[gelöst] Mysteriöse Malwarebytes Trojaner Meldung bei Outlook, trotz Backup

[MSFreak]

Der Defender und andere AVs und ISS updaten zuverlässig ihre Viren-Signatur, wenn es absolut nötig ist, und da MB das halbstündlich bis stündlich macht, mag ja toll sein, aber du hast jetzt ein Problem mit MB und nicht wir

 

[IngoBingo]

Nur eine Sache noch: Dass das erst am nächsten Tag auftrat, hängt damit zusammen, dass ich nach dem Lesen dieser E-Mail, Outlook direkt beendet habe und deshalb gar nicht den Fehler sehen konnte. Deshalb erst am nächsten Tag!

Zum Lesen musste die Mail aber ja mindestens einmal geöffnet werden. Und da war der entsprechende Server noch nicht als "böse" bemängelt worden. Ansonsten hättest du die Meldung dort auch gleich bekommen.

Im übrigen verlasse ich mich nicht nur auf MB, sondern Windows bietet ja an, das System zusätzlich zum eigenen AV-Programm mit zu schützen. Das funzt aber nur, wenn man MB NICHT im Windows-Sicherheitscenter registriert. Und genau das habe ich auch so gemacht. Der Defender ist also trotzdem mit aktiv. Dass zwei AV-Programme kontraproduktiv sind, ist mir schon klar, aber wenn Windows das von sich aus anbietet, kann es so verkehrt nicht sein.

Nein, Windows bietet das so nicht an und Microsoft warnt auch ausdrücklich davor.
Sie verhindern es nur nicht aktiv.

Man kann Malwarebytes wohl ohne den Hintergrundscan als reinen "on demand" Scanner laufen lassen. Quasi für die zweite Meinung - und dann nur für den Scan von Datenträgern. Das ist bei dir aber offensichtlich nicht der Fall.

Das Problem ist, dass du dir mit einem zusätzlichen Scanner halt zusätzliche Problemquellen aufs System holst und vor allem auch weitere Angriffsfläche. Waren vorher 100 Prozesse im System, sind es hinterher vielleicht 110. Hatte eine Schadsoftware vorher 100 Angriffspunkte, sind es hinterher halt 110. Mehr Software macht ein System zuerst mal unsicherer.

Warum ich ungerne nicht nur den Defender nutze? Es ist nicht nur einmal vorgekommen, dass mehrere Tage lang keine Virendefinitionen zur Verfügung standen. Das hat mich genervt.

Die lokalen Definitionen sind heute relativ unwichtig, da bei Standard-Einstellungen sowieso entsprechende Infos aus der Cloud abgeglichen werden. Nicht nur beim Defender.

Bei einer Datei wird sowohl gegen die lokale Signatur geprüft, als auch ein entsprechender Hash mit den Informationen in der Cloud abgeglichen. Ist die Datei nicht bekannt, wird sie entsprechend hochgeladen und mit aktuellsten Signaturen online gescannt.

Außerdem wäre es töricht, nur MB laufen zu lassen, da meines Wissens (...) MB keine Firewall ist, wie der Defender.

"Der Defender" ist an sich auch nur ein Virenscanner. Die Windows Firewall ist eine eigene Komponente, wird aber natürlich als Teil der Windows Sicherheitsfunktionen auch gerne mit unter dem Label "Defender" geführt.

 

[Gelöschtes Mitglied 122354]

Wenn es nichts zu aktualisieren gibt kann auch MB nicht halbstündlich bis stündlich aktualisieren.
Im Übrigen verlasse ich mich seit Win7 auf den Schutz von Microsoft ( MSE ) und habe bisher keine Probleme gehabt.
Ich nutze MB auch, aber nur wenn ich einen begründeten Verdacht habe und der Defender sich nicht rührt.
Ich führe MB nur von einem Notfall-Stick aus, den habe ich mir über c't erstellt habe und der wird 1x im Monat aktualisiert.

Quelle: www.heise.de

 

[MSFreak]

Im Übrigen verlasse ich mich seit Win7 auf den Schutz von Microsoft ( MSE ) und habe bisher keine Probleme gehabt.

