18
Welcher Virenscanner schützt vor Ucash-Trojanern?
Hallo,
ich habe einen Kunden, der sich mit der kostenlosen Avira-Version auf seinem Windows XP-Rechner schon mehrfach einen der UCash-Trojaner eingefangen hatte.
Nachdem ich ihm den Virus entfernt hatte, verkaufte ich dem Kunden die kostenpflichtige Version von Avira, in der Hoffnung, dass die erweiterten Schutzfunktionen (z.B. Browserüberwachung) vor dieser nicht mehr ganz unbekannten Bedrohung schützen würden.
Jetzt hat sich der Kunde das gleiche Dingen aber schon wieder eingefangen - Avira scheint also nutzlos zu sein.
Kann mir jemand eine AV-Lösung nennen, die definitv vor Ucash- und BKA-Trojaner schützt?
Danke vorab & Gruß,
Colt Seavers
ich habe einen Kunden, der sich mit der kostenlosen Avira-Version auf seinem Windows XP-Rechner schon mehrfach einen der UCash-Trojaner eingefangen hatte.
Nachdem ich ihm den Virus entfernt hatte, verkaufte ich dem Kunden die kostenpflichtige Version von Avira, in der Hoffnung, dass die erweiterten Schutzfunktionen (z.B. Browserüberwachung) vor dieser nicht mehr ganz unbekannten Bedrohung schützen würden.
Jetzt hat sich der Kunde das gleiche Dingen aber schon wieder eingefangen - Avira scheint also nutzlos zu sein.
Kann mir jemand eine AV-Lösung nennen, die definitv vor Ucash- und BKA-Trojaner schützt?
Danke vorab & Gruß,
Colt Seavers
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190566
Url: https://administrator.de/forum/welcher-virenscanner-schuetzt-vor-ucash-trojanern-190566.html
Ausgedruckt am: 14.04.2025 um 14:04 Uhr
18 Kommentare
Neuester Kommentar
Wundert mich auch schon immer, warum die Virenscanner das Ding nicht erkennen.
Beste Lösung ist den Browser nicht als Administrator zu starten, sondern einen neuen Benutzer "Internet" anlegen und mit einer .bat in C:\ starten:
runas /user:internetpornobrowser "C:\Programme\Mozilla Firefox\firefox.exe"
bzw.
runas /user:internetpornobrowser "C:\Programme\Internet Explorer\iexplore.exe"
Dann noch die Pfade zum downloaden anpassen und gut ist.
Verknüpfung auf`m Desktop erstellen, fertig.
Die Icons lassen sich auch ändern wenn's eine Verknüpfung zur .bat gibt.
Beste Lösung ist den Browser nicht als Administrator zu starten, sondern einen neuen Benutzer "Internet" anlegen und mit einer .bat in C:\ starten:
runas /user:internetpornobrowser "C:\Programme\Mozilla Firefox\firefox.exe"
bzw.
runas /user:internetpornobrowser "C:\Programme\Internet Explorer\iexplore.exe"
Dann noch die Pfade zum downloaden anpassen und gut ist.
Verknüpfung auf`m Desktop erstellen, fertig.
Die Icons lassen sich auch ändern wenn's eine Verknüpfung zur .bat gibt.
Hallo,
also grundsätzlich kenne ich einige Personen die sich Probleme mit Avira hatten.
Ich persönlich könnte im Privaten Bereich auf jeden Fall AVAST empfehlen.
Aber das ist ja immer Glaubenssache.
also grundsätzlich kenne ich einige Personen die sich Probleme mit Avira hatten.
Ich persönlich könnte im Privaten Bereich auf jeden Fall AVAST empfehlen.
Aber das ist ja immer Glaubenssache.
Moin,
- Weil es "das" Ding garnicht gibt, dass ist eine Serie von verschiedenen Malware/Trojanern, die allesamt nur eines haben - das ähnliche Erscheinungsbild und die ausnutzung von alten Java und Flash Installationen.
