Hi,

als ich vor 10 - 15 Jahren in Zeiten von DOS und Win 3.11 mich mit Virenerkennung beschäftigt hatte, habe ich stets im Hinterkopf gehabt, dass ein infizierter Rechner trotz Hilfe eines Antivirenprogramm den Virus möglicherweise nicht findet, weil der Virus selbst das Auffinden des Virus verhindern konnte.

1)
Mittlerweile frage ich mich ob das heutzutage noch denkbar ist? Ist es denkbar, dass ich einen Virus / Trojaner usw. auf meinem Rechner habe und kein Antivirenprogramm das merkt, weil der Virus selbst verhindern kann entdeckt zu werden, auch dann wenn der Virenscanner den Code schon kennt? ... Oder kann man sagen, dass man vielleicht viel ärger haben wird, aber zumindest sehen, dass der Rechner infiziert ist, wird man auf jeden Fall?!?

2)
Bonusfrage ;-)
Früher (DOS) hatte ich Thunderbyte Anti-Virus. Das Programm war in sofern sehr spannend, als dass es jedes Ausbreiten von Viren verhindern konnte, weil in dem Moment, wo versucht wurde eine Datei zu ändern, TBAV mich gefragt hat, ob ich die Änderung zulassen möchte. Selbst wenn ich also ein Virus aus Versehen aufgerufen habe, dann konnte nie was passieren, weil die Infizierung ja mit einer Veränderung von Ini-Dateien, Veränderung MBR, oder mit dem Befallen und Verändern von anderen EXE-Dateien einherging und mir das sofort angezeigt wurde und ich gefragt wurde ob das ok sei.
Ich kenne ein vergleichbares Programm heutzutage nicht mehr. Kennt Ihr einen Virenscanner/-Wächter der Dich jedes Mal fragen würde wenn

- irgendeine Datei geändert wird
- ein Eintrag in die Registrie erfolgt (das kann zumindest GData)


Vielen Dank im Voraus!!!
ingo

Das gibt es nun unter Windows genauso. Was bei Dosviren damals das ueberwachen und veraendern von screib und lesezugriffen war , nennt sich nun Rootkitfaehigkeiten.
Und solche Programme wie TBAV, Nemesis und SVS gibt es auch. Sowas nennt sich jetzt HIPS/IDS Proactiv/antibot und wie die einzelnen Firmen das jetzt nennen. Das ganze ist teilweise genau so laestig wie unter Dos, wenn sie denn Gut sind.
Einen Link dazu:

http://wiki.castlecops.com/HIPS/IDP_programs/services
http://wiki.castlecops.com/HIPS_FAQ

Hallo Raman,

danke für den Tipp. Ich habe das jetzt so verstanden, dass es Tools gibt, die etwas Vergleichbares können, wie damals TBAV unter DOS
DAnke für die Links.
Hast Du Erfahrung mit einer dieser Tools? Gibt es eines, welches man emfehlen kann?

Es bleibt noch die Frage offen, ob es heutzutage überhaupt noch Viren gibt, die ich nicht entdecken würde, selbst dann nicht wenn ich einen vernünftigen Virenscanner habe.

Zitat:

Mittlerweile frage ich mich ob das heutzutage noch denkbar ist? Ist es denkbar, dass ich einen Virus / Trojaner usw. auf meinem Rechner habe und kein Antivirenprogramm das merkt, weil der Virus selbst verhindern kann entdeckt zu werden, auch dann wenn der Virenscanner den Code schon kennt? ... Oder kann man sagen, dass man vielleicht viel ärger haben wird, aber zumindest sehen, dass der Rechner infiziert ist, wird man auf jeden Fall?!?

DANKE!!!!
ingo

Wie oben schon beschrieben, ist das nach wie vor moeglich, sofern die Malware "Rootkitfaehigkeiten" besitzt, wie z.B. Rustock, Navipromo oder Zbot(ntos.exe). SOlche Dateien finden nicht alle AV-Programme, wenn die Schadsoftware bereits aktiv ist. Es gab dazu letztens von AV-Test einen Test, leider wurde nicht geschrieben, welche Malware fuer diesen Test benutzt wurde.

