Hallo,

Ich habe mich nach meiner neusten Vireninfektion mit einigen Schutzprogrammen befasst (zusätzlich zu AV und Firewall) und bin auf Keyscrambler gestoßen.

Hat irgendwer Erfahrungen damit bzw. könnte sagen ob dies effektiv gegen Keylogger schützt/schützen könnte?

grüße Thomas

Was für ein betriebsssystem nutzt du denn, was hast du bisher an Maßnamen getroffen? wird onlinebanking betrieben? eingesetzter Browser?

Hey markus

Ich verwende win7, habe als AV Avast und als Firewall die Windows Firewall in Verwendung. Onlinebanking wird zurzeit nicht betrieben jedoch ist es geplant. Standardbrowser: Google Chrome

grüße tomtom

@tomtom

KeyScrambler hört sich gut an aber wenn selbst ein Bypass für Trusteer gelegt wird, ist das 30/40€ Tool nichts mehr wert. Ich kann dir davon nur abraten.

Avast wird auch schnell gelöscht oder ein Bypass gelegt. Windows Firewall taugt eh nichts.

Wichtig wird für dich:
#Backup (schadet nie ^^)
#Limitierten Benutzter (also eingeschränkte Rechte).
#Avast würde ich gegen Kaspersky tauschen.
#Firewall Internet Security Suite von COMODO (kostenlos)
#MalwareBytes Antimalware aber nur wegen der Blacklist Funktion von infizierten Seiten. Schutz bietet das praktisch garnicht.

Greetz Annek

Zitat:

Zitat von Annex

Avast wird auch schnell gelöscht oder ein Bypass gelegt. Windows Firewall taugt eh nichts.

Bitte mal näher begründen.

Zitat:

Zitat von Annex

#Avast würde ich gegen Kaspersky tauschen.

Begründung?

Zitat:

Zitat von Annex

#Firewall Internet Security Suite von COMODO (kostenlos)

Wozu eine überflüssige Suite? Begründung??

Zitat:

Zitat von Annex

#MalwareBytes Antimalware aber nur wegen der Blacklist Funktion von infizierten Seiten. Schutz bietet das praktisch garnicht.

Sry und schon wieder eine Behauptung ohne mal genauer zu erläutern warum und weshalb

Wenn man nach den neuesten Loadern etc schaut und der Autor die Liste angibt an welcher Software vorbei kommt, dann ist Avast,Avira,Eset immer dabei. Es sind immer nur wenige Suiten die den VX-Codern (kurzweilig) Probleme bereiten.

Meist reicht schon nen (sinnloser) Primezahlgenerator für 60 Sekunden und man kommt an zich Antilösungen vorbei (Datei kann nicht endlos in der Sandbox laufen da es sonst das Arbeiten am PC zu sehr behindert).

Kasperksy hat relativ wenige False/Positiv-Meldungen (eigene Erfahrung durch Virustotal). Dumme Patches/Cracks/Packer werden nicht so schnell als Malware erkannt, außerdem hat Kaspersky weltweit die besten Analytiker. Stuxnet, Flame etc. wurde von Kaspersky entdeckt. Ok Symantec hat hier auch bei Stuxnet nen gutes Whitepaper geliefert.
Sandbox ist mal solala von Kaspersky aber immernoch besser als die meiste Konkurenz. Self-Defense geht auch solala.

Comodo hat keine so hohe Erkennungsrate wie Bitdefender oder Kaspersky. Jedoch ist der Systemschutz hardcore. Bei den Trojanern/Loadern etc. ist bei der angegebenen Liste COMODO selten auf der Bypass-Liste. Man kommt nur per Shellcode daran vorbei wenn Defense+ aktiviert und eingerichtet wurden ist. Und den Shellcode dafür zu schreiben da muss man mal richtig Coden können. Wenn man an Outpost (geht noch) oder an COMODO (hardcore) vorbei kommt kannste gleich 100/200€ mehr für dein Produkt verlangen.

Nun zu MBAM: Es ist ein Antimalware-Schutz das heißt gegen unerwünschte Software (Adware). Es ist keine Anti-Viren bzw. Anti-Trojaner Lösung. Wenn man mal die Signaturen vergleicht dann kommen nur ein paar wenige dazu. Da aber die Blacklist auf MDL (Malware Domain List) basiert, ist es nicht schlecht gegen neue infizierte Seiten die einem sonstwas unterjubeln wollen. Antiviren-Lösungen sind bei Millionen von Signaturen...

MBAM hat keine heuristik, jeder 0815-Crypter kommt daran vorbei. Außerdem kann man einfach so den Prozess killen. Hat keine Persistance-Funktion. Gegen PUPs/Adware reicht es, mehr aber nicht. Bei mir hats nichtmal geschafft ein PUP richtig zu löschen (wurde erkannt aber konnte es nicht entfernen). Erst Rkill und adwcleaner haben dann hinbekommen.

Greetz Annex

Zitat:

Wenn man nach den neuesten Loadern etc schaut

Was für Loader meinst du da bitte?

