Auf mehrfachen Wünsch - hier meine Konfiguration von AntiVir-Personal

Ich benutze DSL und starte dies bei Betriebsbeginn !!! Zu Analogmodems
besteht kein Unterschied, es dauert eben nur etwas länger für die meist
1,9 Mbyte gegen Viren "In The Wild". Nur dann, wenn auf eine ganz neue
Malware reagiert werden muß, kann die Möglichkeit auf längeres Download
bestehen. Das soll es uns aber Wert sein.

Die entscheidente Optionen im Hauptprogramm:
Optionsseite Internetupdate:
(x) Netzwerk oder Modem-Verbindungsaufbau durch Windows

[X] Automatisches Internet Update Downloads zulassen
dazu Button [Einstellungen] klicken:
[X] Eine für das Internet Update geöffnete DFÜ-Verbindung wieder beenden

Optionsseite Diverses:
[X] Guard beim Systemstart laden
[ ] Auf veraltete Virendefinitionsdatei prüfen (wichtig)
[X] AntiVir beenden, wenn über Shellerweiterung gestartet wurde

Das war in den Opionen des Hauptprogrammes das Wichtigste bezüglich des
täglichen Update.

Nun im Hauptprogramm auf Scheduler (Kalenderblatt) und dort klicken auf
[Einfügen] und Registerseite [Internet Update] Titel kann übernommen
werden und nun auf [Planen] klicken.
Häufigkeit: [Täglich] wählen
Uhrzeit: 7.00 Uhr (sis wurscht, Hauptsache vor dem täglichen Systemstart)

- Neustart von Windows -

Jetzt klicken wir mit RECHTS im Systray auf das Symbol von AntiVir und
wählen "Guard konfigurieren" :

Suchen - Archive
[X] Alle Archive
[X] Alle Archivtypen

Gerätemodus
(x) Beim Schreiben durchsuchen
[X] Laufzeitgepackte Dateien ...
[X] Lokale Laufwerke
(x) Dateierweiterungsliste benutzen

Register Aktionen
(x) betroffene Dateien wipen
[X] Warnton
[X] Ereignisprotokoll

Register Reparatur
[X] Reparieren mit
[X] Sicherheitskopie

Register Heuristik
[X] Makroviren...
[X] Win32 Dateiheuristik ...
(x) Erkennungsstufe mittel

Register Ausnahmen
Hat machmal Bedeutung bei Programmen die als Schadsoftware erkannt
werden, aber von denen ihr genau wisst, das es keine ist. z.B. Am Anfang
des Jahres 2003 UPX-gepackte EXE'n und DLL's

Register Unerwünschte Programme
Aktiviert werden:
[x] Mögliche schädliche Software (PMS)
[x] Kostenverursachende Einwahlprogramme (Dealer)
[x] Backdoor-Steuersoftware

- Neustart von Windows -


Dadurch das nur beim Schreiben von irgendwoher ankommender Daten (auch
Internet) nach irgendwohin (auch Browsercaches) geprüft wird, ist der
Performanceverlust subjektiv kaum festzustellen. Eine Prüfung des Lesens
erübrigt sich, denn nach der Installation von AntiVir wird automatisch
eine intensive Prüfung des HD-Inhaltes vorgenommen und was geprüft ist,
das braucht nicht ständig neu geprüft werden. E klen bissel Verdraun
müssn wor och ham. Nuwer

Alle anderen Einstellungen des Hauptprogrammes können hier abgeleitet
werden. Das dürfte kaum ein Hinternis sein, oder? Das Ergebnis sind die
morgendlichen drei Klicks für optimalen Schutz vor Malware.

Im übrigen hat mein Provider in den Optionen des kostenlosen Postfaches
die Möglichkeit, virenverseuchte Software bei Eintreffen zu löschen.
Dies hat mich vor wiederholten Angriffen weitestgehend entlastet.