Programme gibt es, wie in dem Link zu lesen ist, einige. Hier besteht das selbe Problem wie zu Dos zeiten. Sprich du musst wissen, was dir die Software meldet, nicht jede meldet nur schaedliche Aktionen.

Ich nutze zur Zeit Processguard, welches allerdings recht alt ist und nicht weiterentwickelt wird. Ich hatte auch schon Threatfire auf einem System installiert. Das ist sehr gut, nur bremst es das System teilweise deutlich. Zumindest bei Festplattenzugriffen.

Zur Zeit nutze ich Online Armor free und bin relativ begeistert, zumindest fuer den Teil, auf den ich wert lege.
Auch bei diesen Programmen gilt, gute Funktionsfaehigkeit ist nur garantiert, wenn es auf einem sauberen System installiert wird.

Ist das system bereits infiziert, sollte man es neu aufsetzen, bzw zum Auffinden der Schadsoftware andere Programme nutzen.

1.) Gilt nach wie vor.
2.) Sie raman. Das Problem ist, unter DOS wurde nicht ständig vom OS auf irgendwelche Dateien geschrieben, DOS lief problemlos stundenlang von schreibgeschützten Disketten und DOS (die ganze Umgebung) bestand aus sehr viel weniger Dateien. Nur wenn man was sichern wollte, dann wollte der PC auch was schreiben. Heute wird ja ständig "irgendwas" geschrieben. Ein Programm welches nutzbar ist, muss also schon viele Änderungen ignorieren (letzter Zugriff zum Beispiel), viel Ignorieren ist aber schon der halbe Weg zur UNsinnigkeit, vorallem wenn das Programm (oder der Nutzer) nicht gut ist.
In einen Browser-Cache werden z.B. ständig Daten geschrieben, die können auch geschickt böse genutzt werden, natürlich müsste das "Tool" schon vorhanden sein, aber aber der "Meldungsschutz" wäre da dann recht sinnfrei.

Einige Schutzprogramme (AV-Programme, aber auch z.B. der Teatimer von Spybot S&D) machen sowas für wichtige Teilbereiche, wie z.B. die Registry

@raman
Danke für Deinen Bericht. Ich verstehe dass jetzt so, dass es egal ist, welches AV-Programm ich nutzte. Einige Viren würden von keinem Programm gefunden werden, wenn der Virus bereits aktiv wäre. (Bitte widersprechen, wenn es ein "besseres" AV-Programm gibt.)
Ist auch nicht so schlimm, denn ich werde meinen PC eh neu aufsetzen und von Anfang an ein vernünftiges AV-Programm + Firewall nutzen (Gdata). Das gesuchte HIPS-Tool werde ich nur temporär ergänzend einsetzen, wenn ich unbekannte Downloads "teste". Dann nervt es mich auch in dem kurzen Zeitraum nicht, wenn gutartige Zugriffe gemeldet werden.
Ist Threadfire das noch umfassendere Tool gegenüber Amor Free? Dann würde ich es nämlich erstmal mit Threadfire versuchen. Hat eines der beiden Tools vielleicht eine gute Protokollfunktion, so dass man anstelle ständig gefragt zu werden, sich das einfach hinterher mal anschaut?

DANKE!!!

@Shadow
Thanx too!!

Wenn du so handelst, nutzen diese Programme nicht. Sicherheit sollte auch nicht (nur) auf Programme basieren. DU bist die Sicherheit, auf die alles basiert. Wissen ist nicht nur Macht, sondern auch Sicherheit

In meinen Augen ist Gdata overkill, zw Resourcenverschwendung. Such dir irgendwas "leichtes" wie Antivir Premium, installiert mit nur Updater/Waechter und scanner, dazu Windowsfirewall und wenn du willst ein HIPS wie OA free(die Meldungen des Programmes sind einfacher verstaendlich) oder Threatfire. Wenn du willst kannst du die Firewall "Plugins" der Programme nutzen, wenn du magst.

Obiges ist meine Meinung, es mag Besseres geben und andere Programme muessen auch nicht schlecht sein....