Jump to content

zteb4543

Member
  • Posts

    26
  • Joined

  • Last visited

Posts posted by zteb4543

  1. Ich kann die Datei leider nirgends hochladen, weil sie nicht mehr da ist (ist das Standardverhalten des Flash Installers, daß er sich nach Installation löscht?!?).

     

    Im Emsisoft Log kann ich sehen, daß sie install_flashplayer17x32_mssd_aaa_aih.exe hieß. Das ist lt. Suche einer der Standardnamen. Das besagt aber natürlich nichts.

     

    Heruntergeladen war sie zu 99.9% von Adobe. Ich hatte speedtest.net geöffnet und den dort vorhandenen Link verwendet.

     

    Wie sieht es mit der folgenden Frage aus? Die ist noch unbeantwortet.

     

    "Warum finde ich Details nur zu 3 statt den 7 Funden aus der Übersicht"

    Einer steht in Surfschutz, 2 weitere mit Behaviour.Trojan in Verhaltensanalyse (wget und Flash Installer).

     

    Danke,

    M

  2. Hallo.

     

    Mußte wegen Plattenfehlern den Rechner incl. Emsisoft Internet Security neu aufsetzen. In den letzten 2 Tagen stieg die Anzahl angeblicher Malware-Funde auf mittlerweile 7.

     

    Das einzige, was an Auffälligkeiten in den Logs zu finden ist, ist das beim Flash Installer Behaviour.Trojan steht.

     

    Zu den 7 (oder 6 wg. des Flash-Installers?) Funden kann ich in keinem der Einträge unter Protokolle etwas finden.

     

    Ich bitte um Hilfestellung bei

    1) Beurteilung der Trojan-Warnung bei den Flash-Installer

    2) Dem Finden näherer Details zu den 7 Funden aus der Übersicht

     

    Vielen Dank,

    M

  3. Hallo.

     

    Erstmal Kommando zurück... Bei und nach De-Installation von Anti-MW und OA und Installation der IS mußte ich ja diverse Mal neu booten und alles anderen Netzwerkfunktionen liefe ja auch. Aus "Verzweiflung" habe ich gerade noch einmal neu gebootet und nun konnte ich das VPN aufbauen.

     

    Vielleicht hatte sich da irgendwas in den IP Stacks verhakelt.

     

    Melde mich wieder, wenn es wieder auftaucht.

     

    Gruß,

    M

  4. Hallo,

     

    ich habe gerade von Anti-Malware/Online Armor auf die kombinierte "Internet Security" aktualisiert.

     

    Der Versuch, ein VPN mittels Cisco Software aufzubauen schlägt fehl. Meldungen in "Protokolle" kann ich nicht finden. Die Firewall-Regeln ("Schutz-Firewall" und "Erweiterte Konfiguration") sind wie voreingestellt und sehen für mich richtig aus.

     

    Was kann ich tun, um herauszufinden, warum das nicht mehr funktioniert?

     

    Danke,

    M

  5. Verstehe ich Sie richtig, daß Online Armor nur eine Art Hash der Datei zum Lookup in der "Cloud DB" nutzt? Wenn also genau die Datei mit dem Hash in Ihrer DB nicht als schädlich markiert ist, würde Online Armor nicht eingreifen, weil kein "wirklicher" Scan nach den Virensignaturen gemacht wird?

     

    Oder verstehe ich Sie komplett miß?

     

    Danke und Grüße,

    M

  6. Hallo,

     

    das eigentliche Problem hier ist das die Datei in unserer Cloud als infiziert steht. Das die Signatur abgelaufen ist kommt noch hinzu. Auch wenn die Signatur noch gültig wäre hätte Online Armor die Meldung gebracht.

     

    Sollte der explizite Scan nicht auf die abgelaufene Signatur hinweisen? Und wenn die Datei in Ihrer DB als infiziert markiert ist, warum führt dies nur beim Start zur Meldung, nicht aber beim expliziten Scan?

     

    Danke und Grüße,

    M

  7. Hallo,

     

    Das Problem ist das die digitale Signaur der Datei abgelaufen ist seit dem 20.05.2014 und das die Datei in unserem Anti-Malware Network als infiziert gelistet ist. Der Fehlalarm wird geprüft und schnellstmöglich behoben.

     

    Hallo, prüft denn der explizite Scan die Signatur nicht? Eine Warnugn in dem Fall einer abgelaufenen Signatur wäre doch trotzdem hilffreich, oder?