Beste Lösung ist den Browser nicht als Administrator zu starten
- Jein - die "beste" Lösung ist - den gesamten Rechner "nicht" als Admin zu benutzen, nicht nur die Browsersession und im Zweifel eher mal bei einer Installation auf den runas zurückzugreifen, nicht umgekehrt.
Jaja, aber du weisst ja wie das mit Win XP ist.
Wird meist vorinstalliert ausgeliefert und der User macht da nix mehr ausser als Administrator drauf rumklicken wie bekloppt und bei den veralteten Flash und Javainstallationen ist als Benutzer eh Ende der Fahnenstange.
Als Administrator installieren sich neue Flashversionen dann wenigstens automatisch (wenn`s angeklickt ist und das ist bei der Vorauswahl so).
Wird meist vorinstalliert ausgeliefert und der User macht da nix mehr ausser als Administrator drauf rumklicken wie bekloppt und bei den veralteten Flash und Javainstallationen ist als Benutzer eh Ende der Fahnenstange.
Als Administrator installieren sich neue Flashversionen dann wenigstens automatisch (wenn`s angeklickt ist und das ist bei der Vorauswahl so).
Hi,
das man nich als Admin im Internet Surft bringt leider auch keinein vollständigen schutz. Ich hatte den Trojaner bereits zweimal auf einem Rechner mit Windows 7 wo der Benutzer keine Admin-Rechte hat. Der ist zwar dann nur bei dem einen Benutzer gestartet und hat den Desktop gesperrt. Aber da war er trozdem.
mfg
n4426
das man nich als Admin im Internet Surft bringt leider auch keinein vollständigen schutz. Ich hatte den Trojaner bereits zweimal auf einem Rechner mit Windows 7 wo der Benutzer keine Admin-Rechte hat. Der ist zwar dann nur bei dem einen Benutzer gestartet und hat den Desktop gesperrt. Aber da war er trozdem.
mfg
n4426
Das schon, aber einfach Benutzer löschen und neu erstellen, fertig.
Geht auch per .bat.
Geht auch per .bat.
Zitat von @coltseavers:
Kann mir jemand eine AV-Lösung nennen, die definitv vor Ucash- und BKA-Trojaner schützt?
Kann mir jemand eine AV-Lösung nennen, die definitv vor Ucash- und BKA-Trojaner schützt?
Imho hilft gar keines. Das Dingens mutiert schneller als Influenza und die Schlangen liefern das Öl nicht schnell genug, um hinterherzukommen.
Ich hatte schon diverse Kundenrechner zum saubermachen, auf denen alle möglichen Virenscanner (McAfee, Symantec, AVG, Avira, Kaspersky, etc.) waren und die sich trotzdem etwas eingefangen hatten. Dabei waren die meisten eigentlich auf aktuellstem Stand.
Da hilft es nur, den Benutzer zu sensibilisieren, und ggf Java, Javascript und Flash herauszuschmeißen, bzw mit Nocsript, Flashblock o.ä. zu blockieren.
lks
Hi!
Wie die Kollegen schon schrieben gibt es nicht DAS Antimalwaretool was wirklich hilft. Was nützt eine Lösung die alles abriegelt, wenn der Trojaner einfach durch das Java- oder Flash- Scheunentor kommt und an dem Schutz quasi vorbeimarschiert. Die Software (OS, Browser, Plugins, Laufzeitumgebungen) aktuell halten, den Rechner mit eingeschränkten Benutzerrechten betreiben und selbst dann ist die Gefahr nicht wirklich gebannt, denn morgen früh um sieben Uhr gibt es schon das nächste Zero-Day-Exploit und eine geänderte Malwarevariante die es schon aktiv ausnutzt.