Manfred Fiebig <GeXXXXt> wrote:

> Auf mehrfachen Wünsch - hier meine Konfiguration von AntiVir-Personal

Auf einfachen Wunsch (meinen) eine Nachfrage:
Bist Du eigentlich mit Administratorrechten unterwegs? Oder welche
Änderungen an den Dateirechten hast Du vorgenommen?



Wilfried

Am 29.11.2004 schrieb Manfred Fiebig:

> [...]
> Im übrigen hat mein Provider in den Optionen des kostenlosen Postfaches
> die Möglichkeit, virenverseuchte Software bei Eintreffen zu löschen.
> Dies hat mich vor wiederholten Angriffen weitestgehend entlastet.

Wie kannst du das wissen, wenn es gelöscht wurde?

mfg, pgs

Hallo Manfred Fiebig, Du teiltest mit:

> Auf mehrfachen Wünsch - hier meine Konfiguration von AntiVir-Personal

> Register Aktionen
> (x) betroffene Dateien wipen

Also Spuren (der Einbruchswege) vernichten?

> Register Reparatur
> [X] Reparieren mit
> [X] Sicherheitskopie

Was heisst das? Ist die Malware zur Kontrolle noch vorhanden?

> Register Unerwünschte Programme
> Aktiviert werden:
> [x] Mögliche schädliche Software (PMS)
> [x] Kostenverursachende Einwahlprogramme (Dealer)
> [x] Backdoor-Steuersoftware

(Außer Dialer) Was versteht man darunter? Netcat? (Tight/Ultra-)VNC?
SSH(d) [1]? Reomte Desktop Server AKA Terminalserver? Wird der
Telnet-Server von Windows wenigstens auch gleich mit demoliert?

[1] Alles Programme, die ich in entsprechender Konfiguration auch
einsetze aber nicht unbedingt jedem verfügbar machen wöllte.

Wolfgang

"Patrick G. Stößer" schrieb:

>> Im übrigen hat mein Provider in den Optionen des kostenlosen Postfaches
>> die Möglichkeit, virenverseuchte Software bei Eintreffen zu löschen.
>> Dies hat mich vor wiederholten Angriffen weitestgehend entlastet.
>
> Wie kannst du das wissen, wenn es gelöscht wurde?

Vielleicht werden, wie z. B. bei 1&1, die Mails nicht komplett gelöscht,
sondern nur die verseuchten Anhänge entfernt bzw. durch eine (kleine)
Textdatei mit Informationen über den gelöschten Virus ersetzt. Dadurch hat
man noch eine Kontrolle, muss sich aber trotzdem nicht mit wurmverstopften
Postfächern und/oder potentiell gefährlichen Attachments herumschlagen.

Gruß

Michael

Am 29.11.2004 20:05 tippte Wilfried Kramer:

> Auf einfachen Wunsch (meinen) eine Nachfrage:
> Bist Du eigentlich mit Administratorrechten unterwegs? Oder welche
> Änderungen an den Dateirechten hast Du vorgenommen?

Diese Einstellungen wurden als Admin vorgenommen und sind darum für
jeden Benutzer gültig.

Am 30.11.2004 09:33 tippte Wolfgang Ewert:
>>Register Aktionen
>>(x) betroffene Dateien wipen
> Also Spuren (der Einbruchswege) vernichten?
Der Titel der Box heist doch:
"Aktion, falls die Datei nicht repariert"
Es handelt sich also um Dateien, die nicht reparabel sind. Was willst du
anderes mit ihnen anstellen?

>>Register Reparatur
>>[X] Reparieren mit
>>[X] Sicherheitskopie
> Was heisst das? Ist die Malware zur Kontrolle noch vorhanden?
Vor ca. 10 Jahren hat ein anderer, damals sehr bekannter Scanner, alle
wesentlichen Dateien meines Borland C++ 1.0 weggelöscht, weil er darin
angeblich Schadcode fand. Was glaubst du, wie ich geguggt habe?
Vor knapp 2 Jahren wurde ich von einigen Usern hart attackiert, weil
sich in den von mir compilerten und mit UPX komprimierten Programmen,
angeblich ein Virus versteckt hatte.

