Windows Sicherheit - Trojaner - Echtzeitschutz schlechter als vollständiger Scan

Diskutiere Windows Sicherheit - Trojaner - Echtzeitschutz schlechter als vollständiger Scan im Windows 10 Sicherheit Forum im Bereich Windows 10 Foren; Heute habe ich mir erstmals unter dem reinen Schutz des Windows Defenders einen Trojaner beim Internetsurfen eingefangen (Tippfehler bei der...
U

Upgrader

Erfahrener Benutzer
Threadstarter
Mitglied seit
26.12.2017
Beiträge
312
Version
Windows 10, x64, Home-Edition
Heute habe ich mir erstmals unter dem reinen Schutz des Windows Defenders einen Trojaner beim Internetsurfen eingefangen (Tippfehler bei der Eingabe der URL; auf falscher Seite gelandet): Trojan:HTML/FakeAlert.AA

Der Echtzeitschutz war also lückenhaft, ein vollständiger Scan fand schließlich diese Schadsoftware, die seitens Microsoft als "ernsthaft" klassifiziert wurde:
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:HTML/FakeAlert.AA&threatId=-2147224569

Vorhin habe ich den Trojaner über Windows Sicherheit gleich entfernt und lasse gerade einen erneuten vollständigen Scan zur Kontrolle laufen.

Warum findet Windows Sicherheit beim vollständigen Scan einen Trojaner, den der Echtzeitschutz ca. 25 min vorher nicht beanstandet hatte? Was ist, technisch gesehen, der Unterschied zwischen beiden Schutzmechanismen? Richtig und sicherer wäre es, die Schadprorgramme würden gar nicht erst auf dem Rechner landen.
 
#
Schau dir mal diesen Ratgeber an. Dort wird jeder fündig!
Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
runit

runit

Erfahrener Benutzer
Mitglied seit
18.11.2015
Beiträge
6.575
Version
.............1909 Pro 64 bit Build 18363.476
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe 256 GB, Intel Graphic UHD 630
Na ja, das kommt immer darauf an, wie der Trojaner ins System kam, wie sichbar als Datei er da war. Hier wurde die Datei wohl erst später (nach einem Download?) ins System hinterlegt.
 
IT-SK

IT-SK

Erfahrener Benutzer
Mitglied seit
01.11.2015
Beiträge
7.413
Ort
Hummel Hummel, Mors Mor....
Version
1903 Pro 64 bit Build 18362.476
System
I5, 16GB Ram, Nvidia Geforce GTX 760M, SSD Samsung 850 EVO
Moin,
ich vermute der lag im Temp.Ordner und hatte bis dahin " keine (negative) Auswirkung" auf das System.

Natürlich trotzdem nicht prickelnd, aber mangels Erfahrung mit dem Defender
kann ich die genauen Unterschiede nicht benennen.
Vermutlich wäre aber der Defender Echtzeit-Schutz angesprungen, wenn der Trojaner aktiv wird.( Vermutung)
 
U

Upgrader

Erfahrener Benutzer
Threadstarter
Mitglied seit
26.12.2017
Beiträge
312
Version
Windows 10, x64, Home-Edition
ich vermute der lag im Temp.Ordner und hatte bis dahin " keine (negative) Auswirkung" auf das System.
Korrekt, dort befanden sich die "hinterhältigen" Dateien. Ich hoffe natürlich, dass sie bis zu ihrer Entfernung nach ca. 25 min. noch keinen Schaden angerichtet bzw. sensible Daten übertragen hatten.
Natürlich trotzdem nicht prickelnd, aber mangels Erfahrung mit dem Defender
kann ich die genauen Unterschiede nicht benennen.
Vermutlich wäre aber der Defender Echtzeit-Schutz angesprungen, wenn der Trojaner aktiv wird.( Vermutung)
Das wäre halt die Frage. Aber normalerweise gehört so was bereits per Echtzeitschutz herausgefiltert bzw. blockiert, zumal diese Malware so neu nicht ist.

Der vollständige Scan per Windows Sicherheit brachte danach zunächst wieder eine Warnmeldung desselben Trojaners. Wie sich herausstellte, bedeutete das Löschen bzw. Entfernen unter Windows Sicherheit lediglich das Verschieben in den Papierkorb. Nachdem dieser durch mich geleert worden war, fanden sowohl der vollständige Scan, die Offline-Überprüfung seitens Windows Sicherheit als auch der kostenlose Online-Scanner von ESET keine Malware mehr. Ich hoffe, das war's so weit. Denn für eine clean installation von Windows 10 mit dem ganzen Drumherum habe ich keine Nerven.
 
