Jump to content

Recommended Posts

Hi Lucian,

du hab die datei doch bereits wieder entfernt (norton antibot) und nicht mehr drauf. aber wenn du sie installierst, was ja auch meine absicht war das du das verhalten von KIS beobachten kannst dann siehst du ja selber wohin es sich und die anderen dateien installiert

lad es einfach mal bei virustotal auch hoch da siehst du es handelt sich um malware. ich hab ja nun auch von AVIRA und AVG (dort hin habe ich das sample gesendet) die bestätigung es handelt sich um etwas, dort genannt Trojan downloader swizzor (auch übrigens bei Threat Fire)

 

hoffe das hilft dir

Share this post


Link to post

Also ich kann bestätigen, dass bei der Netpumper Installation der Swizzor mit installiert wird.

 

Das ist seit langem bekannt und noch länger gibt es den Swizzor! Warum also wird er von Kis nicht erkannt? Ich habe es grade mit meiner V7 probiert und bin mittelmäßig schockiert.. :o

 

Die BHOs, R1 und R0 Einträge sollte Kis doch verbieten!

 

Avast 4.8.1169.0 2008.04.21 Win32:Adware-gen

AVG 7.5.0.516 2008.04.21 Downloader.Swizzor.GKK

BitDefender 7.2 2008.04.22 Adware.Netpumper.A

DrWeb 4.44.0.09170 2008.04.22 Trojan.Swizzor.based

Panda 9.0.0.4 2008.04.21 Suspicious file

Prevx1 V2 2008.04.22 Heuristic: Suspicious Self Modifying File

Kaspersky 7.0.0.125 2008.04.22 -

*grummel*

Edited by undoreal

Share this post


Link to post

Hi Lucian

hier mal die Textdatei die Norton nach Bereinigung erzeugt hat. Also auch Norton erkennt den netpumper und blockt ihn. ich habe Norton mal ausgeschaltet und die datei installiert um sie dann bereinigen zu lassen. Das Ergebnis. Falls ich noch finde füge ich es dazu.

es geht mir ja darum das das HIPS eben funktioniert und auch die rechtezuordnung (bei unbekannten programmen eben, bekannte werden ja eh geblockt). und da scheint mir KIS nicht richtig zu arbeiten weder proaktiv noch von der rechteverteilung. daher dachte ich der netpumper wäre ne gutes file zum testen

 

@undoreal

 

daher habe ich es hier mal angesprochen. denn zumindest proaktiv sollte KIS ihn erkennen und wenn das nicht dann dürften den installierten files nicht auch noch "nur schwache Rechte" zugeteilt werden sondern strikte verbote oder hohe einschränkungen.

Ich hoffe der netpumper hilft kaspersky etwas in richtung HIPS und Rechte optimieren....das ist mein Ziel!

netpumper.txt

Edited by Chris123

Share this post


Link to post

Das Problem liegt scheinbar nicht an der neuen Version sondern ganz allgemein an den Signaturen... Siehe meinen Post oben..

Share this post


Link to post

Tut mir leid, dass ich eben nicht auf deinen Beitrag eingegangen bin. Aber mein Testsystem war eben nicht bereit...

 

NetPumper scheint in der Tat nicht ganz sauber zu sein, vielleicht sollte es auch über die Signaturen erkannt werden. Muss ich mir noch mal genau ansehen.

Abgesehen davon, sehe eigentlich nichts, was man an der Reaktion von KIS aussetzen könnte. HIPS platziert es zwar in die Gruppe beschränkter Rechte, aber das halte ich durchaus für angemessen, da man dann für fast alle Aktionen Nachfragen erhält. Außerdem erhalte ich zahlreiche Hinweise vom Proaktiven Schutz bzw. HIPS bezüglich Injektion von Code, Trojan.generic etc.

Share this post


Link to post

Nein nicht an den signaturen. denn dann wäre ja die "reguläre" erkennung da. mir gehts ja um die Proaktive erkennung (also erkennung von schadprogrammen die unbekannt sind aufgrund des verhaltens) und um die schlechte Rechtezuweisung solcher programme

 

@JanRei

 

du ich hatte es mit der letzten version getestet die 346 da kam nichts von Trojan Generic. denn das würde ja für mich auch auf nen proaktiven Trojaner Fund hinweisen. Es kam bei mir nur 1 gelbes Fenster (generic Trojan sind ja rot oder?) und nur die info in welche rechtegruppe es geht. sonst wirklich nichts sonst würde ich ja hier deswegen nicht fragen

oder liegts daran das ich den datei antivirus auf normal stellung hatte? also ohne heuristik und so? dann müsste vll die grund einstellung überarbeitet werden. ich hatte nur beim webAV die heuristik auf hoch aber da kam klar keine meldung

Edited by Chris123

Share this post


Link to post

@JanRei:

 

Eintrag in Bericht: So wie SebastianLE es schon sagte, wird diese Meldung eingetragen, wenn man den PC herunterfährt.