     

    Danke und Grüße,

    M

  8. Hallo,

    1) könnten diese Programme theoretisch sämtliche Tastaturevents / -eingaben sehen? Also neben der erlaubten C+P Funktionalität auch noch Paßworteingaben im Browser abfangen? Ist wohl bei den o.g. nicht unbedingt zu erwarten, aber ich versuche immer noch, die Meldung an sich zu verstehen und besser beurteilen zu können.

    2) Sie hatten außerdem oben gesagt, daß Sie mit Notepad++ die Meldung nicht sehen. Sie haben also ohne Online Armor getestet?

    Danke,

    M

  9. Hallo,

     

    ein Eintrag aus dem Online-Armor Log für Notepad++ ist z.B. folgender:

     

     Keylogger erkannt: notepad++.exe,25.03.2014 10:21:27,Verboten,C:\Program Files\Notepad++\notepad++.exe

     

    Notepad++ war ja auch nur ein Beispiel. Auch bei copy-paste in ein Eclipse-Fenster hatte er das gemeldet und das ist der dazugehörige Eintrag:

     

    Keylogger erkannt: org.eclipse.equinox.launcher_1.3.0.v20130327-1440.jar,25.03.2014 10:28:27,Erlaubt,C:\eclipse\plugins\org.eclipse.equinox.launcher_1.3.0.v20130327-1440.jar
     

    Die Installationsdatei für Notepad++ stammte von hier: http://dl.cdn.chip.de/downloads/32286/npp.6.5.5.Installer.exe?1395668367-1395675867-72235b-B-751a83abb1852a83185737ad3b705b8b.exe

     

    Danke,

    M

  10. Hallo.

     

    Anti-Malware findet beim Scan den folgenden Registry Eintrag:

     

    Value: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\TASKMGR.EXE -> DEBUGGER     gefunden: SecHijack (A)
     

    Ich nutze den ProcessExplorer von Sysinternals.com (mittlerweile Microsoft) und habe die Option "Replace Task Manager" ausgeführt.

     

    Ist das die Ursache? Oder kann es auch ein berechtigter Alarm sein?

     

    Danke,

    M

  11. Hallo.

     

    Danke für die schnelle Antwort. Im Protokoll ist dazu kein Eintrag vermerkt. Hab' den Eintrag unter Keyloggers gerade nochmal entfernt und nochmal probiert. Siehe unten.

     

    Gruß,

    M

     

    Emsisoft Anti-Malware - Version 8.1
    Verhaltensanalyse Protokoll

    Datum    PID    Ursprung    Vorgang    Fund
    24.03.2014 17:06:32    788    C:\Users\xxxxx\AppData\Local\Temp\MSI5838.tmp    Von Benutzer terminiert    Behavior.CodeInjector
    14.03.2014 18:21:27    3808    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.Spyware
    14.03.2014 18:21:27    3808    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.TrojanDownloader
    14.03.2014 18:21:26    3808    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.NewProcess
    14.03.2014 18:21:07    3444    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.Spyware
    14.03.2014 18:21:07    3444    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.TrojanDownloader
    14.03.2014 18:21:07    3444    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.NewProcess
    14.03.2014 18:20:53    3580    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.Spyware
    14.03.2014 18:20:53    3580    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.TrojanDownloader
    14.03.2014 18:20:53    3580    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.NewProcess
    14.03.2014 18:20:11    2308    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.Spyware
    14.03.2014 18:20:11    2308    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.TrojanDownloader
    14.03.2014 18:20:10    2308    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.NewProcess
    14.03.2014 18:16:51    2240    C:\Unified_Android_ToolKit\tools\curl.exe    Von Benutzer erlaubt    Behavior.Spyware
    14.03.2014 18:16:45    2240    C:\Unified_Android_ToolKit\tools\curl.exe    Von Benutzer erlaubt    Behavior.TrojanDownloader
    14.03.2014 17:55:19    4004    C:\Users\xxxxx\AppData\Local\Temp\SAMSUNG\USB Drivers\Setup.exe    Von Regel erlaubt    Behavior.NewProcess
    14.03.2014 17:52:41    3172    C:\Users\xxxxx\AppData\Local\Temp\SAMSUNG\USB Drivers\Setup.exe    Von Benutzer erlaubt    Behavior.AutorunCreation
     

×
×
  • Create New...