SebastianLE

Moderators
  • Content count

    7,118
  • Joined

  • Last visited

About SebastianLE

  • Rank
    Gold Beta Tester

Contact Methods

  • E-mail
    0

Profile Information

  • Gender
    Male
  • Location
    Germany, Leipzig
  1. Du musst hier unterscheiden. 1.) Die Cloud (das KSN) ist natürlich um einiges aktueller und hiermit werden Schädlinge einiges eher erkannt als mit den Signaturen. Was ja auch logisch ist. Das KSN erkennt also Sachen, bevor sie in die Signaturen kommen. Cloud Erkennungen erkennt man daran, dass sie mit UDS... beginnen. Übrigens: um gegen Netzausfälle geschützt zu sein, wird auch neben den Signaturen eine aktuelle Datei mit Cloudinformationen/-erkennungen lokal gespeichert. Ein älteres Beispiel HIER. Wer in solchen Fällen das KSN deaktiviert hatte, wäre infiziert worden. Denn bis zur Version 2012 war es so, dass nur bei Nutzern die Cloud abgefragt wurde die am KSN teilnehmen. 2) Seit der Version 2013 hat KL das geändert. Hier wird bei allen Nutzern die Cloud (KSN) abgefragt - die Erkennungen sind also gleich, ebenso die Einordnungen für die Programmkontrolle etc. Folglich profitiert man von einer hohen Erkennung, auch wenn man selbst keine Informationen beisteuert. Ist doch super, man darf also quasi ironisch (!!!) gesagt ein "Schmarotzer" sein, weil man nur die Vorteile mitnehmen kann ohne dazu beizutragen. Für die Erkennung macht es also aktuell keinen Unterschied, ob man das KSN aktiviert oder nicht. Langfristig aber auf jeden Fall: Ein Cloudsystem ist immer nur erfolgreich, wenn es möglichst viele Informationen hat, wenn viele teilnehmen. Je weniger Leute also liefern, desto später werden Schädlinge erkannt. Ein Bewusstsein für Datenschutz ist immer wichtig und gut. Jedoch sollte man dabei bedenken: - Vertraue ich einem Anbieter nicht, nutze ich den gar nicht. - Wie sehen die offiziellen Bedingungen den bei anderen aus? Lustiges Beispiel: Windows Warum Windows nutzen, wenn man aufgrund solcher Bedingungen Probleme hat? Wer denkt, dass persönliche Dokumente etc. komplett in die KSN Cloud geladen werden, der liegt jedenfalls falsch. Da ist es kritischer eine Datei bei VT hochzuladen, die geht an alle und an Google...
  2. Von welchem Mailprogramm reden wir? Viele bieten ja die Möglichkeit ins Archiv zu kommen. Auch wenn anderes geprüft werden würde, wäre das Problem ja tendenziell noch erhalten. Es kommt eben immer vor, dass zu Zeitpunkt 1 etwas noch nicht erkannt wird, was man erst später entdeckt. Essentiell ist aber, dass die Infektion eines Systems verhindert wird. Und darum wird vor allem beim Ausführen am ausführlichsten und umfangreichsten geprüft: Cloud, Siganturen, die umfangreichsten Heuristiken, Emulation, proaktive Komponenten... // Zur VT Erkennung: Auch da ist es sinnvoll niemlas Zip Archive hochzuladen, sondern nur die entsprechenden Dateien. Denn die Serverversionen der dort eingesetzten Scanner sind entsprechend konfiguriert.
  3. Ja, wenn die Archivuntersuchung aktiviert ist. Aber eine Abfrage im KSN erfolgt nur für PE Dateien und nicht innerhalb von zip Dateien. Passieren kann deshalb gar nichts und sobald die Erkennung in die regulären Datenbanken einfließt wird es auch beim Scannen des Zips erkannt. Denn hier kommen Signaturen zur Anwendung, keine Cloudabfragen.
  4. Wenn die exe Datei von KIS erkennt wird ist das doch das wichtigste. Von einem Zip Archiv geht keine Gefahr aus - nicht ausführbar, kann nichts infizieren. Neueste Bedrohungen werden zuerst über die Cloud (KSN) erkannt, diese greift aber bei PE Dateien (also ausführbaren), wo Zip Archive nicht dazu gehören. Sehe hier jetzt kein Problem.