Reparieren heist doch, Schadcode entfernen. Auf diese Art und Weise ist
es mir möglich festzustellen, welchen Binär- oder Scriptcode er erkannt
hat. Natürlich hast du recht, wenn das Zeug Otto Normaluser schrettern
sollte. Es ist aber meine Konfiguration und du weisst nun warum!

>>Register Unerwünschte Programme
>>Aktiviert werden:
>>[x] Mögliche schädliche Software (PMS)
>>[x] Kostenverursachende Einwahlprogramme (Dealer)
>>[x] Backdoor-Steuersoftware
> (Außer Dialer) Was versteht man darunter? Netcat? (Tight/Ultra-)VNC?
> SSH(d) [1]? Reomte Desktop Server AKA Terminalserver? Wird der
> Telnet-Server von Windows wenigstens auch gleich mit demoliert?
Damit sind doch ganz offensichtlich diese netten kleinen Programmchen
gemeint, welche du einfach mal mit "OK" bestätigen sollst und deren
Anbieter sich dann schlichtweg als Internetzugang (incl. Umleitung auf
eine Porno- oder Warezseiten etc.) ausgeben. Weitere Erklärungen findest
du in dieser NG.

Falls du glaubst, einen dieser Dealer unbedingt zu benötigen, kannst du
ihn in deiner Ausnahmeliste aufnehmen. Schon haste Ruhe, zahlst und wenn
nicht, meldet sich die nächstliegende Incasso.

Abgesehen davon darfst du diesbezüglich auch mal direkt in Tettnang
nachfragen. Ich kann es bestätigen: Die Mitarbeiter sprechen alle
fliessend deutsch (schwäbln e bissle) und sind sehr freundlich!
Link zum Forum:
[url down]
Ich hab das Proggy nicht erfunden - OK?

Manfred Fiebig schrieb:

> Am 30.11.2004 09:33 tippte Wolfgang Ewert:
>>>Register Aktionen
>>>(x) betroffene Dateien wipen
>> Also Spuren (der Einbruchswege) vernichten?
> Der Titel der Box heist doch:
> "Aktion, falls die Datei nicht repariert"
> Es handelt sich also um Dateien, die nicht reparabel sind. Was willst du
> anderes mit ihnen anstellen?

Du liest zu ungenau. Da steht doch eindeutig "Spuren [...] vernichten".
Wenn man den Angriffsvektor nicht eh schon kennt, sollte man die wenigen
Möglichkeiten ihn herauszufinden nicht vom Scanner vernichten lassen.

>> (Außer Dialer) Was versteht man darunter? Netcat? (Tight/Ultra-)VNC?
>> SSH(d) [1]? Reomte Desktop Server AKA Terminalserver? Wird der
>> Telnet-Server von Windows wenigstens auch gleich mit demoliert?
> Damit sind doch ganz offensichtlich diese netten kleinen Programmchen
> gemeint, welche du einfach mal mit "OK" bestätigen sollst und deren
> Anbieter sich dann schlichtweg als Internetzugang (incl. Umleitung auf
> eine Porno- oder Warezseiten etc.) ausgeben.

Das sind Dialer. Backdoors sind was anderes.

> Weitere Erklärungen findest du in dieser NG.

Ich glaube die hat Wolfgang weniger nötig als Du.

Gruß,
Hilmar

Hallo Manfred Fiebig, Du teiltest mit:

> >>Register Aktionen
> >>(x) betroffene Dateien wipen
> > Also Spuren (der Einbruchswege) vernichten?
> Der Titel der Box heist doch:
> "Aktion, falls die Datei nicht repariert"
> Es handelt sich also um Dateien, die nicht reparabel sind. Was willst du
> anderes mit ihnen anstellen?