 

Key: Meinen Key nimmt er nicht - ist aber ein 2 Jahresschlüssel und betrifft KIS6, also alles richtig.

 

 

Edit: Änderung wegen Laufzeit Schlüssel

Edited by Jowi

Share this post


Link to post

Ich habe es auf Windows XP SP2 mit Standardeinstellungen allerdings mit interaktiven Schutz probiert, bei wurde zwei mal Trojan.generic (ja, die Warnfenster müssten rot sein) erkannt:

22.04.2008 17:24:04 Gefunden potentiell unerwünschtes Programm Trojan.generic C:\DOKUMENTE UND EINSTELLUNGEN\JAN\LOKALE EINSTELLUNGEN\TEMP\BIS18.EXE

22.04.2008 17:25:05 Gefunden potentiell unerwünschtes Programm Trojan.generic C:\DOKUMENTE UND EINSTELLUNGEN\JAN\ANWENDUNGSDATEN\BOLDTITLEHECK\VHHMYDJS.EXE

 

Es könnte aber durchaus sein, dass es anders aussieht, wenn du den automatischen Modus genommen hast. Von der Einstellung der Heuristik sollte es nicht abhängig sein, denn im Rahmen der Risikobewertung werden die ausführbaren Dateien sowieso von der Heuristik untersucht.

 

EDIT: Ich habe aber Version 8.0.0.348 installiert, allerdings sollte sie nicht sie grundlegend anders reagieren als 8.0.0.346 (immerhin RC2).

Edited by JanRei

Share this post


Link to post

ich frag jetzt mal ganz doof was der interaktive schutz ist wo man den aktiviert oder am anfang mit installiert. ich hatte die KIS installiert benutzerdefiniert. ohne FW ohne popup blocker ohne dialer und phishing schutz. ansonsten war alles dabei also auch der online schutz und die aktivitätskontrolle....

 

achja jan wenn du dir die zeit nehmen magst, installier nochmal den netpumper und lass es dann so wie KIS reagiert und geblockt hat. also einfach installieren und blocken was KIS blockt und löscht.

danach lass mal den windows defender drüberlaufen, da wirst du wette ich noch was angezeigt bekommen....das denke ich wird vll interessant sein weil WD auch die pfade etc anzeigt..

 

 

gruss chris

Edited by Chris123

Share this post


Link to post

Man sollte während der Installation (im Konfigurationsassistenten) gefragt werden, welchen Modus man verwenden möchte. Im automatischen Modus ist in den Einstellungen unter Schutz die Option "Aktion automatisch wählen" aktiviert, was meist verhindert, dass der Benutzer Nachfragen gestellt bekommt.

Edited by JanRei

Share this post


Link to post

oder deaktivier mal KIS und installier antibot (könnt ihr ja auf euren VMs machen) und installier mal den netpumper und sie dir an was antibot dann entfernt. mindestens 6 exe dateien warens bei mir und zahlreiche reg einträge. nicht das das nun überhand nimmt aber vll hilft das ja dann auch bei der verbesserung irgendwie weiter, das wollte ich ja erreichen..

 

 

gruss chris

Share this post


Link to post
Wo genau liegt das Problem? Wenn ich beim TB Addon auf Einstellungen klicke, dann sehe ich das KIS Einstellungsfenster vom AntiSpam.

 

tut mir leid, aber habe ich genau dieses Problem:

- ich kann keine Eistellungen von TB Add-On sehen, beim Klick auf "Eistellungen" passiert nichts und ich sehe kein Einstellungsfenster :(

 

Benutzen Sie auch WinXP SP2?

 

Share this post


Link to post

@user kis

 

ich glaube das auch die einstellungen des KIS add ons nicht unter einstellungen bei TB zu finden sind sondern unter de Add on Verwaltung. liege ich da richtig?

dort hin kommst du wenn du auf "extras" "add ons" "Erweiterungen" gehst...

 

gruss

Share this post


Link to post
ich glaube das auch die einstellungen des KIS add ons nicht unter einstellungen bei TB zu finden sind sondern unter de Add on Verwaltung. liege ich da richtig?

dort hin kommst du wenn du auf "extras" "add ons" "Erweiterungen" gehst...

...oder unten rechts im TB-Fenster (K-Symbol).

