Eben.

Das allein zeigt schon, wie mighty diese Glorreichen Triple A sind
ICH hätte das AVG sofort zum Hangartor hinausbefördert, bei so einer einfachen Infektion, wenn es versagt hätte.
NATÜRLICH sperrt OA den Zugriff erst einmal und fragt nach, das ist ja der SINN eines HIPS.
Also halten wir fest: Du hast da ein Tool drauf, das im wirklichen Ernstfall völlig versagt hat und im Gegenzug dafür pro bono schön den Netzwerktraffic auslesen darf und wahrscheinlich auch macht!

Zitat:

Zitat von Avenger77

Eben.

Das allein zeigt schon, wie mighty diese Glorreichen Triple A sind
ICH hätte das AVG sofort zum Hangartor hinausbefördert, bei so einer einfachen Infektion, wenn es versagt hätte.
NATÜRLICH sperrt OA den Zugriff erst einmal und fragt nach, das ist ja der SINN eines HIPS.
Also halten wir fest: Du hast da ein Tool drauf, das im wirklichen Ernstfall völlig versagt hat und im Gegenzug dafür pro bono schön den Netzwerktraffic auslesen darf und wahrscheinlich auch macht!

Avenger77 du Schlaumeierchen, frag mal bei deinen Kollegen markusg nach was es mit den Ransoms auf sich hatte die im Dezember 2011 ein paar Tage vor Weihnachten auftauchten und hier für mächtig Arbeit bei den Helfern hier sorgten dann wirst du schnell feststellen das es damals täglich neue Varianten dieser Ransoms gab und diese von vielen bekannten AV's per Signaturerkennung erst nach ein paar Tagen erkannt wurden und Systeme von Usern mit verschiedenen AV's gesperrt wurden nachdem diese versucht hatten die als video.exe getarnten Ransoms auszuführen.
Kannst aber auch gerne bei Rokop in der Kategorie Trojaner, Viren und Würmer nachschauen, dort die Seiten durchsuchen und dann den Thread den ich meine wenn du dir etwas Mühe gibst finden

Zitat:

Zitat von Darklord666

Comodo ist aber auch eins der aggressivsten AV's. Mit vielen Fehlalarmen und es gab mal einen FW-Test von denen, der Scareware-Charakter hatte.

Comodo ist vor allem nicht leicht zu konfigurieren und wenn aber bei Comodo der Proaktive Modus aktiviert war, erkannte Comodo das Ausführen der Ransom Files als gefährlich und verhinderte das undas Ransom File landete in Quarantäne. Ich selbst hatte damals AVG IS und Zemana AntiLogger installiert und die beiden konnten die Infektion nicht verhindern, Von anderen Usern bei Rokop erfuhr ich dann das auch andere namhafte AV's die Ransom Files nach Tagen erkannten nachdem die in deren Signaturen eingepflegt wurden. War aber auch ein richtiges Katz und Maus Spiel damals weil fast täglich neue Varianten mit einem anderen Hashwert eingespielt wurden und die AV Hersteller quasi mit ihren Signaturen hinterher hechelten.

Zitat:

Zitat von purzelbär

Avenger77 du Schlaumeierchen, frag mal bei deinen Kollegen markusg nach was es mit den Ransoms auf sich hatte die im Dezember 2011 ein paar Tage vor Weihnachten auftauchten und hier für mächtig Arbeit bei den Helfern hier sorgten dann wirst du schnell feststellen das es damals täglich neue Varianten dieser Ransoms gab und diese von vielen bekannten AV's per Signaturerkennung erst nach ein paar Tagen erkannt wurden und Systeme von Usern mit verschiedenen AV's gesperrt wurden nachdem diese versucht hatten die als video.exe getarnten Ransoms auszuführen.
Kannst aber auch gerne bei Rokop in der Kategorie Trojaner, Viren und Würmer nachschauen, dort die Seiten durchsuchen und dann den Thread den ich meine wenn du dir etwas Mühe gibst finden


Comodo ist vor allem nicht leicht zu konfigurieren und wenn aber bei Comodo der Proaktive Modus aktiviert war, erkannte Comodo das Ausführen der Ransom Files als gefährlich und verhinderte das undas Ransom File landete in Quarantäne. Ich selbst hatte damals AVG IS und Zemana AntiLogger installiert und die beiden konnten die Infektion nicht verhindern, Von anderen Usern bei Rokop erfuhr ich dann das auch andere namhafte AV's die Ransom Files nach Tagen erkannten nachdem die in deren Signaturen eingepflegt wurden. War aber auch ein richtiges Katz und Maus Spiel damals weil fast täglich neue Varianten mit einem anderen Hashwert eingespielt wurden und die AV Hersteller quasi mit ihren Signaturen hinterher hechelten.