  5. De Exploit Schutz hätte problemlos gegriffen (stack overflow).
  6. Ja erkannt wird er, mittlerweile gibt es aber scheinbar auch Weiterentwicklungen. Nach Cryptolocker scheint leider eine weitere Welle an Verschlüsselungstrojanern anzurollen. Infektionswege sind zumindest spekulativ: Gepäck von anderen Malware (.powelik ?), infizierte Mailanhänge. Zahlreiche Seiten die Hilfe versprechen bieten leider nur fragwürdige, (teile Roque) Tools an von daher solche Tipps immer mit Vorsicht genießen. Die gängigen Entschlüsselungstools funktionieren noch nicht.
  7. Stand: Infektion mit einem neuen Verschlüsselungstrojaner: KEYHolder Die Dateien sind AES verschlüsselt. Derzeit existiert kein Tool zur Entschlüsselung, die encryption Keys sind momentan noch nicht geknackt. Aktuell versuchen wir über die Schattenkopien (ShadowExplorer) an vorherige Versionen der Dateien heranzukommen.
  8. Dann ist es nicht von Cryptolocker verschlüsselt, sondern scheinbar leider von einer neuen Variante. Kannst du genaueres sagen, wie exakt die Bedrohung bezeichnet wurde und wann die Infektion stattfand? Kannst du mir ein verschlüsseltes Dokument als zip gepackt per PN senden?
  9. Es ist wichtig zu wissen, welche Variante bei dir "zugeschlagen" hat und ob es überhaupt schon einen Schlüssel dafür gibt. Wenn es eine der Cryptolocker Varianten ist hast würde ich folgendes Vorgehen wählen: 1. Ein verschlüsseltes Dokument HIER hochladen 2. Informationen, ob es derzeitig entschlüsselt werden kann, nebst Anleitung und Decrypt Keys kommen dann per Mail. Halte uns bitte auf dem laufenden!
  10. Im Grunde nichts außer vorschlagen, bzw. wir können sehen wie es in den nächsten Beta-Runden aussieht. Bzgl. der PUPs Problematik ist derzeit einiges im Rollen in der gesamten Branche. Bzw. für erfahrene Benutzer kann KIS das über die Programmkontrolle durchaus schon jetzt, aber das ist nichts für ONV. Wichtiger fände ich da wirklich die Aufklärung der Nutzer, denn die meisten Installer fragen explizit um Zustimmung und richtig fies versteckt sind die Sachen doch nur in den wenigsten Fällen. Bedenklich finde ich die Entwicklung aber durchaus: Auch große Downloadportale von sog. Fachzeitschriften gehen mittlerweile zu irgendwelchen Beigaben ala Downloader etc. über. AV Software ist hier immer etwas in der Zwickmühle. Bsp.: Wenn sich jemand Google Chrome als Browser herunterlädt ist das ok, ist ja nichts böses. Wenn jetzt dieser Browser im Rahmen einer anderen Installation (Bsp. CCleaner) angeboten wird ist er ja noch immer nicht böse. Woher soll das AV wissen, dass der Nutzer den jetzt nicht mit Absicht mit ausgewählt hat, vielleicht hat er ja ?? Und wo hört der "Spass" auf? Es gibt einige Hersteller die deshalb den CCleaner komplett als Bedrohung anmeckern. Das bringt mehr Verwirrung als Sicherheit. Warum aber dann wird z.B. der Installer eines AVs wie Avast nicht angemeckert? Bringt es doch auch u.a. Chrome mit. Irgendwie inkonsequent. Natürlich gibt es auch andere PUP Software, die nicht so harmlos oder gar nützlich ist wie Browser oder Toolbars, aber die ist meiner Einschätzung nach doch extrem rar. Bei gefährlichen Sachen sollte KIS aber jetzt schon meckern. Von daher wäre ich durchaus interessiert daran, zu erfahren was bei deinen Bekannten durchgerutscht ist.