Mir ist aber gerade aufgefallen, daß man das Add-On erst aktivieren muß. War seither (glaube ich) automatisch aktiviert.

Gruß Schulte

Share this post


Link to post
tut mir leid, aber habe ich genau dieses Problem:

- ich kann keine Eistellungen von TB Add-On sehen, beim Klick auf "Eistellungen" passiert nichts und ich sehe kein Einstellungsfenster :(

 

Benutzen Sie auch WinXP SP2?

 

Ja habe auch Xp-SP2. Ist genau wie in dem von dir verlinkten Screenshot. Unter Add-Ons und dann auf Eintellungen (in der Statusleiste draufklicken geht aber auch).

 

Hast du den aktuellen Build? Ich glaube im vorletzten ging es mal nicht. Aktiviert wird das AddOn bei mir automatisch wenn ich KIS installiere.

 

Evtl. kannst du es mal im TB-Profil deinstallieren und dann erneut installieren.

Share this post


Link to post

Ich hätte da auch noch ein Problemchen wen ich den Rechner hochfahre habe ich neben dem Kaspersky Icon, noch zusätzlich das vom Sicherheitscenter.

 

Beende ich Kasoersky und starte es noch einmal, so ist das Icon vom Sicherheitscenter verschwunden.

 

 

Ich glaube zu wissen, dass dieses Problem schon in der Version 7.0 schon des öfteren diskutiert worden ist. Wer schade wenn dieses Problem in der neuen 8.0 mit herüber genommen wird.

Share this post


Link to post
Ja habe auch Xp-SP2. Ist genau wie in dem von dir verlinkten Screenshot. Unter Add-Ons und dann auf Eintellungen (in der Statusleiste draufklicken geht aber auch).

 

Hast du den aktuellen Build? Ich glaube im vorletzten ging es mal nicht. Aktiviert wird das AddOn bei mir automatisch wenn ich KIS installiere.

 

Evtl. kannst du es mal im TB-Profil deinstallieren und dann erneut installieren.

 

Haben Sie es richtig gesehen/gelesen?

http://forum.kaspersky.com/index.php?s=&am...st&p=613196

aktiv, aber ohne Einstellung-Funktion

 

natürlich habe ich aktuellste Win, KIS und TB. Ich habe alles ausprobiert (auch neue Profiles) - ohne Erfolg.

Einfach haben Sie ein anderes Glück als ich - keine andere Erklärung.

 

STOP! Ich benutze PORTABLE-Version vom TB, vielleicht macht es was aus... :rolleyes:

Edited by User_kis

Share this post


Link to post
Haben Sie es richtig gesehen/gelesen?

 

Ja schon - sieht bei mir genau so aus, nur das das Einstellungsfenster auf Klick kommt.

 

natürlich habe ich aktuellste Win, KIS und TB. Ich habe alles ausprobiert (auch neue Profiles) - ohne Erfolg.

STOP! Ich benutze PORTABLE-Version vom TB, vielleicht macht es was aus... :rolleyes:

 

Eine "fertige" portable oder selbst erstellte??

Du kannst ja testweise mal den TB Installer runterladen, entpacken und die exe mit dem Parameter -P starten. So kannst du ein Profil erstellen und/oder dir den Ort aussuchen wo es liegt.

Dann mal nur das KIS AddOn installieren. Keine Ahnung ob KIS bei der Installation prüft ob du TB installiert hast, aber da das AddOn installiert wird findet es ja dein Profil und müsste auch funktionieren...

 

Was ist wenn du im AddOn Manager nen Rechtsklick auf das AntiSpam AddOn machst? Welche der dort gezeigten Optionen sind wählbar - welche nicht?

 

Edit:

 

Edited by SebastianLE

Share this post


Link to post
nur ein teil des netpumpers ist infiziert, die datei minime. der netpumper.exe ist sauber und verhalt sich normal, also wird bei analyze entsprechend behandelt. die analzye ist die analyze der datei selbst, netpumper.exe, nicht der dateien die usprunglich mal inm selben installer waren.

Bei der Installation wurden bei mir 5 verdächtige .exe-Dateien installiert und gestartet:

bis18.exe

KNOB BOOK.exe

Rule Data Open.exe

Safe Wma.exe

vhhmydjs.exe

 

Inwiefern diese schädlich sind, weiß ich noch nicht. Aber sie wurden alle in die Gruppe mit schwachen Beschränkungen einsortiert und zwar mit auffalllend niedriger Risikobewertung von 1 oder 2.

Vielleicht gibt es ja einen Weg, die Risikobewertung durch KIS für solche Fälle zu optimieren, so dass der Risikoindex höher ausfällt. Das müsste auch der "proaktivste" Weg sein.

