Kann das Malware sein ?

[robur]

Hallo, Experten!

Ich habe Samsung-Notebook mit WIN 7 x 64, die Vorinstalliert waren.

Die EmsiSoftAntiMalware hat diese Datei als Malware erkannt:

C:\Program Files (x86)\Samsung\Samsung Recovery Solution4\WCScheduler.exe

Kann das wirklich Malware sein ?

Für Ihre Antwort wäre ich sehr dankbar - Grüße - robur

[robur]

Sorry, hier ist noch das vollständige Protokoll von AntiMalware:

Emsisoft Anti-Malware - Version 6.0

IDS log

Datum PID Ursprung Vorgang Verhalten/Infektion

10/31/2011 9:45:25 AM 3184 C:\Program Files (x86)\Samsung\Samsung Recovery Solution 4\WCScheduler.exe Von Benutzer erlaubt Behavior.DirectDiskAccess

Grüße-robur

[robur]

Hallo,

anbei noch alles, was AntiMalware beim Versuch mit Vollversion geblockt hat :

Emsisoft Anti-Malware - Version 6.0

IDS log

Datum PID Ursprung Vorgang Verhalten/Infektion

10/31/2011 10:31:23 AM 3684 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:31:22 AM 3684 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:26:55 AM 3684 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IMAGESRV.ADITION.COM

10/31/2011 10:17:18 AM 3392 C:\Program Files

(x86)\Samsung\Samsung Recovery Solution 4\WCScheduler.exe

Von Benutzer erlaubt Behavior.DirectDiskAccess

10/31/2011 9:45:25 AM 3184 C:\Program Files

(x86)\Samsung\Samsung Recovery Solution 4\WCScheduler.exe

Von Benutzer erlaubt Behavior.DirectDiskAccess

Wäre das alles Malware ?

Ich benutze im Momente Vollversion von AVIRA-SecuritySuit. AVIRA hat hierher gar nichts bemengelt. Ich möchte gerne EmsiSoft Vollversion dazu kaufen bzw. AVIRA ersetzen.

Grüße-robur

[markusg]

nein, ist keine.

die meldung stammt vom recovery tool deines gerätes, vllt hast du grad ne sicherung erstellt?dann sind noch einige kookie meldungen dabei.du solltest aber nicht vergessen, emsisoft hatt avira gegenüber einen vorteil, die verhaltensanalyse funktioniert hier wie du siehst.bei avira ist die im moment noch nicht besonders gut.die signaturen von emsi können auf jeden fall mit halten, sowie auch der surf schutz.denke aber emsi hatt die nase vorn, durch die verhaltensanalyse.man sollte aber nicht vergessen, ein antimalware programm nützt nichts, wenn nicht das gesammte system gut gesichert ist, gebe dir da gern weitere anleitungen.

[robur]

Danke für die Antwort. Aber, wenn weder MEDIAPLEX.COM noch IMAGESRV.ADITION.COM eine Malware sind, wie kann ich verhindern, dass sie geblockt werden ?

Ich wäre natürlich für weitere Anleitungen sehr dankbar.

Grüße-robur

[markusg]

na die beiden sind werbehosts, also in sofern schon unerwünscht.

nur noch mal um sicher zu gehen, du nutzt windows 7?

wenn du emsisoft nutzen willst, solltest du avira deinstalieren, 2 antimalware programme können probleme verursachen.

[robur]

Danke, ich nutze Windows 7 Home Premium 64 Bit.

Auf die Werbehostst kann ich verzichten, aber gerade ist was neues passiert : Der Zugang zur ADAC Startseite wurde von EmsiSoft blockiert. AVIRA hatte damit nichts zu tun, die habe ich vorläufig deaktiviert.

Hier ist das Protokoll von EmsiSoft:

>>

Datum PID Ursprung Vorgang Verhalten/Infektion

10/31/2011 5:51:23 PM 2908 C:\Program Files (x86)\Mozilla Firefox\firefox.exe Von Regel blockiert WEBMASTERPLAN.COM

>>

Ich könnte die ADAC Startseite erst erreichen, nachdem ich EmsiSoft deaktiviert habe. Ich möchte bei ADAC meine persönlichen Daten ändern, also wäre dabei ein Wächter wünschenswert, er dürfte jedoch nicht den Zugang blockieren. Was soll ich in diesem Fall tun ?

Grüße-robur

[markusg]

hi, die host regeln von emsi sind etwas "strenger" das ist ja n aviliate netz deswegen evtl. geblockt.

gehe mal auf emsisoft, wächter

hostregeln bearbeiten

dann regel hinzufügen

WEBMASTERPLAN.COM

auf erlauben stellen

ok klicken. dann mal erneut probieren seite aufzurufen.

evtl. musst du mal über rechtsklick tray symbol, wächter status, surf schutz deaktivieren und dann noch mal reaktivieren bevors klappt

[robur]

Hallo,

es scheint, dass EmsiSoft auch alles mögliches beim lesen von E-Mails bei GMX blockiert. Wären dass alles Werbehosts, die GMX zuläßt ?