Netlogger

Netlogger

Erfahrener Benutzer
Mitglied seit
14.03.2015
Beiträge
164
Ort
Nürnberg
Version
Windows 10 Home 64bit 1909 (Build 18363.476
System
Intel(R) Core(TM) i3 550CPU 8GB RAM , R7 270 Serie
Malwarebytes mal laufen lassen schaden kann es ja nicht ;)
 
U

Upgrader

Erfahrener Benutzer
Threadstarter
Mitglied seit
26.12.2017
Beiträge
312
Version
Windows 10, x64, Home-Edition
.
- - - Aktualisiert () - - -


- - - Aktualisiert () - - -

Malwarebytes mal laufen lassen schaden kann es ja nicht
Danke für die Empfehlung, aber für heute reicht's erst einmal. Dieser dreifache Check hinterher sollte als Sicherheit genügen:
... fanden sowohl der vollständige Scan, die Offline-Überprüfung seitens Windows Sicherheit als auch der kostenlose Online-Scanner von ESET keine Malware mehr.
 
Zuletzt bearbeitet:
areiland

areiland

Super-Moderator
Mitglied seit
25.08.2014
Beiträge
26.168
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
Wie lief das denn genau ab? Ich mein, Du hattest erst keinen Alarm und anschließend hast Du einen Fullscan durchgeführt, um die Bedrohung zu identifizieren. Was bewog Dich dazu, den Fullscan trotzdem anzustoßen?
 
U

Upgrader

Erfahrener Benutzer
Threadstarter
Mitglied seit
26.12.2017
Beiträge
312
Version
Windows 10, x64, Home-Edition
Exakt so war's. Ich landete, nachdem ich mich bei der Eingabe der URL vertippt hatte, auf einer Website, die offensichtlich auf Betrug ausgelegt war. Der Firefox ließ sich nur noch per Taskmanager schließen. Eine Warnmeldung seitens des Defenders erfolgte nicht. Zur Sicherheit führte ich hinterher eine vollständige Überprüfung mittels Windows Sicherheit durch, die den in #1 bereits genannten Trojaner fand (lt. Microsoft schwerwiegend).
 
Zuletzt bearbeitet von einem Moderator:
Heinz

Heinz

Erfahrener Benutzer
Mitglied seit
01.09.2017
Beiträge
3.012
Ort
Indonesia
Version
Insider
System
Toshiba NB
Ich frage mich,warum denn der Defender nicht bereits vor dem öffnen des Suchbegriffs reagiert hat ?
Dies geschieht zumindest bei mir mit einem roten Bildschirm und der dringenden Empfehlung,die Seite nicht zu öffnen.
 
runit

runit

Erfahrener Benutzer
Mitglied seit
18.11.2015
Beiträge
6.575
Version
.............1909 Pro 64 bit Build 18363.476
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe 256 GB, Intel Graphic UHD 630
Das wäre wohl der Smart-Screen als Browser-Schutz, von dem Du sprichst. Der greift ja nicht in allen Browsern. Da ist der Defender noch gar nicht tätig. Der prüft ja nur Downloads, wenn die auf den Rechner kommen sollen.

Ich weiß es aber nicht, wie es genau funktioniert, wenn man eine verseuchte Seite aufgerufen hat, auf welche Weise ein Trojaner dann ins System kommt.
 
areiland

areiland

Super-Moderator
Mitglied seit
25.08.2014
Beiträge
26.168
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
...Ich frage mich,warum denn der Defender nicht bereits vor dem öffnen des Suchbegriffs reagiert hat?...
Ich bekomme im FireFox ebenfalls im Falle eines Falles eine entsprechende Warnmeldung, wenn eine Seite als betrügerisch oder als Virenschleuder bekannt ist. Das ist aber eine Sache, die in Datenbanken gepflegt und immer aktualisiert sein muss.

Wie @runit schon anmerkte, es kommt auf den Zeitpunkt an.
Der Defender wird tätig, wenn entsprechende Dateien oder Scripte auf dem Rechner ankommen. Sind sie schon in den Virensignaturen enthalten, dann wird der Defender sie auch direkt entfernen. Es könnte aber dazu kommen, wenn sich die Schädlinge inzwischen verändert haben, dass erst die Beispielübermittlung und der Cloudschutz zu einer aktualisierten Signatur führen und deshalb erst der anschliessende Scan die Identifikation und Entfernung der bis dahin auf Verdacht blockierten Dateien anstösst.

Würde mich jetzt interessieren, ob zwischen der Nicht-Erkennung beim Besuch der Seite und dem Fullscan ein kleines Signaturupdate eingespielt wurde. Denn so wäre in diesem Fall die Vorgehensweise des Defender.
 
