[Windows XP-32 bit] Trojaner trotz "Sandboxie"

[Tirian]

Hallo,

seit einem ziemlich unangenehmeren Schädlingsbefall vor einiger Zeit befolge ich viele der hier empfohlenen Tipps für sicheres Surfen.

In etwa wöchentlichen Abständen führe ich Scans mit "AVG", "Super AntiSpyware", "ThreatFire" und "Malwarebites' Anti-Malware" durch. Letzteres fand zwei, "Super AntiSpyware" einen Trojaner.

Wie kann das sein, obwohl ich zum Surfen die "Sandboxie" nutze, was ja wohl verhindern soll, dass Schädlinge auf der Festplatte landen können?

In diesem Fall war es glücklicherweise so, dass ich (zumindest von mir bemerkt) keine Funktionsbeeinträchtigungen des PC's - XP Pro/SP3 -feststellen konnte.

[Faboloco]

Kauf dir einmal ComputerBild. Da ist Kaspersky 2010 drauf und zwar die vollversion. Kaspersky hat sogar schon einmal einen DDos angriff auf das Netwerk abgewehrt.

[AHT]

Wo waren denn die Viren genau???

[Tirian]

Zitat:

Zitat von AHT

Wo waren denn die Viren genau???

Der von "Super Anti-Spyware" gefundene: C:\SystemVolumeInformation\_Restore(....).exe

Die von "Malwarebytes Anti-Malware" gefundene: C:\Programme\7-zip\uninstall.exe, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window...

[Der Leo]

Hi,

am besten wäre es wenn du den Vollständigen Pfad sowie die Schädlingsmeldung hier postest.

Leerst du die Sandbox regelmäßig?

[Tirian]

Zitat:

Zitat von Der Leo

am besten wäre es wenn du den Vollständigen Pfad sowie die Schädlingsmeldung hier postest.

Über meine o. a. Daten hinaus habe ich keine weitergehenden Angaben.

Zitat:

Zitat von Der Leo

Leerst du die Sandbox regelmäßig?

Gewissenhaft nach jeder "Sitzung" .

[Der Leo]

Das ist nicht so gut hast du die Programme noch drauf? Bei SuperAntispyware und Malwarebytes werden die Log´s gespeichert.

Der Fund von Superantispyware sieht nach einem überbleibsel aus. Evt. aus einer vorherigen Bereinigung.

Woher stammt 7-Zip? Zu dem zweiten Fund kann ich nicht wirklich etwas sagen... leider zu wenige angaben.

Dein Sicherheitskonzept sieht soweit ganz gut aus. Welche ratschläge befolgst du den sonst noch?
Aber bei den Anti Viren Produkten müssten wir was machen

[Tirian]

Zitat:

Zitat von Der Leo

Das ist nicht so gut hast du die Programme noch drauf? Bei SuperAntispyware und Malwarebytes werden die Log´s gespeichert.

Nein, leider nicht mehr. Wenn das (hoffentlich nicht so bald) wieder passiert, werde ich die Log's sicherstellen.

Ist es nicht unabhängig von der Art der Schädlinge erklärlich, warum sie sich trotz "Sandboxie" überhaupt einnisten konnten? So wie ich die Wirkungsweise verstanden habe, kann es eigentlich nicht passieren. Sonst wäre ja die Effektivität dieses Hilfsmittels sehr in Frage gestellt.

Zitat:

Zitat von Der Leo

Aber bei den Anti Viren Produkten müssten wir was machen

Das Thema ist für mich sowas wie eine "never-ending-Story". So viele unterschiedliche Meinungen und Beurteilungen zu der Wirksamkeit von Antiviren-Software habe ich selten erlebt.

Ich beschränke mich mal auf die letzten drei Jahre: Nach Anfangsschwierigkeiten bei der Installation habe ich für ein Jahr das Kaspersky-Komplettpaket ein Jahr gratis genutzt. Das lief dann auch ordentlich, danach war es mir für ca. 40 Euro aber viel zu teuer, zumal es ja Freeware gibt.