mrtux
Wie die Kollegen schon schrieben gibt es nicht DAS Antimalwaretool was wirklich hilft. Was nützt eine Lösung die alles abriegelt, wenn der Trojaner einfach durch das Java- oder Flash- Scheunentor kommt und an dem Schutz quasi vorbeimarschiert. Die Software (OS, Browser, Plugins, Laufzeitumgebungen) aktuell halten, den Rechner mit eingeschränkten Benutzerrechten betreiben und selbst dann ist die Gefahr nicht wirklich gebannt, denn morgen früh um sieben Uhr gibt es schon das nächste Zero-Day-Exploit und eine geänderte Malwarevariante die es schon aktiv ausnutzt.
mrtux
Salü,
[1/2OT]
Quelle Heise
[/1/2OT]
Und nein - ich kenne das mit XP nicht, ich bin selber derjeinge welcher in "meiner" Firma das Netzwerk gebaut hat und pflegt und "ich" bin kein Domainadmin.
Gruß
[1/2OT]
Update vom 30.08, 21:30: Oracle hat den oben verlinkten Security Alert inzwischen mit Inhalt befüllt.
Damit bestätigt sich unsere Beobachtung, nach der das oben beschriebene Sicherheitsproblem beseitigt wurde.
Insgesamt hat das Unternehmen in diesem Zusammenhang vier Schwachstellen geschlossen.
Drei der Lücken haben den höchstmöglichen Schweregrad von 10.0.
Oracle bedankt sich unter anderem bei dem Sicherheitsexperten Adam Gowdiak für das Aufspüren der Lücken und bestätigt damit indirekt seine Aussage, dass das Unternehmen bereits seit April über die Schwachstellen informiert ist.
Damit bestätigt sich unsere Beobachtung, nach der das oben beschriebene Sicherheitsproblem beseitigt wurde.
Insgesamt hat das Unternehmen in diesem Zusammenhang vier Schwachstellen geschlossen.
Drei der Lücken haben den höchstmöglichen Schweregrad von 10.0.
Oracle bedankt sich unter anderem bei dem Sicherheitsexperten Adam Gowdiak für das Aufspüren der Lücken und bestätigt damit indirekt seine Aussage, dass das Unternehmen bereits seit April über die Schwachstellen informiert ist.
Quelle Heise
[/1/2OT]
Und nein - ich kenne das mit XP nicht, ich bin selber derjeinge welcher in "meiner" Firma das Netzwerk gebaut hat und pflegt und "ich" bin kein Domainadmin.
Gruß
Zitat von @60730:
Und nein - ich kenne das mit XP nicht, ich bin selber derjeinge welcher in "meiner" Firma das Netzwerk gebaut hat und
pflegt und "ich" bin kein Domainadmin.
Und nein - ich kenne das mit XP nicht, ich bin selber derjeinge welcher in "meiner" Firma das Netzwerk gebaut hat und
pflegt und "ich" bin kein Domainadmin.
Wie reden hier ja nicht von Firmennetzwerken, sondern von End-Usern, die sich eine vorkonfigurierte Kiste mit XP aus`m Aldi etc. kaufen.
Das Problem scheint hier nicht der mangelnde Schutz des Virenscanners sondern das Surfverhalten des Benutzers zu sein.
Desweiteren gilt: Bei Malwarebefall Neuinstallation. Du kannst einen Befall von Schadsoftware beheben wir du willst, man kann nie mit Sicherheit sagen, ob Veränderungen am System geblieben sind. Und hier zeigt sich wieder, dass es wohl genügend Veränderungen gab, so dass sich das Ding immer wieder einnisten kann.
Desweiteren gilt: Bei Malwarebefall Neuinstallation. Du kannst einen Befall von Schadsoftware beheben wir du willst, man kann nie mit Sicherheit sagen, ob Veränderungen am System geblieben sind. Und hier zeigt sich wieder, dass es wohl genügend Veränderungen gab, so dass sich das Ding immer wieder einnisten kann.
Moin,
vielleicht sollte man mal das Verhältnis zwischen den Stuhlsitzer und dessen PC sensibel betrachten...
Gruß
24
vielleicht sollte man mal das Verhältnis zwischen den Stuhlsitzer und dessen PC sensibel betrachten...