Wundert mich, dass noch keiner diesen Quark kommentiert hat.
1.ZAL ist gegen Keylogger, nix FBI Sperrtrojaner. Bevor Du noch ZAM testen möchtest, vergiss es, nur eine Kopie von HitmanPro, eine schlechte.
2.Was soll dieser Signaturenquark? Jedes einigermassen gute AVP sollte erkennen, wenn ein Prozess winlogon.exe manipulieren will, über den Behavior Blocker.
3.Das einzig wirklich gute Programm auf deinem PC ist OA, dieses benutzt IAT/EAT Hooks bei allen wichtigen Kernprozessen von Windows. Damit ist es ein Kinderspiel für OA, Änderungen an der Registry zu bemerken.
4.Selbst wenn dich dieser Sperr Trojaner erwischt hat, geht man im abges. Modus zum HKLM system current winlogon.exe und entfernt schädliche exe Einträge und schaut zusätzlich nach explorer.exe.
Nix Image, nix Neuaufsetzen.
Das weiss ich als ganz normaler Anwender, da braucht man kein rokop Forum zu durchwühlen.
Sorry wenn das jetzt hart klang, aber Dein AVG ist scheisse. Punkt.

Zitat:

4.Selbst wenn dich dieser Sperr Trojaner erwischt hat, geht man im abges. Modus zum HKLM system current winlogon.exe und entfernt schädliche exe Einträge und schaut zusätzlich nach explorer.exe.
Nix Image, nix Neuaufsetzen.

Wenn du so schlau bist Avenger, dann weißt du auch das es Ransoms gab die es nicht zuliessen das man Windows im Abgesicherten Modus mit Eingabeaufforderung starten konnte um so dagegegen vorzugehen und die ausserdem Private Daten verschlüsselten. Und ausserdem: bevor die betroffenen User stundenlang versuchten wieder Windows zum starten zu bekommen, wäre in der Zwischenzeit locker ein zeitnahes Systembackup eingespielt gewesen mit der hohen Wahrscheinlichkeit(bei mir)das dieses sauber ist weil das System vorm erstellen des Backups mit Scannern überprüft wurde. Was du über Zemana schreibst da gebe ich dir recht, wurde ich damals auch deswegen belehrt.

Zitat:

Sorry wenn das jetzt hart klang, aber Dein AVG ist scheisse. Punkt.

Nehme ich zum x-ten male von dir zur Kenntnis, akzeptiere auch deine Meinung aber ich hab dazu eine eigene, andere Meinung weil ich es bestimmt öfters und länger als du benuztz habe und damit meine Erfahrungen gemacht habe.

Du begreifst es einfach nicht, erkläre mir doch mal bitte, was an diesem Sperrvirus schwierig zu entdecken ist für ein AVP. Oder erkläre mir bitte, dass das ein schwieriges Malware Teil ist. Ich wette mit Dir, schrauber schreibt Dir in 30 Minuten so ein Teil um winlogon zu infizieren.
AVG hat da versagt, ich kann Dir aus dem Stand ein Tool nennen, das da nicht versagen würde, ist sogar gratis, musst Dir nur Dein eigenes Skript schreiben dafür. Das Tool ist keine Bloatware wie AVG sondern gerade mal 3 Mb gross.

Ich glaube, das könnt ihr euch schenken.

Purzelbär hat halt seine eigenen "Erfahrungen" mit AVG, und die sind nun mal positiv. Schließlich ist der PC noch nicht explodiert.

Zitat:

Zitat von Avenger77

Jedes einigermassen gute AVP sollte erkennen, wenn ein Prozess winlogon.exe manipulieren will, über den Behavior Blocker.

Ah.
Definieren Sie die zu überwachende(n) Schnittstelle(n).

Zitat:

Zitat von Avenger77

3.Das einzig wirklich gute Programm auf deinem PC ist OA, dieses benutzt IAT/EAT Hooks bei allen wichtigen Kernprozessen von Windows. Damit ist es ein Kinderspiel für OA, Änderungen an der Registry zu bemerken.

Usermode-Hooks aus dem 20-sten Jahrhundert sind meiner bescheidenen Meinung nach nicht mehr adäquat,
um Jahr-2015-Malware zu beeindrucken.


Brotip:
1.) ObRegisterCallbacks()
2.) requestedHandle &= ~PROCESS_VM_OPERATION;
3.) ?????????????????????????????????
4.) $$$$$$PROFIT$$$$$$

Ohhh..verständlicherweise muss man dafür Treiber schreiben! Hilfe, Mami, ich hab aber Angst vor Ring 0!

Grüsse - Microwave

P.S. Versenkt den Fred doch gescheiter mal in der Tonne.. Tut ja weh teilweise...