Also bei meinem alten McAffe ging alles Malwarezeug in einen infected-
oder-so-Ordner + Logeintrag, was wo lag -aber nur auf Fileebene.

Einzelne Vertreter habe ich halt als Referenz aufgehoben, mit einer
Extension, die (noch!) keine Execute-Gelüste irnkeiner Shell auslösen
dürfte (.bin) + reduzierte Rechte darauf.

> >>[X] Reparieren mit
> >>[X] Sicherheitskopie

> Vor ca. 10 Jahren hat ein anderer, damals sehr bekannter Scanner, alle
> wesentlichen Dateien meines Borland C++ 1.0 weggelöscht, weil er darin
> angeblich Schadcode fand.

Genau sowas meine ich! Und sowas:

> sich in den von mir compilerten und mit UPX komprimierten Programmen,
> angeblich ein Virus versteckt hatte.

> Reparieren heist doch, Schadcode entfernen.

Is auch noch eine Art Zertörung. Hash-Werte auf sowas sollten nicht sher
aussagekräftig sein.

> >>[x] Backdoor-Steuersoftware
> > (Außer Dialer) Was versteht man darunter? Netcat? (Tight/Ultra-)VNC?
> > SSH(d) [1]? Reomte Desktop Server AKA Terminalserver? Wird der
> > Telnet-Server von Windows wenigstens auch gleich mit demoliert?
> Damit sind doch ganz offensichtlich diese netten kleinen Programmchen
> gemeint, welche du einfach mal mit "OK" bestätigen sollst und deren
> Anbieter sich dann schlichtweg als Internetzugang (incl. Umleitung auf
> eine Porno- oder Warezseiten etc.) ausgeben.

Nö, ich meinte die Dialer nicht. Ich frage, wie sie mit ganz
gewöhnlicher Fernsteuersoftware, siehe obige Liste, einschließlich den
MS-Windows-inhärenten umgehen.

> Falls du glaubst, einen dieser Dealer unbedingt zu benötigen, kannst du
> ihn in deiner Ausnahmeliste aufnehmen. Schon haste Ruhe, zahlst und wenn
> nicht, meldet sich die nächstliegende Incasso.

Habe ich gemacht, habe nicht bezahlt aber die Hausaufgaben/Grusskarte/
oder was auch bis heute nicht bekommen :-/ P.S.: Zugang geht über einen
ISDN-IP-Connect-DSL-Router.

Wolfgang

Manfred Fiebig wrote:
> Am 30.11.2004 09:33 tippte Wolfgang Ewert:
>>> Register Aktionen
>>> (x) betroffene Dateien wipen
>>
>> Also Spuren (der Einbruchswege) vernichten?
>
> Der Titel der Box heist doch:
> "Aktion, falls die Datei nicht repariert"
> Es handelt sich also um Dateien, die nicht reparabel sind. Was willst
> du anderes mit ihnen anstellen?

Man will gar nicht reparieren. Man will dokumentieren, was womit
infiziert wurde, und feststellen, auf welchem Weg die Infektion
erfolgte. Dann will man seine Daten sichern und anschließend den Rechner
neu installieren.

cu
59cobalt

Manfred Fiebig <GeXXXXt> wrote:

> Am 29.11.2004 20:05 tippte Wilfried Kramer:
>
>> Auf einfachen Wunsch (meinen) eine Nachfrage:
>> Bist Du eigentlich mit Administratorrechten unterwegs? Oder welche
>> Änderungen an den Dateirechten hast Du vorgenommen?
>
> Diese Einstellungen wurden als Admin vorgenommen und sind darum für
> jeden Benutzer gültig.

Du hast offensichtlich die Frage nicht verstanden. Also noch einmal ganz
deutlich: Sind alle Deine User mit Administratorrechten ausgestattet?
Wenn Du XP Home benutzt, dann heißt das "Computeradministrator". Wenn Du
Professional im Betrieb hast, dann heißt das auch mal "Hauptbenutzer".
Also noch einmal, sind alle Deine Nutzerkonten derart eingerichtet? Oder
sind diese alle als "Eingeschränkte Benutzer" konfiguriert?