Unter Windows 10/11 wird keinerlei externe AV oder ISS mehr benötigt, unabhängig davon, dass das Defender Security Center vollkommen ausreichend und gut ist, machen genannte externe Programme nichts als Probleme, spätestens beim nächsten Windows Funktionsupdate (Upgrade).
Der Defender ist speziell auf Windows 10/11 abgestimmt und schneidet bei Test-Magazinen vollkommen ebenbürtig ab und mit weniger Problemen bei Updates.
Den Windows Defender kann man inzwischen als vollwertige Suite ansehen:
- Antivirus
- Anti-Ransomware
- Exploitschutz
- Orderschutz (optional)

Und einst sollte man beherzigen, kein noch so als gut oder perfekt angepriesenes Antivirenprogramm ersetzt den logischen Menschenverstand und das gesunde Misstrauen im Internet.

 

[Gelöschtes Mitglied 122699]

Und ja - auch in der Zeit, in der von Microsoft lange nichts kommt. Ok - mit einer Ausnahme: Vor etwa einer Woche gab es auch dort eine Pause von etwa zwei Tagen. Das war es dann aber auch. Bei MS kam das oft vor und auch schon bis zu einer Woche. Das ist definitiv zu oft und zu lange. Ja - ich weiß - es gibt nicht DEN Schutz! Kann es ja auch nicht, da nur die Bekannten aktualisiert werden können. Logisch. Wer die totale Sicherheit will, der ist sowieso im Leben falsch, denn die gibt es nirgends. Aber man muss es ja nicht noch zusätzlich schlimmer machen, als es eh schon ist.

Wenn ich das Wissen hätte, von dem ich schon gelesen habe (ob das auch an dem ist, kann ich nicht beurteilen), dann gibt es welche, die brauchen gar kein AV, sondern können einen PC so dicht machen, dass keiner rein kommt. Wie das geht (Nur mit Firewall oder auch weiteren Einstellungen), entzieht sich meiner Kenntnis. Da wird dann immer nur angedeutet, anstatt die Leute mal aufzuklären.

Obwohl - ich glaube nicht, dass professionelle Hacker sich davon aufhalten lassen.

"Und einst sollte man beherzigen, kein noch so als gut oder perfekt angepriesenes Antivirenprogramm ersetzt den logischen Menschenverstand und das gesunde Misstrauen im Internet."

Dem ist nichts hinzuzufügen!

 

[Gelöschtes Mitglied 122354]

"Und einst sollte man beherzigen, kein noch so als gut oder perfekt angepriesenes Antivirenprogramm ersetzt den logischen Menschenverstand und das gesunde Misstrauen im Internet."

Dem ist nichts hinzuzufügen!

So ist es und nicht anders.

 

[IngoBingo]

Bei MS kam das oft vor und auch schon bis zu einer Woche. Das ist definitiv zu oft und zu lange.

Normalerweise kommen Definitionsupdates beim Defender zwischen zwei und vier Mal am Tag. Je nachdem wie viele neue Dinge es denn zu erkennen gibt.

Wenn ich das Wissen hätte, von dem ich schon gelesen habe (ob das auch an dem ist, kann ich nicht beurteilen), dann gibt es welche, die brauchen gar kein AV, sondern können einen PC so dicht machen, dass keiner rein kommt. Wie das geht (Nur mit Firewall oder auch weiteren Einstellungen), entzieht sich meiner Kenntnis. Da wird dann immer nur angedeutet, anstatt die Leute mal aufzuklären.

Führe nichts aus, was du nicht kennst.

Als einzelner Nutzer ist sowas kaum sinnvoll hinzubekommen, denn beim Normalo ist ja der Benutzer selbst das Angriffsziel und nicht irgendwelche komplexen Sicherheitslücken der Software. Wenn dir jemand eine Mail schreibt, in der dir jemand glaubwürdig macht, du müsstest jetzt unbedingt sofort ein bestimmtes Programm ausführen und das ist so glaubwürdig gestaltet, dass du davon überzeugt wirst, dann hilft keine selbst verwaltete Sicherheit mehr. Du wirst dann alle selbst aufgebauten Sicherheitsfunktionen umgehen, denn du willst in der Situation ja das Programm unbedingt ausführen.