Wie z. B. Antivir, was ich danach genutzt habe. Davon bin ich aber kuriert, nachdem ich das Ding deinstallieren wollte.

Bin jetzt also seit ca. einem Jahr bei AVG gelandet, was problemlos läuft.

Zur Wirksamkeit und Effektivität der Programme: Alle Leute, mit denen ich jemals über dieses Thema gesprochen habe und die mehr davon verstehen als ich (was aber auch nicht so schwer ist) sind sich in keiner Weise einig. Auch die immer wieder auftauchenden Tests in verschiedenen Fachzeitschriften helfen nullkommanix, da sie sich gegenseitig widersprechen.

Ein Programm, was die eine als Testsieger kürt, landet bei einer anderen nicht im besten Drittel. Also so ist eine Orientierung nicht möglich, was auch damit zusammenhängen kann, dass die Programme ja ständig weiterentwickelt werden und es so vorkommen kann, dass eine Software, die schlecht oder durchschnittlich beurteilt wurde, nach Optimierung ganz oben steht. Unabhängig davon ob Bezahl-Software oder Gratis-Programm. Für uns Nutzer also kaum möglich, eine Entscheidung zu treffen. Und wer will schon alle paar Monate sein Antivierenprogramm ändern?

Bei AVG bin ich nach dem tiefsitzenden Deinstallationsfrust mit Antivir durch einen Bekannten gelandet, der mir dazu geraten hat. Er ist beruflich IT-Firmenbetreuer und ich kann davon ausgehen, dass er sein Geschäft zumindest einigermaßen versteht.

Wahrscheinlich gibt es zu diesem Thema keinen "Königsweg". Ich bin aber nach wie vor offen für weitere Meinungen. Es bleibt schwierig .

[Corone]

Gedanke:

Bei Sandboxie gibts ja die sogenannte "Wiederherstellung".
Darüber kann natürlich immer ein Schädling eindringen, wenn man über diese Funktion die jeweiligen Daten ins System lässt.
Nur als Denkanstoß, ohne zu wissen ob Tirian diese Funktion genutzt hat.

Gruß
Corone

[Tirian]

Zitat:

Zitat von Corone

Nur als Denkanstoß, ohne zu wissen ob Tirian diese Funktion genutzt hat.

Nein, sagt mir nichts.

Was ist das für eine Funktion und wozu dient sie?

[Corone]

Hallo,

Der Begriff für die Funktion "Wiederherstellung" ist etwas irreführend.
Gemeint ist damit die Übertragungsmöglichkeiten von in der Sandbox heruntergeladenen
Dateien ins reale System. Also z.B.vom Ordner [#]Downloads[#] der Sandbox in den "richtigen"
Ordner Downloads. Hier ein paar Bilder, wo die Einstellungen zur "Wiederherstellung"
zu finden sind und wie sie aussehen.



Wenn man dann wie hier im Beispiel 7zip, etwas herunterlädt, wird man im Falle, die
Wiederherstellung ist aktiviert mit folgender Meldung gefragt, wohin die Datei soll.
Wenn man Wiederherstellen hier anklickt, verlässt diese Datei die Sandbox.



Viele Grüße

Corone

[Der Leo]

Hallo,

du brauchst nur AVG und Malwarebeytes. Super AntiSpyware und ThreatFire kannst du gerne deinstallieren. Gerade da du breits weitere Schutzmodule (sandbox) verwendest und nicht das ganze Internet leer saugst.

Zitat:

"Super Anti-Spyware" gefundene: C:\SystemVolumeInformation\_Restore(....).exe

Wie schon gesagt sieht es so aus als hätte Super Antispyware überbleisel gefunden die bereits gelöscht sind (möglicherweiße der Fund von Malwarebytes). Also nicht Schädlich für dein System.

Zitat:

C:\Programme\7-zip\uninstall.exe

Wenn das Programm aus einer Vertraunswürdigen Quelle kommt handelt es sich wohl um eine Fehlermeldung.

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window...