Zitat:

Dumme Patches/Cracks/Packer werden nicht so schnell als Malware erkannt

Sry aber wer illegales Zeug nutzt, dem ist eh nicht mehr zu helfen.

Zitat:

Jedoch ist der Systemschutz hardcore.
Man kommt nur per Shellcode daran vorbei

Bitte was?
Was meinst du genau mit Shellcode und warum genau soll das die einzige Möglichkeit sein?

Zitat:

Nun zu MBAM: Es ist ein Antimalware-Schutz das heißt gegen unerwünschte Software (Adware).

Sry das ist definitiv falsch.
MBAM erkennt allgemein Malware und nicht nur Adware. Sofern man Adware überhaupt als "bösartig" einstufen will, denn es ist ja nur (nervige) Werbung.
Mal davon abgesehen, dass MBAM kein Virenscanner ist wie zB KAV oder Avast

Zitat:

Gegen PUPs/Adware reicht es, mehr aber nicht. Bei mir hats nichtmal geschafft ein PUP richtig zu löschen (wurde erkannt aber konnte es nicht entfernen). Erst Rkill und adwcleaner haben dann hinbekommen.

Sry das ist Blödsinn, MBAM und MBAR können definitiv mehr als das was du da behauptest. Und diese anderen tollen Virenscanner haben auch keine reelle Chance nervige NationZoom und andere Hijacker zu entfernen, in sofern ist es schon ziemlich fragwürdig das Malwarebytes als Kritikpunkt anzurechnen...

ich hab jetzt keinen Bock Zeile für Zeile zu kopieren und zu zitieren, also gibts nen allgemeinen Rundumschlag:

@Annex
für nen Laien tönt dein Geschreibsel ja echt geil, aber da ich keiner bin, bekomm ich da leider nit mal nen Juckreiz von.
Wenn Du (von den verwendeten Fachbegriffen ausgehend) auch nur ansatzweise so viel Plan hast, erklär mir mal kurz eines:

Du empfiehlst als AV Kaspersky, das mitunter schlechteste auf dem Markt, dann empfiehlst du als FW die Internet Security Suite von Comodo (unfassbar, die is noch schlechter). Internet Suite.....Internet Suite.....Internet Suite....da war doch was.....ahja:

was mach ich denn mit de AV Programm von Comodo, welches in der Suite mit drin is? Lass ich dann einfach beide AV laufen? Doppelt gemoppelt klebt besser oder wie?

Der Punkt ist schon mal Schwachsinn.

Wenn man anhand von Erkenung, Blocken und Fehlalarmen udn aufgrund unabhängiger Tests ein AV empfehlen soll, kann man eigentlich nur eines nennen...


Und MBAM hat kene heuristische Erkennung?
klar wenn Du die Freeware Version nutzt nicht, die gibts nur gegen Kohle. BEzahlst Du diese haste einen der geilsten Scanner am Markt.

@schrauber
Mir geht nicht darum irgendwen zu beeindrucken, genauso wenig irgendwen zu blenden.

Ich finde es ein zweischneidiges Schwert , was in den unabhängigen Tests steht oder aber sonst vor sich geht. Ich beziehe mein Wissen aus Security-Blogs, aber auch den Foren, aus erster Hand.

Den Grund für KIS/KAV hab ich geliefert. Ebenso für COMODO kein anderes Produkt hat mir solche detaillierte Meldungen ausgespuckt wie COMODO (kann man auch ausschalten nebenbei ...).

Bei mir geht der Zähler was Netzwerkangriffe angeht bei COMODO nach oben (im Gegensatz zu anderen Produkten), also hat es sein Dienst erfüllt.

Hmm ich kann dir bei 2 AV-Engines die laufen nicht folgen, die laufen super nebeneinander her und beißen sich nicht. Selbst GDATA hat 2 Engines am Laufen ...

Wenn es dich natürlich stört kann man auch nur KAV und COMODO als FW laufen lassen.

Ich hab MBAM als Vollversion. Wenn keine Heuristik bei mir gegriffen hat, dann hat das Produkt keine für mich. Suche dir mal so ätzende Dinge wie ein gecryptetes Parite.B Virus. Da haben bei mir die ganzen Anti-Spyware Programme versagt und ich hab einen erheblichen Datenverlust erlitten. Deswegen hab ich auch 2 Produkte am Laufen. Wenn die sich nicht beißen was spricht dann dagegen ?

@cosinus
Nicht gerade wenig Software ist gepackt, VMProtect und schon springen die AV's an, gleiche bei RLpack.

Illegales ... ja da geb ich dir recht.

Es gibt nur eine Möglichkeit was Shellcode ist. Gibt da keine doppelte Bedeutung was das ist. Da hab ich mich unglücklich ausgedrückt, es gibt immer weitere Möglichkeiten wie man wo vorbei kommt. Mir ist bei COMODO nur dieser Weg bekannt.

