Anzeige

Virenscanner ergänzen - Tool überwacht alle Systemdateien


#1
Hallo

Trotz Virenscanner hab ich mir vor zwei Tagen einen Abklatsch vom Gema-Virus eingefangen. Computer gesperrt, Geld zahlen mit ucash etc. pp - so was nervt!! Als das Ding endlich inaktiv war hab ich´s mit meinem AV Programm untersucht. Resulat: Kein Virus gefunden - na toll...

Inzwischen benutz ich ein Tool (md5 file hasher), das bei mir alle 3 Stunden den Windowsordner prüft, und mir alle geänderten DLL SYS und EXE Dateien meldet. Auch neue EXE Dateien erkennt das Tool sofort. Jetzt seh ich gleich ob eine Anwendung von Zauberhand irdendwo im Systemordner auftaucht oder DLL Dateien plötzlich geändert werden...

Das Programm sit sehr praktisch und ergänzt meiner Meinung nach den Virenscanner perfekt, weil man halt über neue oder geänderte Systemdateien informiert wird und man selbst entscheiden kann ob das jetzt erwünscht ist oder ob ein Trojaner etc. vielleicht die Ursache ist.

Den Md5 File Hasher kann man auf Computer Bild oder auf digital-tronic.de runterladen.

Aber jetzt zu meiner Frage, wie überwacht man am Besten den eigenen Computer**** Mir gehts in erster Linie um die EXE, SYS, DLL Dateien...
 

sheel

I love Asm
#2
Hi

Der Virenscanner macht auch Änderungsüberwachung, das sollte nicht das Problem sein.

Problem ist, wenn sich mal was festgesetzt hat kann man alle Schutz- und Reparaturmöglichkeiten im verseuchten Betriebssystem vergessen. Kann natürlich helfen, aber man kann sich nicht sicher sein, alles entfernt zu haben.

zB. den Filesystemtreiber so zu beeinflussen, dass er bei Auflistungen bestimmte Dateien weglässt, ist alles Andere als unmöglich. Damit sind dann sofort alle Untersuchungsprogramme auf Dateiebene sinnlos.

Alles platt machen ist noch immer die verlässlichste Säuberungsmethode...
 
#3
Das Problem ist mehr, dass man sich auf den Virenscanner verlässt. In meinem Fall hat der Kasper 2012 mit den höchsten Einstellung und heuristischer Untersuchung etc. den Virus nicht gemeldet gescheige denn entfernt... Würde ich jetzt Windows etc. komplett neu installieren, so kann es gut sein, dass der gleiche oder ein ähnlicher Virus wieder auf das System kommt und mein AV Programm zum wiederholten Male nichts meldet.

Fakt ist, dass bestimmte Dateitypen ein potentielles Risiko darstellen können. Und wenn Systemdateien verändert werden und der Virenscanner nichts meldet, so meldet mir immerhin der Md5 file Hasher die Veränderung. Das eigenlichte Problem ist damit natürlich nicht behoben, aber man hat zumindest die Information erhalten, dass die Datei XY neu gefunden und irgendwelche DLLs geändert wurden.

Stimmt, bei Problemen mit dem Filesystemtreiber oder mit dem Rootkit stoßen auch die besten Virenscanner an ihre Grenzen, aber das ist ja eine typische Windowskrankheit...
 

sheel

I love Asm
#6
Es mag vielleicht paranoid klingen, aber einem AV Programm darf man nicht blind vertrauen
Wollt ich damit nicht sagen.
Aber: Dem AV ist mehr zuzutrauen, als einem einfachen Hashprogramm,
dass man sehr schnell selbst programmieren kann.

Zu der Problematik, dass der Virus bei dir nicht gefunden wurde:
Angenommen, das Hashprogramm meldet geänderte Dateien.
Was dann?

Jedesmal im Detail zu untersuchen, welche Funktionalität geändert wurde
ist jenseits alles vertretbaren Aufwands.
Und auf Verdacht hin einzelne Dateien in den Ursprungszustand zurücksetzen
macht mehr Probleme, als es löst.
Updates und Programm(de)installationen hat man zum Glück mehr als Viren.
 
#7
Grundsätzlich leisten Virenscanner, egal von welchem Hersteller, gute Arbeit. Was mir allerdings auffällt ist, dass die AV Programme immer autonomer agieren und man selbst, abgesehen von Statusmeldungen wie "Ihr Computer ist sicher", nur wenig mitbekommt was genau im PC vorgeht.

Ich sag ja nicht, dass das Hashprogramm den AV ersetzt, vielmehr ergänzt es den AV mit einer hilfreichen Funktion. Mal angenommen der Hasher sagt, dass eine neue Datei namens TrojanerEigenbau.exe im Windowsordner gefunden wurde, dann sagt mir mein gesunder Menschenverstand vielleicht mehr als die AV Meldung "Keine Bedrohung gefunden". Das gilt besonders dann, wenn keine neue Software oder Updates installiert wurden und trotzdem irgendwelche Änderungen an DLL SYS oder EXE Dateien gefunden werden.

Im Grunde will ich ja nur den Windows und Systemordner ein bisschen überwachen. Dazu eignet sich Md5 file Hasher perfekt. Mit einem Klick werden alle potentiell gefährdeten Dateien geprüft und alle anderen Dateiänderungen werden ignoriert. Welche Alternativen gäbe es sonst noch?
 
Anzeige

Neue Beiträge

Anzeige