robur

Systemdatei zum dritten mal als Malware erkannt

Recommended Posts

Liebe Experten,

zum dritten Mal erkennt Malware-Scan von EAM eine Systemdatei (siehe Screeshot) als Malware, die nicht gelöscht bzw. verschoben werden kann. Dies passiert meistens über den ganzen Tag, am nächsten Tag ist meistens wieder alles in Ordnung.

Nach mehreren Tagen wiederholt sich das Gleiche, und am nächsten Tag wird wieder keine Malware erkannt.  Heute ist das zum dritten Mal passiert, mal sehen ob morgen wieder alles in Ordnung wird-

Es scheint, dass bei der Malwareerkennung irgendwas auf der Kippe steht, so dass die gleiche Datei einmal als o.k. und beim anderen Mal als Malware erkannt wird.  Bitte um Überprüfung, was das wäre.          

Das betrofene System: Windows 8.1. Professional, 32 Bit.

Grüße - robur

Anladge: Fund.pdf (2 Seiten)

Fund.pdf

Share this post


Link to post
Share on other sites

Guten Tag robur,

Könnten Sie einmal überprüfen ob Ihr Windows auf dem letzten Stand ist?

Doublepulsar ist ein Programm mit dem die Schwachstelle EternalBlue ausgenutzt wird um sich unbemerkt Zugriff auf Ihrem Rechner zu beschaffen. Diese Schwachstelle wurde von Windows Ende letzten Jahres geschlossen.

Das Sie von uns die Nachricht erhalten, deutet darauf hin, dass die Schwachstelle bei Ihnen noch existiert. Nach einem Neustart gilt Ihr Rechner solange als 'sauber' bis ein Programm versucht vom Internet aus diese Schwachstelle auszunutzen. Wir verhindern, dass das erfolgreich ist und geben dabei die Meldung aus, die Sie angehängt haben. Bis zum nächsten Neustart erhalten Sie keine Meldung mehr von uns.

Die einzige Möglichkeit diese Meldung zu beheben ist das Update KB4012598 von Windows einzuspielen, dass die Schwachstelle behebt.

Mit freundlichen Grüßen
Kathrin

Share this post


Link to post
Share on other sites

Hallo,

das stimmt nicht ganz: Die von mir angehängte Meldung kommt nicht von Ihnen, wenn jemand versucht, die angesprochene Schwachstelle zu benutzen, sondern nur dann, wann diese Malware beim Scannen erkannt wird und ich versuche, diese zu löschen bzw. in die Quarantene zu verschieben. Und, wie ich geschrieben habe, wird an diesem Tag die Malware beim jeden Scan wieder erkannt, und am nächsten und mehreren nachfolgenden Tagen erkennt die EAM keine diese Malware mehr, obwohl die weder gelöscht noch verschoben wurde. Zuletzt waren das mindestens zwei Wochen, in denen die EAM diese Malware nicht gesehen hat.

Grüße - robur 

ERGÄNZUNG: 1. Als ich es versucht habe, Update KB4012598  für Windows 8 von Microsoft-Seite nachzuinstallieren, kam die Meldung, das es nicht für meinen Rechner geeignet ist (Winds 8.1 Pro, 32 Bit). Es könnte sein, dass es auch beim regulären Update nicht instelliert werden könnte (siehe Anhang) "KB_Fehler.pdf), warum aber ?

2. Handelt es sich hierher tatsächlich um die "WannaCry" Malware ?

 

 

KB_Fehler.pdf

Share this post


Link to post
Share on other sites

Guten Tag,

 

Ich habe nochmal mit unseren Analysten gesprochen. Die Ausführung des Exploits sollte verhindert werden. Die Meldung erscheint jedoch während unseres Rootkitscans, da dieser testet ob die Schwachstelle ausgenutzt wurde. Wenn die Schwachstelle nicht ausgenutzt wurde, dann erscheint keine Meldung. Wurde die Schwachstelle ausgenutzt, erhalten Sie die Erkennung, die Sie oben erhalten haben. Dabei gilt, dass die Erkennung immer nur bis zum letzten Neustart zurückgeht. Wenn der Exploit vorher verwendet wurde, erkennen wir dies nicht mehr.

Benutzen Sie eine Firewall? Falls nein, wäre dies ein erster Schritt gegen diese Art von Infektion. Der Exploit spricht Ihren Rechner direkt aus dem Internet an.

Können Sie einmal "Update" in die Suche im Startmenü eingeben und dort auf Windows Updates klicken. Damit können Sie nach Updates für Ihren Rechner suchen und diese auch installieren.

 

Im Hinblick auf Wannacry: Ja und Nein. Die Schwachstelle EternalBlue (die hier ausgenutzt werden soll) wurde von der NSA genutzt um Zugriff auf Rechnern zu erlangen. Das dazugehörige Programm Doublepulsar (auch von der NSA), dass die Schwachstelle ausnutzt um diesen Zugriff zu erlangen, wurde Anfang letzten Jahres publik. Danach gab es eine ganze Herde von Malware, die dieses Programm nutzten um sich Zugriff auf den Rechner zu beschaffen. Die bekannteste, wenn auch nicht erste, war dabei WannaCry.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.