U

Upgrader

Erfahrener Benutzer
Threadstarter
Mitglied seit
26.12.2017
Beiträge
312
Version
Windows 10, x64, Home-Edition
Würde mich jetzt interessieren, ob zwischen der Nicht-Erkennung beim Besuch der Seite und dem Fullscan ein kleines Signaturupdate eingespielt wurde. Denn so wäre in diesem Fall die Vorgehensweise des Defender.
(a) Erste Erkennung des Trojaners lt. Schutzverlauf im Rahmen des VollScans um 15:05 bzw. 15:10 (aufgeklappte Detailansicht)

(b) Die Nicht-Erkennung der Malware lag zeitlich vor dem ersten Vollscan per Defender (ca. 20 bis 25 min vorher)

(c) Defender-Signaturen-Update um 13:50, 15:14 und 17:13 Uhr

Bei bekannten betrügerischen, gefährlichen Inhalten hätte theoretisch auch ein Warnmeldung bzw. Blockade durch den Firefox erfolgen müssen (aktiviert in FF-Einstellungen). Heute scheiterten Windows Sicherheit und Firefox bei der Echtzeiterkennung gleichermaßen.

Um mein Sicherheitsgefühl wieder herzustellen, habe ich final auch noch mal die Kasperky Rescue Disk (gebootet via Linux-Live-CD) mit aktuellen Signaturen zum Einsatz gebracht. Kein Fund.

Insofern darf ich wohl davon ausgehen, dass alles wieder okay ist, wenn sich nach der Entfernung der bösartigen 6 Dateien im Temp-Ordner Windows-Defender, ESET, Kaspersky einig waren: keine Malware! :)
- - - Aktualisiert () - - -

Wieso clean installation? Kein BackUp zum Zurückspielen?
Ich habe lediglich alle mir wichtigen Ordner und Dateien auf zwei portablen HDDs, also doppelt, gesichert. Diese Backups mache ich regelmäßig ein oder zwei Mal im Monat. Darunter befinden sich auch alle aktuellen Treiber von Lenovo für mein Notebook.
 
Zuletzt bearbeitet:
kiraminu

kiraminu

Benutzer
Mitglied seit
26.07.2015
Beiträge
73
Version
Win10 Prof., immer aktuell
System
Lenovo Thinkpad E580, 8 GB RAM, 256 GB SSD, Intel UHD Graphics 620
Warum findet Windows Sicherheit beim vollständigen Scan einen Trojaner, den der Echtzeitschutz ca. 25 min vorher nicht beanstandet hatte? Was ist, technisch gesehen, der Unterschied zwischen beiden Schutzmechanismen? Richtig und sicherer wäre es, die Schadprorgramme würden gar nicht erst auf dem Rechner landen.

Es heißt immer, dass der Echtzeitschutz ja im Hintergrund werkelt und das System nicht nennenswert ausbremsen darf, und daher auch nicht so genau prüfen kann. Ich glaube, er prüft dann z.B. nur auf vorhandene Virensignaturen und nicht auch noch auf verdächtiges Verhalten des Programms o.ä.
 
U

Upgrader

Erfahrener Benutzer
Threadstarter
Mitglied seit
26.12.2017
Beiträge
312
Version
Windows 10, x64, Home-Edition
Es heißt immer, dass der Echtzeitschutz ja im Hintergrund werkelt und das System nicht nennenswert ausbremsen darf, und daher auch nicht so genau prüfen kann. Ich glaube, er prüft dann z.B. nur auf vorhandene Virensignaturen und nicht auch noch auf verdächtiges Verhalten des Programms o.ä.
Im Gegensatz zu den üblichen Antivirenprogrammen der Drittanbieter gibt es bei Windows-Sicherheit keinen Webschutz. Das heißt nach meinem Verständnis, dass der Malwaremüll zunächst einmal auf dem Rechner landet, wie bei mir vor wenigen Tagen geschehen. Erst im Nachgang würde - hoffentlich - der Echtzeitschutz anschlagen, also wenn die heruntergeladene Schadsoftware tatsächlich aktiv würde. Oder aber bei einem (vollständigen) Scan würde eine Warnmeldung angezeigt.

Insofern ist der fehlende Webschutz eine noch verbliebene Schwachstelle bzw. ein Ärgernis von Windows-Sicherheit. Viele Experten sagen, mit einem einmal kontaminierten Rechner würden sie - auch nach Entfernung der Malware - nicht mehr arbeiten, sondern danach das System immer neu aufsetzen.

Hier noch ein Screenshot von Windows-Sicherheit (mein Rechner), der den fehlenden Webschutz klar zu erkennen gibt:
Defender_kein_Webschutz.PNG
 
Zuletzt bearbeitet:
Bildschirmschoner

Bildschirmschoner

Benutzer
Mitglied seit
26.03.2019
Beiträge
87
Ort
Stuttgart
Version
Windows 10 Pro 1909
System
Intel Core i7-3770, ASUS P8B75-M, 16GB RAM
Den Webschutz übernimmt der Defender SmartScreen. Allerdings nur in Verbindung mit Edge. Für Chrome und Firefox gibt es sicher adäquate Erweiterungen.
 