Gruß
24
Auch Noscript hilft nur bedingt, denn es blockt ja nur den Inhalt, der nicht freigegeben ist. Wenn eine "vertrauenswürdige" Domain in der Whitelist steht und dann doch irgendwann mal infiziert ist, hilft NoScript auch nix. Vor einigen Wochen war diesbezüglich z. B. eine bekannte Wettervorhersage-Seite betroffen..
Des Weiteren liegt das Problem bei NoScript auch darin, dass man oftmals nicht weiß, welche Scripte eine Seite braucht, und welche nicht. Wer macht sich schon die Arbeit, vorher den Quellcode zu analysieren? Für einen "Otto-Normal-User" ist spätestens eh hier schluß...
Also grundsätzlich als "Nicht"-Admin zu surfen, ist eine gute Idee. Schützt aber eben auch nur bedingt.
Vor einigen Jahren (eher einige mehr Jahre
) kam mal ein "Sandbox"-Anbieter raus, der den Browser (welcher war das damals noch, könnte fast noch Netscape(!) gewesen sein) in einer Art Sandbox laufen hatte und alle Systemzugriffe geblockt hat. War zwar etwas umständlich, gerade beim Herunterladen von Dateien, da selbst das erst freigeschaltet werden musste, aber der Browser war vollkommen abgeschmirmt. Kennt das vielleicht noch jemand?
Ich selber nutze z. B. für Onlinebanking eine eigene virtuelle Maschine mit schreibgeschützter virtueller Festplatte. So bin ich (ok, fast) 100% sicher, dass die sauber ist.
Gleiches, wenn ich im Netz suche. Wenn die Chance groß ist, dass man sich was einfangen könnte, hält eine virtuelle Linuxmaschine her. So bin ich bisher immer gut gefahren.
Und bei den Prozessoren kann eine kleine Linuxmaschine mit LXDE o. ä. fast immer problemlos nebenher laufen.
vg
Des Weiteren liegt das Problem bei NoScript auch darin, dass man oftmals nicht weiß, welche Scripte eine Seite braucht, und welche nicht. Wer macht sich schon die Arbeit, vorher den Quellcode zu analysieren? Für einen "Otto-Normal-User" ist spätestens eh hier schluß...
Also grundsätzlich als "Nicht"-Admin zu surfen, ist eine gute Idee. Schützt aber eben auch nur bedingt.
Vor einigen Jahren (eher einige mehr Jahre
) kam mal ein "Sandbox"-Anbieter raus, der den Browser (welcher war das damals noch, könnte fast noch Netscape(!) gewesen sein) in einer Art Sandbox laufen hatte und alle Systemzugriffe geblockt hat. War zwar etwas umständlich, gerade beim Herunterladen von Dateien, da selbst das erst freigeschaltet werden musste, aber der Browser war vollkommen abgeschmirmt. Kennt das vielleicht noch jemand?Ich selber nutze z. B. für Onlinebanking eine eigene virtuelle Maschine mit schreibgeschützter virtueller Festplatte. So bin ich (ok, fast) 100% sicher, dass die sauber ist.
Gleiches, wenn ich im Netz suche. Wenn die Chance groß ist, dass man sich was einfangen könnte, hält eine virtuelle Linuxmaschine her. So bin ich bisher immer gut gefahren.
Und bei den Prozessoren kann eine kleine Linuxmaschine mit LXDE o. ä. fast immer problemlos nebenher laufen.
vg
Ich sehe das Problem nicht beim Surfverhalten des Benutzers.
Diese Schadsoftware existiert nicht nur bei irgendwelchen "Schmuddelseiten" o.ä., sondern auch bei "normalen" Webseiten wie z.B. wetter.de, wo z.B. eine Zeit lang der Code über infizierte Werbebanner verbreitet wurde.
Von einem 0815-User, der abends eben mails checkt und sich noch n paar schuhe bestellt, um vor glück zu schreien, kann man nicht so viel sachverstand erwarten, dass er solche gefahrenherde sicher umschiffen kann.