 

Sonst müssten diese Programme auch einen höheren Risikoindex erhalten, sobald sie über die Signaturen erkannt werden.

Share this post


Link to post

kann ich bestätigen die prozesse. zumindest hätte finde ich KIS darüber informieren müssen oder seh ich das falsch? wobei dann wird ja auch bei jedem andren prozess der neu gestartet wird nachgefragt bei vertrauenswürdigen programmen. Ich seh schon das dilema und das es schwer ist nen mittelweg hinzubekommen. sicher wäre die erhöhung des wertes für solche prozesse eine gute lösung.

 

vll hilft ja der netpumper irgendwie das alles etwas zu optimieren. ich teste damit gern rum in letzter zeit da er finde ich ne gute malware zum testen der AV programme ist...

 

gruss und danke fürs feedback, bekommt ja nicht in jedem forum so schnell und detailiert..

 

gruss chris

 

@Lucian

 

dann wäre interessant woher diese prozesse kommen, sie können ja nicht hergezaubert werden. vll liegts daran das es ja auch ein trojan downloader ist oder so. jedenfall finde ich das KIS vor dem start solcher "aus dem nichts" kommenden prozesse warnen sollte und wie jan auch sagt vll ist die bewertung zu gering ausgefallen.

 

ich hoffe mal nicht das ganze forum nun durcheinander zu bringen, und hoffe das es halt irgendwie zur optimierung beiträg wenn man damit testen kann..

 

nochmals danke

Edited by Chris123

Share this post


Link to post
Ja schon - sieht bei mir genau so aus, nur das das Einstellungsfenster auf Klick kommt.

Eine "fertige" portable oder selbst erstellte??

Du kannst ja testweise mal den TB Installer runterladen, entpacken und die exe mit dem Parameter -P starten. So kannst du ein Profil erstellen und/oder dir den Ort aussuchen wo es liegt.

Dann mal nur das KIS AddOn installieren. Keine Ahnung ob KIS bei der Installation prüft ob du TB installiert hast, aber da das AddOn installiert wird findet es ja dein Profil und müsste auch funktionieren...

 

Was ist wenn du im AddOn Manager nen Rechtsklick auf das AntiSpam AddOn machst? Welche der dort gezeigten Optionen sind wählbar - welche nicht?

 

Edit:

 

Portable Versionen: http://portableapps.com

dort gibt's auch andere sprach-Versionen, ich benutze immer die deutsche Version.

 

So sieht mein Screenshot aus (alles funktioniert ausser "Einstellungen"):

- aber, als habe ich gesehen, Sie haben ganz anderes GUI im TB?! mit Menu-Icons. :blink:

post-16276-1208889290_thumb.jpg

Edited by User_kis

Share this post


Link to post

naja also das malware oder auch badware auch zertifizerit ist oder sein kann ist ja nix neues. diese dann gleich als vertrauenswürdig einzustufen....naja. dann wird ja künftig jede malware für die noch keine signatur da ist leichtes spiel haben sofern sie signiert ist......ich melde mal bedenken an

 

 

noch eine kleine info. Leider schaut es auch mit dem Host Schutz nicht gut aus. Dieser wird nämlich ebenfalls geändert durch den netpumper leider erhielt ich auch hier keine meldung. Windows defender hat es bei der nachprüfung angezeigt und auch norton weisst beim sicherheitsinspektor noch norton360 auf einen geänderte netzwerkhost hin.

 

vll ist dieser hinweis auch wichtig

 

gruss

Share this post


Link to post
diese sind nicht in der original verpackung enthalten, sie werden scheinbar von irgendwo erstellt.

Das kann durchaus sein, die meisten der exe-Dateien scheinen auch einen zufälligen Namen zu bekommen. Laut dem Bericht von KIS werden sie vom Internet Explorer erstellt, genauso wie Dateien die beispielsweise so heißen: C:\WINDOWS\System32\drivers\etc\hosts.eyv

Die hosts.xxx-Dateien werden aber kurz darauf wieder gelöscht, eine Änderung der richtigen hosts-Datei habe ich nicht gesehen.

 

NetPumper sollte demnächst als Trojan.Win32.Obfuscated.zl erkannt werden.

 

Share this post


Link to post

Wie kann man Ping-Abfragen abweisen? Kann KIS v8 das überhaupt und wie?

Danke.

post-16276-1208903268_thumb.jpg

Edited by User_kis

Share this post


Link to post

musst eignetlich nur hier das ICMP Echo (Reply In) ausstellen. brauchst du aber eigentlich nicht.

post-93339-1208907504_thumb.jpg

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.