In verwalteten Umgebungen ist das etwas einfacher. Der Benutzer hat keine Adminrechte und darf schlicht nichts aus Ordnern ausführen, in die er schreiben darf. Egal was er wo runterlädt, er kann nichts damit anfangen.

Selbst da hat man natürlich noch einen Virenscanner, aber er ist eher dafür da, den Admins zu berichten, was grad so passiert. Denn wirklich passieren kann an sich nichts.

Ansonsten gibt es halt viele Leute, die sich da überschätzen und einfach sagen, dass sie halt keinen Virenschutz bräuchten, weil sie ja Brain.exe hätten. Ja, dummerweise schützt Brain.exe eben nicht davor, wenn doch mal eine Lücke beispielsweise im Browser klafft und darüber komische Dinge passieren. Ganz ohne, dass der Benutzer vor dem PC - und damit sein Brain.exe - es überhaupt mitbekommen.

Obwohl - ich glaube nicht, dass professionelle Hacker sich davon aufhalten lassen.

Nein, aber die wollen Geld verdienen und geben sich normalerweise nicht mit Privatnutzern ab.

Andererseits hacken die auch selten tatsächlich Firmen. Wenn in der Presse zu lesen ist, dass mal wieder jemand gehackt wurde, heißt das meistens, dass die IT-Umgebung so dämlich konfiguriert war, dass jemand einen Mailanhang runterladen und ausführen konnte und dann als normaler Benutzer auch gleich noch jegliche Sicherheitsfunktionen - so denn überhaupt vorhanden - umgehen konnte.

Die wurden nicht gehackt! Denen wurde eindrucksvoll demonstriert, dass die IT-Sicherheit sträflich vernachlässigt haben. Und leider müssen sie das dann einmal sehr teuer bezahlen.

 

[Gelöschtes Mitglied 122699]

Ich habe zu dem Thema mal noch 'ne andere Frage:
Habe gelesen, dass es Schadsoftware gibt, die den RAM von GraKa-Karten befällt.

Wie bekommt man sowas raus und wie bekommt man das weg? Neue GraKa kaufen kann es bei den heutigen Preisen ja net sein.

 

[MSFreak]

M.W. kann die Kernisolierung des Defenders sowas unterbinden.
Geräteschutz in Windows-Sicherheit

 

[IngoBingo]

Habe gelesen, dass es Schadsoftware gibt, die den RAM von GraKa-Karten befällt.
Wie bekommt man sowas raus und wie bekommt man das weg?

Vermutlich bezieht sich das auf diese Geschichte:

Cybercriminal sells tool to hide malware in AMD, NVIDIA GPUs

Cybercriminals are making strides towards attacks with malware that executes code from the graphics processing unit (GPU) of a compromised system.

www.bleepingcomputer.com

Dazu finden sich aber leider wenig Details. Die Schadsoftware muss zuerst mal in den RAM geladen werden. RAM ist ein flüchtiger Speicher. Strom aus, RAM leer.
Man wird solche Schadsoftware also greifen müssen, wenn sie auf dem Weg zum RAM der Grafikkarte ist.

Da steht nichts davon, dass die Grafikkarte dauerhaft befallen wird. Der RAM der Grafikkarte ist nur ein temporäres Versteck vor Virenscannern, die darauf nicht zugreifen (können).

Ob das überhaupt in der Realität außerhalb von Hackerforen tatsächlich genutzt wird, wäre mir so nicht bekannt.

 

[Webwatcher]

. Wenn dir jemand eine Mail schreibt, in der dir jemand glaubwürdig macht, du müsstest jetzt unbedingt sofort ein bestimmtes Programm ausführen und das ist so glaubwürdig gestaltet, dass du davon überzeugt wirst, dann hilft keine selbst verwaltete Sicherheit mehr. Du wirst dann alle selbst aufgebauten Sicherheitsfunktionen umgehen, denn du willst in der Situation ja das Programm unbedingt ausführen.

Im Grunde trifft die Bezeichnung Hacker nur für einen kleinen Teil zu z.B Brute-Force-Angriffe und Angriffe über sträflich vernachlässigte IT-Sicherheitsmaßnahmen.