Naja, aber vielleicht hilft ja schon das Java-Update ein wenig, welches in einem anderen Beitrag erwähnt wurde.
Diese Schadsoftware existiert nicht nur bei irgendwelchen "Schmuddelseiten" o.ä., sondern auch bei "normalen" Webseiten wie z.B. wetter.de, wo z.B. eine Zeit lang der Code über infizierte Werbebanner verbreitet wurde.
Von einem 0815-User, der abends eben mails checkt und sich noch n paar schuhe bestellt, um vor glück zu schreien, kann man nicht so viel sachverstand erwarten, dass er solche gefahrenherde sicher umschiffen kann.
Naja, aber vielleicht hilft ja schon das Java-Update ein wenig, welches in einem anderen Beitrag erwähnt wurde.
Ok, danke für Deinen Erfahrungsbericht mit den verschiedensten Virenscannern - dann kann ich diesbezüglich mir schonmal die Zeit sparen weiter nach einem Ucash und BKA-Blocker zu suchen.
Weisst Du denn mit Sicherheit, ob AVAST definitiv die derzeit bekannten Ucash- und BKA-Trojaner erkennt?
Denn (nur) darum geht es mir.
Denn (nur) darum geht es mir.
Zitat von @60730:
Salü,
[1/2OT]
> Update vom 30.08, 21:30: Oracle hat den oben verlinkten Security Alert inzwischen mit Inhalt
befüllt.
> Damit bestätigt sich unsere Beobachtung, nach der das oben beschriebene Sicherheitsproblem beseitigt wurde.
> Insgesamt hat das Unternehmen in diesem Zusammenhang vier Schwachstellen geschlossen.
> Drei der Lücken haben den höchstmöglichen Schweregrad von 10.0.
>
> Oracle bedankt sich unter anderem bei dem Sicherheitsexperten Adam Gowdiak für das Aufspüren der Lücken und
bestätigt damit indirekt seine Aussage, dass das Unternehmen bereits seit April über die Schwachstellen
informiert ist.
Quelle Heise
[/1/2OT]
Und nein - ich kenne das mit XP nicht, ich bin selber derjeinge welcher in "meiner" Firma das Netzwerk gebaut hat und
pflegt und "ich" bin kein Domainadmin.
Gruß
Salü,
[1/2OT]
> Update vom 30.08, 21:30: Oracle hat den oben verlinkten Security Alert inzwischen mit Inhalt
befüllt.
> Damit bestätigt sich unsere Beobachtung, nach der das oben beschriebene Sicherheitsproblem beseitigt wurde.
> Insgesamt hat das Unternehmen in diesem Zusammenhang vier Schwachstellen geschlossen.
> Drei der Lücken haben den höchstmöglichen Schweregrad von 10.0.
>
> Oracle bedankt sich unter anderem bei dem Sicherheitsexperten Adam Gowdiak für das Aufspüren der Lücken und
bestätigt damit indirekt seine Aussage, dass das Unternehmen bereits seit April über die Schwachstellen
informiert ist.
Quelle Heise
[/1/2OT]
Und nein - ich kenne das mit XP nicht, ich bin selber derjeinge welcher in "meiner" Firma das Netzwerk gebaut hat und
pflegt und "ich" bin kein Domainadmin.
Gruß
Vielen Dank für diesen Hinweis!
Zitat von @coltseavers:
"normalen" Webseiten wie z.B. wetter.de, wo z.B. eine Zeit lang der Code über infizierte Werbebanner verbreitet
wurde.
"normalen" Webseiten wie z.B. wetter.de, wo z.B. eine Zeit lang der Code über infizierte Werbebanner verbreitet
wurde.
Dagegen helfen Addblocker wie z.B. Addblock plus.
Und der SUer mußt trotzdem sensibilisiert werden.
Und ganz wichtig: Wenn eine Infektion imemr wiederkommt, muß frisch installiert werden und nicht einfach nur imemr wieder "repariert".
lks