Zuletzt bearbeitet:
BellaK

BellaK

Erfahrener Benutzer
Mitglied seit
17.01.2019
Beiträge
170
Version
Windows 10 1903
System
Acer Aspire 7 i5-8300H, 8 GB Ram,GTX 1050 (4GB)
Und wenn man im Avira-Blog liest, findet man die Empfehlung, den Smart Screen abzuschalten.
Begründung:
Der Haken an der Sache: Damit das funktioniert, muss Microsoft wissen, welche Internetseite Sie gerade besuchen wollen. Diese Informationen schickt Windows 10 also vorab an einen Microsoft-Server, auf dem dann die aufgerufene Seite mit einer schwarzen Liste abgeglichen wird.
:irony Diese Liste hätte Microsoft ja auch schon 1990 erstellen können und mit jeder Installation auf dem PC ablegen können!
 
Zuletzt bearbeitet:
IT-SK

IT-SK

Erfahrener Benutzer
Mitglied seit
01.11.2015
Beiträge
7.413
Ort
Hummel Hummel, Mors Mor....
Version
1903 Pro 64 bit Build 18362.476
System
I5, 16GB Ram, Nvidia Geforce GTX 760M, SSD Samsung 850 EVO
Den Webschutz übernimmt der Defender SmartScreen. Allerdings nur in Verbindung mit Edge.
Was bei dessen Verbreitung aber definitiv ungünstig gelöst ist!

Das sie Addonds brauchen (bzw es welche gibt), werden 75% der User nicht wissen
 
U

Upgrader

Erfahrener Benutzer
Threadstarter
Mitglied seit
26.12.2017
Beiträge
312
Version
Windows 10, x64, Home-Edition
Diese Chrome-/Firefox-Erweiterung ist für die meisten Privatanwender wie mich, die die Home-Edition von Windows 10 nutzen, sowieso nicht nutzbar:
Die Windows Defender Application Guard-Erweiterung ist mit folgenden Windows 10-Editionen (ab Version 1803; mit den neuesten Updates) kompatibel:

Windows Professional
Windows 10 Enterprise
Windows 10 Education
 
Zuletzt bearbeitet:
BellaK

BellaK

Erfahrener Benutzer
Mitglied seit
17.01.2019
Beiträge
170
Version
Windows 10 1903
System
Acer Aspire 7 i5-8300H, 8 GB Ram,GTX 1050 (4GB)
Wobei ich befürchte, dass genau diese 75% der User auch eine Internet Security installiert haben werden, eben weil sie die Zusammenhänge nicht überblicken.
 
Thema:

Windows Sicherheit - Trojaner - Echtzeitschutz schlechter als vollständiger Scan

Windows Sicherheit - Trojaner - Echtzeitschutz schlechter als vollständiger Scan - Ähnliche Themen

  • Windows Sicherheit wird geöffnet und gleich wieder geschlossen.

    Windows Sicherheit wird geöffnet und gleich wieder geschlossen.: Hallo, meine Probleme: Windows Sicherheit ist nicht zu öffnen Die Windows Kachelebene ist nicht vohanden...
  • Win10 Windows Sicherheit, Virenschutz, Netzwerklaufwerke ausschließen

    Win10 Windows Sicherheit, Virenschutz, Netzwerklaufwerke ausschließen: Schönen guten Tag! ich möchte gerne einige Netzwerklaufwerke Richtung WinServer ausschließen. Nun weiß ich nicht genau, was ich als...
  • Sicherheit für Windows 10

    Sicherheit für Windows 10: Hi, welche Sicherheitsprogramme sind sinnvoll oder ausreichend, um Windows 10 gegen Viren und andere Angriffe von außen zu schützen? Benötigt man...
  • nach fehlgeschlagenem Windows 10 Update Daten sichern, wie?

    nach fehlgeschlagenem Windows 10 Update Daten sichern, wie?: Hallo in die Runde, bin neu hier, daher einen freundliches Gruß. Ich hatte gestern bei Windows 10 die Meldung über ein Update. Weil ich Zeit...
  • Windows 10 Insider Preview 18950.1000 (rs_prerelease) Auf Ihrem Gerät fehlen wichtige Sicherheits- und Qualitätsfixes.

    Windows 10 Insider Preview 18950.1000 (rs_prerelease) Auf Ihrem Gerät fehlen wichtige Sicherheits- und Qualitätsfixes.: Insider Programm ist angemeldet wird aber unter Einstellungen nicht angezeigt.
  • Ähnliche Themen

    Oben