Kaspersky
Question

Mögliche Infektion + 1000 Fragen

  • 20 August 2019
  • 8 replies
  • 436 views

Hallo!

Vorweg: Win 7 64 bit, KIS 2019, Firefox

Ich habe gestern arglos auf noctua(punkt)at (= Hersteller von PC-Hardware) herumgesurft.
Unabsichtlich habe ich dabei auf die chinesische Sprachversion der Seite geklickt (Die Website blieb gleich (.at), nur eben auf chinesisch). Plötzlich poppten jedoch 2 Firefox-Downloadfenster auf. Ich klickte sofort auf "Abbrechen" und schloss die Seite.
Ich war jedoch so dumm und wollte es "genauer" wissen: Erneut Chinaversion der Seite geöffnet, wieder 2 Downloadfenster. Angeblich wären es SWF-Dateien gewesen (laut Wikipedia Shockwave Flash), Quelle: youku(punkt)com (= Chinesenpendent zu Youtube). Dann natürlich wieder auf Abbrechen geklickt. Ich ging jedoch wieder auf die deutschsprachige Version der Seite und bemerkte, dass sie ziemlich langsam lud.
- Kurze Randnotiz: Ich habe weder Flash noch Java installiert. -
Gleich danach habe ich eine Schnelle und eine Vollständige Untersuchung ausgeführt und mir Malwarebytes (ohne Abo) heruntergeladen und ebenfalls gescannt.
Resultat: nirgendwo ein Fund, auch kein Eintrag in den Berichten, dass KIS etwas entdeckt, blockiert oder gemacht hätte.

Irgendwie habe ich trotzdem ein mulmiges Gefühl, da mir bei früheren Downloads aufgefallen ist, dass Firefox, obwohl ich noch nicht auf "Datei speichern" geklickt habe, schon beginnt herunterzuladen und irgendwo zwischenzuspeichern.

Das einzige Auffällige ist, dass der Arbeitsspeicher im Leerlauf subjektiv gefühlt höher ausgelastet ist (1.67 GB statt ~1 +/- 0.2 GB) und es einen svchost(punkt)exe-Prozess mit ~167.000K gibt.

Was meint ihr, habe ich mir etwas eingefangen?
Hättet ihr noch irgendwelche Tipps für mich?

Ich bin noch am Überlegen, ob ich das Kaspersky Virus Removal Tool oder die Rescue Disk herunterladen und ausführen soll.

Apropos Rescue Disc:
Ich habe noch eine KIS2016 CD mit einer älteren Version der Rescue Disk darauf herumliegen. Kann ich die auch noch verwenden oder sollte ich mir eine neue bootbare DVD mit der aktuellen Version erstellen?
Kann man sich unter Win7 oder 10 die DVD auch ohne die auf der Support-Seite aufgeführten Programme erstellen? Die scheinen mir persönlich nicht gerade vertrauenswürdig und dementsprechend ist meine Freude, das Zeug herunterzuladen und zu installieren, nicht gerade groß.

Kurze Frage zu Scans/Untersuchungen allgemein:
Stimmt es, dass man Untersuchungen besser mit aktiver Internetverbindung laufen lassen sollte? Normalerweise trenne ich nämlich die Verbindung, wenn ich länger "afk" bin und die Vollständige Untersuchung ausführe.
Gilt das auch für das Virus Removal Tool, die Rescue Disk und Malwarebytes, dass die Verbindung aktiv sien soll?

Sorry für die lange Schreiberei, bei so Virenzeug bin ich immer ein bisschen paranoid. 😜
Ich hoffe, ihr könnt mir helfen.
Vielen Dank fürs Lesen und danke im Voraus für euer Bemühen.

PS: Ich habe gerade noch einen benutzerdefinierten Scan mit Malwarebytes, der weit über 4 Stunden gedauert hat, gemacht. Kein Fund, allerdings ohne aktive Internetverb..