Ich frage aus einem ganz bestimmten Grund.



Wilfried

Manfred Fiebig <GeXXXXt> wrote:

> Am 30.11.2004 09:33 tippte Wolfgang Ewert:
>>> Register Aktionen
>>> (x) betroffene Dateien wipen
>> Also Spuren (der Einbruchswege) vernichten?
> Der Titel der Box heist doch:
> "Aktion, falls die Datei nicht repariert"

Dateien will man sowieso nicht reparieren. Und außerdem sollte ein
Scanner so eingestellt sein, daß er in jedem Falle beim User nachfragt.

> Es handelt sich also um Dateien, die nicht reparabel sind. Was willst du
> anderes mit ihnen anstellen?

Zuerst einmal prüfen, ob der Scanner überhaupt recht haben kann. Und
dann beurteilen, ob er überhaupt eine Chance zur Reparatur hat.
AFAIK kann AntiVir z.B. keine Dateien in ZIP-Archiven "reparieren". Das
ist aber noch lange kein Grund, das ganze ZIP zu löschen.


> Vor ca. 10 Jahren hat ein anderer, damals sehr bekannter Scanner, alle
> wesentlichen Dateien meines Borland C++ 1.0 weggelöscht,

Eben deshalb will man sinnvollerweise bei der Detektion keine
automatische Reparatur. Sondern die gezielte Nachfrage. Dann wäre Dein
Problem nämlich gar nicht erst aufgetreten.


> Falls du glaubst, einen dieser Dealer unbedingt zu benötigen,

Das heißt Dialer <Computer-Bild> Sprich "Dei-ä-ler" </Computer-Bild>
Ein Dealer <Computer-Bild> Sprich "Die-ler" </Computer-Bild> verkauft
Gras und andere Rauschmittel.




Wilfried

Ansgar -59cobalt- Wiechers wrote:

> Man will gar nicht reparieren. Man will dokumentieren, was womit
> infiziert wurde, und feststellen, auf welchem Weg die Infektion
> erfolgte. Dann will man seine Daten sichern und anschließend den Rechner
> neu installieren.
^
Vorher will man nachdenken, ob der Schädling überhaupt ausgeführt wurde
oder ob er nur in einer mbox lagert.

Bodo Eggert wrote:
> Ansgar -59cobalt- Wiechers wrote:
>
>> Man will gar nicht reparieren. Man will dokumentieren, was womit
>> infiziert wurde, und feststellen, auf welchem Weg die Infektion
^^^^^^^^^
>> erfolgte. Dann will man seine Daten sichern und anschließend den
>> Rechner neu installieren.
> ^
> Vorher will man nachdenken, ob der Schädling überhaupt ausgeführt
> wurde

Klar.

> oder ob er nur in einer mbox lagert.

Dann will man allerdings immer noch nicht, dass da was repariert oder
gelöscht wird. Weil diverse Virenscanner dann gerne mal die ganze mbox
löschen.

cu
59cobalt

Am 30.11.2004 20:03 tippte Wilfried Kramer:
> Du hast offensichtlich die Frage nicht verstanden. Also noch einmal ganz
> deutlich: Sind alle Deine User mit Administratorrechten ausgestattet?
Nein!
> Wenn Du XP Home benutzt, dann heißt das "Computeradministrator". Wenn Du
> Professional im Betrieb hast, dann heißt das auch mal "Hauptbenutzer".
> Also noch einmal, sind alle Deine Nutzerkonten derart eingerichtet? Oder
> sind diese alle als "Eingeschränkte Benutzer" konfiguriert?
Alle sind "Eingeschränkte Benutzer", ich selbst auch und benutze nur zur
Programm- und HD-pflege das Konto eines "Computeradministrator" mit
Passwort.