Gut das was zu MBAM geschrieben hast kann ich so stehen lassen. Ist für mich nur wegen der Blacklist brauchbar. Hat leider bei anderen Dingen einfach versagt ... somit einfach kein Allheilmittel. Deswegen auch mehrere Produkte (mit Suiten) !

So zu der dem Loader/Bot whatever: Auszug aus Betabot 1.6 (Preis:500$)

Anti Virus Disabler
Using multiple methods removal methods, Betabot is able to remove or disable over 30 different Anti Viruses from user mode. On Vista and 7, elevation is required for this function to work properly. To help achieve maximum efficiency, the bot has incorporated a custom ‘social engineering’ tactic (written in 12 languages) to trick the user into elevating the bot. This method has proven to be roughly 80% effective when attempting to elevate privileges.
A complete list of AV’s killed:
Ahnlab v3 Lite (XP only)
ArcaVir
Avast!
AVG
Avira
BitDefender (On minimal config)
BKAV
BullGuard
Emsisoft Anti-Malware
ESET NOD32 / Smart Security
F-PROT
F-Secure IS
GData IS
Ikarus AV
K7 AntiVirus
Kaspersky AV/IS (Older versions only)
Lavasoft Adaware AV
MalwareBytes Anti-Malware
McAfee
Microsoft Security Essentials
Norman AntiVirus
Norton AntiVirus (Vista+ only)
Outpost Firewall Pro
Panda AV/IS
Panda Cloud AV (Free version)
PC Tools AntiVirus
Rising AV/IS
Sophos Endpoint AntiVirus
Total Defense
Trend Micro
Vipre
Webroot SecureAnywhere AV
Windows Defender
ZoneAlarm IS

Process injection
Unique injection techniques are implemented to bypass a large variety of antivirus solutions.

A complete list of AVs and IS solutions bypassed:
ArcaVir IS - Bypass
Avast - Bypass
Avast Internet Security - Sandbox approval window shows but no suspicious behaviour detected
AVG Internet Security - Bypass
Avira - Bypass
Avira Internet Security - Bypass
BitDefender - Bypass (Depends on settings)
Dr. Web - Bypass
ESET AV/ESET Smart Security - Bypass
F-Secure - Bypass
GData
K7 AntiVirus - Bypass
Kaspersky Anti-Virus - Bypass (Depends on settings)
Kaspersky Internet Security - Bypass (Depends on settings)
McAfee Total Protection - Bypass
Norman IS
Norton Internet Security - Bypass
Panda Internet Security 2013 - Bypass
PandaCloud - Bypass
PC Tools AntiVirus - Bypass
Rising IS - Bypass
Total Defense - Bypass
Trend Micro - Bypass
Vipre - Bypass
ZoneAlarm - Bypass

An jedem Produkt an dem der Bot vorbei kommt wäre logischerweise ein weiteres Kaufargument. COMODO steht aber nicht drauf ...

Greetz Annex

Hehe, Spezialisten unter sich.....

@ Annex: Ist dir eigentlich klar, womit sich deine Diskussionspartner hier dauernd beschäftigen???!

Wenn jemand die Erkennungsraten und/oder Sicherheit dieser Dinger beurteilen kann, dann DU ganz sicher nicht

Und die "Erste Hand", wo du dein Wissen wirklich beziehen solltest, liegt eigentlich nicht weit von hier

Code: Alles auswählenAufklappen

ATTFilter

 - exakter: Genau hier!
         

@Alois S
Ja ist nicht zu übersehen.

Warum ich nicht ? Weist du was ich weis ? Wo ich meine Infos herhab ?

Das hier ist keine "Erste Hand" dafür müssten die TB-Leute Bots selber schreiben und verkaufen ... das wäre übel.

Zitat:

Zitat von Annex

@Alois S
Ja ist nicht zu übersehen.

Warum ich nicht ? Weist du was ich weis ? Wo ich meine Infos herhab ?

Das hier ist keine "Erste Hand" dafür müssten die TB-Leute Bots selber schreiben und verkaufen ... das wäre übel.

Entschuldige bitte, aber irgendwie kommt mir das in etwa so vor, als würdest du einem Mechaniker erklären wollen, was das bessere Werkzeug ist, anhand von Testberichten, Blogs und Foren

Hahah Blogs/Websiten von Security-Experten wie Symantec, McAfee, Kaspersky, Sicherheits-Firmen,Trend-Micro haben keine Ahnung. Schreib denen bitte mal eine Mail damit die das auch wissen.

Erste Hand sind die Coder selber. Also die Entwickler, um das nochmal deutlich zu machen

Greetz Annex

ich glaube, du hast meinen vorigen Post nicht ganz verstanden.....

@ Annex: Deine Posts lesen sich ja ganz interessant aber es klingt etwas nach Pseudowissen.
Warum soll ein hoher Eintrag bei geblockten Netzwerkangriffen ein Indiz für ein funktionierendes Sicherheitsprogramm sein ??? Es ist eher ein Indiz dafür, das der Rechner ein Ziel für Angriffe ist, was auf Sicherheitslücken (z.B. fehlende Patches, veraltete Plugins) hindeutet.