. Also offenbar falscher Alarm.
  23. Hallo. Anti-Malware findet beim Scan den folgenden Registry Eintrag: Value: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\TASKMGR.EXE -> DEBUGGER gefunden: SecHijack (A) Ich nutze den ProcessExplorer von Sysinternals.com (mittlerweile Microsoft) und habe die Option "Replace Task Manager" ausgeführt. Ist das die Ursache? Oder kann es auch ein berechtigter Alarm sein? Danke, M
  24. Hallo. Danke für die schnelle Antwort. Im Protokoll ist dazu kein Eintrag vermerkt. Hab' den Eintrag unter Keyloggers gerade nochmal entfernt und nochmal probiert. Siehe unten. Gruß, M Emsisoft Anti-Malware - Version 8.1 Verhaltensanalyse Protokoll Datum PID Ursprung Vorgang Fund 24.03.2014 17:06:32 788 C:\Users\xxxxx\AppData\Local\Temp\MSI5838.tmp Von Benutzer terminiert Behavior.CodeInjector 14.03.2014 18:21:27 3808 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.Spyware 14.03.2014 18:21:27 3808 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.TrojanDownloader 14.03.2014 18:21:26 3808 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.NewProcess 14.03.2014 18:21:07 3444 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.Spyware 14.03.2014 18:21:07 3444 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.TrojanDownloader 14.03.2014 18:21:07 3444 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.NewProcess 14.03.2014 18:20:53 3580 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.Spyware 14.03.2014 18:20:53 3580 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.TrojanDownloader 14.03.2014 18:20:53 3580 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.NewProcess 14.03.2014 18:20:11 2308 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.Spyware 14.03.2014 18:20:11 2308 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.TrojanDownloader 14.03.2014 18:20:10 2308 C:\Unified_Android_ToolKit\tools\curl.exe Von Regel erlaubt Behavior.NewProcess 14.03.2014 18:16:51 2240 C:\Unified_Android_ToolKit\tools\curl.exe Von Benutzer erlaubt Behavior.Spyware 14.03.2014 18:16:45 2240 C:\Unified_Android_ToolKit\tools\curl.exe Von Benutzer erlaubt Behavior.TrojanDownloader 14.03.2014 17:55:19 4004 C:\Users\xxxxx\AppData\Local\Temp\SAMSUNG\USB Drivers\Setup.exe Von Regel erlaubt Behavior.NewProcess 14.03.2014 17:52:41 3172 C:\Users\xxxxx\AppData\Local\Temp\SAMSUNG\USB Drivers\Setup.exe Von Benutzer erlaubt Behavior.AutorunCreation
×
×
  • Create New...