Das war mal wohl was in der Registry aktiv... Ohne vollständigen Pfad und Virsmeldung schwer einzuschätzen.

Führst du regelmäßig Windows Updates durch?
Hälst du deine Programme stets aktuell?
Den durch Sicherheitslücken in Windows und Programmen gelangen die Schädlinge meistens auf System da sie diese gerne ausnutzen. Da hilft auch KEIN Antiviren Programm und auch nicht 4 .
Ein wichter Punkt für die Sicherheit ist die aktualität des BS und der Programme

[Tirian]

Zitat:

Zitat von Corone

Wenn man dann wie hier im Beispiel 7zip, etwas herunterlädt, wird man im Falle, die Wiederherstellung ist aktiviert mit folgender Meldung gefragt, wohin die Datei soll. Wenn man Wiederherstellen hier anklickt, verlässt diese Datei die Sandbox. [

Vielen Dank.

Diese Einstellung ist auch bei mir aktiviert, ich kann mich aber an keine Abfrage dieser Art (wohin gespeichert werden soll) erinnern. Mir fällt auch z. Zt. kein Fall ein, wo ich aus der Sandboxie etwas in das "richtige" System übertragen sollte/wollte.

Wäre es aus Sicherheitsgründen dann sinnvoll, diese Funktion zu deaktivieren? Sollte man doch einmal etwas übertragen wollen, könnte man die Funktion ja wieder aktivieren.

[Tirian]

Zitat:

Zitat von Der Leo

du brauchst nur AVG und Malwarebeytes. Super AntiSpyware und ThreatFire kannst du gerne deinstallieren.

Ich hatte es so verstanden, dass Du nicht so sehr viel von AVG hältst. Wie gesagt, ich habe darin keine Aktien und bin besseren Alternativen gegenüber immer aufgeschlossen. Der "Antivir-Stachel" sitzt aber immer noch tief. Aber auch hier würde ich umdenken, wenn das Programm deutlich besser als andere wäre.

Super AntiSpyware und Threatfire schaden aber auch nicht, oder? Gott sei Dank habe ich in letzter Zeit generell wenig Funde bei meinen in ca. wöchentlichen Abständen durchgeführten Scans, aber es scheint mir hin und wieder vorzukommen, dass das eine Programm etwas findet, was das andere nicht findet.

Zitat:

Zitat von Der Leo

Führst du regelmäßig Windows Updates durch? Hälst du deine Programme stets aktuell?

Ja, da bin ich sehr gewissenhaft und installiere Updates sofort oder kurz nachdem sie angeboten werden.

Antivirenprogramm habe ich doch m. W. nur eins (AVG). Mehrere soll man ja auch nicht parallel nutzen, da sie sich untereinander stören können. Bei Antispyware ist mein Wissensstand, dass sie sich nicht ins Gehege kommen und - wie oben gesagt - das eine etwas finden könnte, was das andere eben nicht findet.

Kann aber durchaus sein, dass ich nach dem letzten Schädlingsbefall (wo mir durch die intensive Hilfe hier das Neuaufsetzen des Systems gerade nochmal erspart blieb) eine Art "Sicherheits-Wahn" entwickelt habe.

Nochmal zum Ausgangspunkt: Verstehe ich es richtig, dass es unter den von mir geschilderten Gegebenheiten nicht so ganz erklärlich ist, warum die Schädlinge auf der Festplatte gelandet sind?

[Der Leo]

Mangels fehlender Log´s schon
Viren verbreiten sich auch durch E-Mail Anhäge und USB Sticks...
Aber die regelmäßigen Funde bei dir wundern mich, trotz aktuellem BS und Programmen.

Schau mal hier:
NOD32 Virenschutz gratis
An deiner Stelle würde ich mir die Zeitschrift holen und Eser Anti Virus installieren. Ich selber nutze Eset und empfehle es gerne weiter Eset ist sehr schlank und bitet einen guten rundum Schutz.
Dann solltest du nurnoch Malwarebytes darauf lassen.

Bei fragen bezüglich Eset kannst du gerne mich fragen.