Das wäre nicht schlimm, wenn diese blockiert weden.

Aber Zugang zu solchen Seiten, wie ADAC sollte vorhanden bleiben.

Anbei derzeitiges Protokoll:

>>

Emsisoft Anti-Malware - Version 6.0

IDS log

Datum PID Ursprung Vorgang Verhalten/Infektion

10/31/2011 6:50:08 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

BS.SERVING-SYS.COM

10/31/2011 6:50:00 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

BS.SERVING-SYS.COM

10/31/2011 6:49:00 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

BS.SERVING-SYS.COM

10/31/2011 6:48:38 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IB.ADNXS.COM

10/31/2011 6:48:29 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IB.ADNXS.COM

10/31/2011 6:48:29 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IB.ADNXS.COM

10/31/2011 6:48:21 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IB.ADNXS.COM

10/31/2011 6:48:11 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IB.ADNXS.COM

10/31/2011 6:47:01 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IB.ADNXS.COM

10/31/2011 6:46:14 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IB.ADNXS.COM

10/31/2011 5:51:23 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

WEBMASTERPLAN.COM

10/31/2011 5:50:34 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

WEBMASTERPLAN.COM

10/31/2011 5:50:32 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

WEBMASTERPLAN.COM

10/31/2011 5:50:25 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

WEBMASTERPLAN.COM

10/31/2011 5:50:04 PM 2908 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

WEBMASTERPLAN.COM

10/31/2011 10:59:39 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:59:39 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:58:57 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:58:46 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:58:39 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:58:35 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:55:50 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IMAGESRV.ADITION.COM

10/31/2011 10:55:50 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IMAGESRV.ADITION.COM

10/31/2011 10:55:48 AM 4996 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IMAGESRV.ADITION.COM

10/31/2011 10:31:23 AM 3684 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:31:22 AM 3684 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

MEDIAPLEX.COM

10/31/2011 10:26:55 AM 3684 C:\Program Files

(x86)\Mozilla Firefox\firefox.exe Von Regel blockiert

IMAGESRV.ADITION.COM

10/31/2011 10:17:18 AM 3392 C:\Program Files

(x86)\Samsung\Samsung Recovery Solution 4\WCScheduler.exe

Von Benutzer erlaubt Behavior.DirectDiskAccess

10/31/2011 9:45:25 AM 3184 C:\Program Files

(x86)\Samsung\Samsung Recovery Solution 4\WCScheduler.exe

Von Benutzer erlaubt Behavior.DirectDiskAccess

>>

Grüße-robur

[markusg]

jo sieht so aus.

hatt das mit der freigabe so geklappt wie ichs gesagt hab?

[robur]

Ja, danke und Grüße-robur

[markusg]

wenn noch was ist, melden!

http://www.trojaner-board.de/96344-anleitung-massnahmen-zur-absicherung-des-rechners.html

Starte bitte mit der Passage, Windows Vista und Windows 7

Bitte beginne damit, Windows Updates zu instalieren.

Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.

Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:

- Updates automatisch Instalieren,

- Täglich

- Uhrzeit wählen

- Bitte den gesammten rest anhaken, außer:

- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.

Klicke jetzt die Schaltfläche "OK"

Klicke jetzt "nach Updates suchen".

Bitte instaliere uzunächst wichtige Updates.

Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.

Mache das selbe bitte mit den optionalen Updates.

Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.

außerdem aus xp den abschnitt "dep datenausführungsverhinderung" lesen

ich denke mal du nutzt firefox, dann folgendes:

als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden

soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen

aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.

https://addons.mozilla.org/de/firefox/addon/722/

adblock+ um werbung zu blockieren:

https://addons.mozilla.org/de/firefox/addon/1865/

hier gibt es noch filterlisten:

http://adblockplus.org/de/subscriptions

hier würde ich 2 oder 3 deutsche filter auswählen.

unter sonstiges die malware blocklist.

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.

Download:

http://www.chip.de/downloads/Sandboxie_21760394.html

anleitung:

http://subsetlines.wordpress.com/anleitungen/sandboxie/sandbox-einstellungen/

(als pdf)

hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.

den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe

beschrenken, hier kannst du auch noscript und andere plugins eintragen.

geht auch unter

c:\windows\sandboxie.ini

unter dem eintrag defauld box

OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js

OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html

OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js

OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini

bei

Internetzugriff:

firefox.exe und

plugin-container.exe

eintragen

öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.

dort auf anwendung, webbrowser, firefox.

direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.

1. es gibt dann noch ein paar mehr funktionen.

3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

ab sofort also nur noch in der sandbox surfen bitte.

klicke dazu auf das symbol "sandboxed web browser"

arbeite jetzt alles unter dem punkt allgemeines ab, also secunia, filehippo, panda vaccine.

surfe danach nur noch im eingeschrenktem konto und dort in sandboxie.