Auf den größten Teil würde eher die Bezeichnung Trapper = Fallensteller passen. Es werden Fallen aufgestellt (z.B. Emailanhänge) in die unvorsichtige User tappen und damit Tür und Tor für den Einbruch öffnen.

 

[Gelöschtes Mitglied 122699]

Betrifft: Kernisolierung

Da ist schon das nächste Problem, an dem ich aber nicht unschuldig bin. Als Gamer nutze ich nicht nur die beleuchtete G910, sondern natürlich auch die dazugehörige Gaming-Software von Logitech. Leider gibt es da ein ganz massives Problem, nämlich die Sch....-Treiber der Software.

Will man nämlich die Kernisolierung einschalten, bekommt man von Microsoft eine Liste mit inkompatiblen Treibern. Allesamt von der Logitech-Gaming-Software, die man bitte aktualisieren möchte. Nur leider gibt es keine.

Eine Lösung von Logitech gibt es nicht. Eine Anfrage an die Firma brachte mir eine Wartezeit, die bis heute anhält. Und das ist lange her!

Bleibt also nur mal wieder Verzicht. Wenn man aber so etwas erwähnt, habe ich schon oft diesen Unfug über die "Eierlegende Wollmilchsau" gehört, die man da erwarten würde, als ob das etwas mit der Lösung des Treiberproblems zu tun hätte. Aber das nur mal so am Rande. Fiel mir gerade so ein.

Alte Gammeltreiber. Und das 2022. Kein Wunder, dass es immer noch Schlupflöcher gibt, die nicht sein müssten.

 

[IngoBingo]

Hat die G910 eine andere Software als die G810? Letztere steht hier vor mir. Mit installiertem Logitech G-Hub und aktivierter Kernisolierung...

 

[Gelöschtes Mitglied 122699]

Kann ich dir net sagen. ich kenne nur eine Gaming-Software von Logitech und an deren Treibern "meckert" Windows rum. ich mach mal nen Bildschirmfoto.

 

[IngoBingo]

Musst du nicht. Einfach bei Logitech in die Downloads schauen.

Downloads - Mechanische RGB-Gaming-Tastatur G910 Orion Spark

support.logi.com

Alte Software deinstalliere, neue drauf. Läuft mit Kernisolierung.


Edit: ach und die alte Gaming Software hat man da auch noch verlinkt und rate mal, was die Versionsinfos sind?

• Updated drivers for Windows 10 and 11 code integrity(HVCI) compatibility
• Security fixes

Hat jetzt aber eigentlich auch nichts mehr mit dem ursprünglichen Thema des Threads zu tun.

 

[Gelöschtes Mitglied 122354]

Der "erste Schutzwall" ist sowieso der Browser. Ein gut konfigurierter Browser macht einen Defender "fast" arbeitslos, dazu gehört ein guter Blocker und schon passt es.

 

[Gelöschtes Mitglied 122699]

Da ich nichts weiter von Logitech drauf habe, gehe ich mal davon aus, dass es nur die Software sein kann...

Ja - hast ja recht. Fiel mir nur eben so ein, weil du die Kernisolierung erwähnt hattest. SORRY!

Danke für den Link - und es sieht so aus, als ob es mein (halber) Fehler ist, denn ich habe nicht die "GHub-Software sondern die "Alte". hatte damals mal über die GHub gelesen, dass die wohl abartig schlecht sein soll. Außerdem habe ich für 'nen Haufen Games die ganzen Farbprofile eingestellt und alles im Sparmodus runtergedreht. Alles neu machen??? Mich gruselts gerade extrem...

 

[IngoBingo]

Wie oben noch ergänzt, auch für die alte Software gibt es entsprechende Updates. Sind unten auf der Seite unterhalb der G-Hub Software zu finden.

 

[Gelöschtes Mitglied 122699]

ups - sehe grad was von "2022-05-25". Vielleicht sollte ich mir doch mal die Arbeit machen.
Alle Farbprofile neu.... Oder kannst du meine Paranoia heilen, indem du mir "versicherst", dass die Profile bleiben??
So oder so - Kernisolierung ist definitiv wichtiger!

 

[IngoBingo]

Solange du bei der Gaming-Software bleibst, ist die Chance groß, dass die Profile bei einem Update erhalten bleiben. Versichern kann dir das niemand.