8 replies

Userlevel 4
Badge
https://www.virustotal.com/gui/file/a8bb1b34123eefaf5db9dc48cac2e4cfaa58d5160384893bfc6f8e452ab92f66/detection

Laut Virustotal wird die Datei von keinem AV-Hersteller als "böse" eingestuft.
Die Datei nennt sich übrigens "youkuoffline.swf"
Ich bin mir zwar nicht mehr ganz sicher, aber die beiden Downloads hatten - so glaube ich - andere Namen. Eine Datei hätte angeblich eine größe von ~16 MB, kB gehabt oder so ähnlich, daran erinnere ich mich grob.
Userlevel 4
Badge
16,33 kb
steht auch unter „Details“ bei Virustotal
Sorry und danke! 😉
Wie bist du auf diese Datei gekommen? Wenn ich bei VirusTotal danach suche, kommt nichts.
Und warum zum 👹 wird sie scheinbar automatisch heruntergeladen?
mfg
Userlevel 4
Badge
Aber der Link den Ich gepostet habe geht doch oder? Ich habe die Datei hochgeladen !
warum die Datei(en) automatisch geladen wird hab ich leider kein Plan
Userlevel 7
Badge +4
Bei der .swf könnte es sich um Werbung oder eine animierte Produktvorstellung handeln.
Kann man mit einem auf einer Seite eingebetteten Video vergleichen, die werden (mit den Standardeinstellungen) auch ungefragt heruntergeladen (und oft auch automatisch gestartet).
Bei der .swf könnte es sich um Werbung oder eine animierte Produktvorstellung handeln.
Kann man mit einem auf einer Seite eingebetteten Video vergleichen, die werden (mit den Standardeinstellungen) auch ungefragt heruntergeladen (und oft auch automatisch gestartet).


Naja mit geblockten Cookies, Adblocker, deaktivierter Auto-Wiedergabe etc. haben mich die plötzlich auftauchenden Downloads doch ziemlich erschrocken.
Ich habe zwar mit der IT nicht viel am Hut, aber heutzutage muss man im Internet damit rechnen, dass hinter allem alles stecken könnte.

Das einzige Auffällige ist, dass der Arbeitsspeicher im Leerlauf subjektiv gefühlt höher ausgelastet ist (1.67 GB statt ~1 +/- 0.2 GB) und es einen svchost(punkt)exe-Prozess mit ~167.000K gibt.


Sind solche großen svchost-Prozesse normal unter Win7? Vorher ist mir das nämlich nicht aufgefallen.

mfg

PS:
Ich habe noch eine KIS2016 CD mit einer älteren Version der Rescue Disk darauf herumliegen. Kann ich die auch noch verwenden oder sollte ich mir eine neue bootbare DVD mit der aktuellen Version erstellen?
Kann man sich unter Win7 oder 10 die DVD auch ohne die auf der Support-Seite aufgeführten Programme erstellen? Die scheinen mir persönlich nicht gerade vertrauenswürdig und dementsprechend ist meine Freude, das Zeug herunterzuladen und zu installieren, nicht gerade groß.

Kurze Frage zu Scans/Untersuchungen allgemein:
Stimmt es, dass man Untersuchungen besser mit aktiver Internetverbindung laufen lassen sollte? Normalerweise trenne ich nämlich die Verbindung, wenn ich länger "afk" bin und die Vollständige Untersuchung ausführe.
Gilt das auch für das Virus Removal Tool, die Rescue Disk und Malwarebytes, dass die Verbindung aktiv sien soll?

Hätte noch jemand ein paar Ideen dazu?
Userlevel 4
Badge


Ich habe noch eine KIS2016 CD mit einer älteren Version der Rescue Disk darauf herumliegen. Kann ich die auch noch verwenden oder sollte ich mir eine neue bootbare DVD mit der aktuellen Version erstellen?
Kann man sich unter Win7 oder 10 die DVD auch ohne die auf der Support-Seite aufgeführten Programme erstellen? Die scheinen mir persönlich nicht gerade vertrauenswürdig und dementsprechend ist meine Freude, das Zeug herunterzuladen und zu installieren, nicht gerade groß.

Kurze Frage zu Scans/Untersuchungen allgemein:
Stimmt es, dass man Untersuchungen besser mit aktiver Internetverbindung laufen lassen sollte? Normalerweise trenne ich nämlich die Verbindung, wenn ich länger "afk" bin und die Vollständige Untersuchung ausführe.
Gilt das auch für das Virus Removal Tool, die Rescue Disk und Malwarebytes, dass die Verbindung aktiv sien soll?
Hätte noch jemand ein paar Ideen dazu?


Wenn Du glaubst das auf deinem PC was "böses" ist dafür würde ich immer eine aktuelle Rescue Disk erstellen, beruhigt ja dann auch etwas das Gefühl.

Zum Scann: Ja es ist schon sinnvoll den Scann mit Internetverbindung durchzuführen. Kaspersky bekommt ca. 3-4 mal am Tag ein Update der Signaturen, der Rest wird über die Cloud gemacht. Aber das ist nicht nur bei Kaspersky so das ein "online-Scann" genauer ist als ein offline-Scann

Reply / Ответить