  11. Adware ist in den seltensten Fällen Malware und die Diskussion geht hier nichtmal um Adware, sondern vor allem um die sogenannten potentiell unerwünschten Programme. Hier findest du in der Tat Erkennungsunterschiede, die vor allem auf verschiedene Ansichten zurückgehen. Diese potentiell unerwünschten Programme können ein Google Browser sein, eine Toolbar, Programme wie TuneUp etc. Alles Sachen die viele Nutzer selbst installieren, potentiell unerwünscht sind sie aber nur dann, wenn sie in fremde Installer eingebettet sind. So gehen viele Freeware Autoren vor, in der Hoffnung so etwas Gewinn zu bekommen. Schädlich sind die Beigaben nicht. Wie soll ein Sicherheitsprogramm nun damit umgehen? 1. Möglichkeit: Der Nutzer ist mündig und installiert was er will, wenn er durchklickt: selber schuld bzw. er will das bewusst. Es wird nur angemeckert was schädlich ist. Exakt das macht Kaspersky. 2. Möglichkeit: Der Nutzer ist mündig und installiert was er will. Das AV Programm erkennt aber die typischen PUP Beigaben und fragt hier nochmal nach. Für mich die sauberste Lösung, aber das können erst 1-2 Securityprogramme. 3. Möglichkeit: Installer die sowas enthalten werden per se als schädlich markiert, obwohl sie es nicht sind. Der Nutzer ist nicht mündig und wir nehmen nicht an, dass er lesen und benutzerdefiniert installieren kann. Dies ist die sog. aggressive PUPs Politik, die u.a. von Malwarebytes vertreten wird. Die Schattenseite dieses Vorgehens: Installer werden blockiert und angemeckert, auch wenn schädliche Dinge gar nicht installiert sind. Nutzer sind verunsichert, wenden sich an Hilfeforen und bekommen dort z.T. abenteuerliche Ratschläge: mindestens ganz viel scannen, oft aber auch Systeme neu aufsetzen. Und alles wegen NICHTS, wegen einem Installer der nocht nichtmal ausgeführt wurde.
  12. Wir sollten hier bitte dennoch beim Thema bleiben. Und da kann man den Unmut über die Probleme (egal wo sie nun ursächlich liegen) durchaus verstehen. Hier geht es um Produkte von KL und nicht um Lästereien im weitesten Sinne über andere Produkte und Hersteller. Danke!
  13. @TickTackMann Nach allen bisherigen Versuchen, sehe ich im Thread noch soweit durch, dass du jetzt neu installieren willst ? Meiner Ansicht nach wäre das die momentan beste Lösung. KIS basiert auf dem Windows Installer und da macht man durch manuelles Löschen und Registrybereinigen (man deregistriert eben durch löschen nicht!) eher noch mehr kaputt. Auch wenn es jetzt schwer fällt die wirkliche Ursache zu finden, würde ich empfehlen in Zukunft auf Programme wie TuneUp etc. zu verzichten, deren Mehrwert zweifelhaft ist. Auch das hier genannte JV16 und der RevoUninstaller (der deinstalliert über die normale Methode und sucht dann "brute force" nach Resten, ohne zu deregistrieren. Geht bei einiger AV Software schief) fallen unter diese Kategorie.
  14. Beiträge in denen es nur um gegenseitige Sticheleien ging wurden ins Off-Topic verschoben. Ich bitte BEIDE hier beteiligten Personen in Zukunft so etwas zu unterlassen! Es geht hier um die Hilfe Nutzern gegenüber und nicht um Beiträge der Art wie "Das habe ich in Post X schon gesagt..." oder um gegenseitige Stichelein anderer Art, gleich wie man sie verpackt Persönliche Attacken sind hier fehl am Platz, wem das nicht passt der postet bitte nicht. Danke!
  15. Es sind auf Windows Systemen v.a. seit Windows 7 verschieden paar Schuhe. Der Firewall Dienst, das Firewall Framework und die eingentliche Windows Firewall. Ein Deaktivieren des Dienstes ist damit nicht nötig und oft auch kontraproduktiv. Viele Drittanbieter setzen auf Elemente des Firewall Frameworks auf und die Windows Firewall liefert die Basis für die Einordnung verschiedener Netzwerke. Passt sich eine Drittanbieterfirewall hieran an (wie z.B. die von KIS) kann diese dann v.a. anwendungsbasiert arbeiten - neben der WFW. D.h. die Windows FW arbeitet nicht, solange sie erkennt das die Drittanbieterfirewall läuft.