SpywareBlaster 4.0 released

    nach kurzer Suche und keiner Entdeckung... :wink:

    der neue SpywareBlaster 4.0 ist erschienen:
    für Leute mit Interesse die Offizielle Vorstellung im Wilders-Forum
    oder auch Softwarearchiv-WinTotal

    noch extra auf Deutsch dazu: :roll:
    natürlich wie immer vor allem bei sicherheitsrelevanter Software sollte die alte Version sauber deinstalliert werden...
    insbesondere VORHER mit Rücknahme der Immunisierung...auf jeweils allen user-accounts !

    vllt. sogar auch kurzzeitig gleiches mit der Spybot S&D-immu...
    um in diesem Sinne Überschneidungen/Datenbank-Anpassungs-Fehler etc. zu minimieren... :wink:

    Zitat von Wurstwasser

    Gehört ja eigentlich eher in den Bereich "Smaltalk".

    Stimmt! :wink:

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

    Zitat von Wurstwasser

    Gehört ja eigentlich eher in den Bereich "Smaltalk".


    uufff...in ziemlich jedem anderen Forum würde Sicherheits-Software unter Sicherheit laufen...
    wie eben auch die Folgen von Unsicherheit...

    aber möge es denn hier ein MOD in den Smalltalk verschieben...
    hauptsache das Progi/Info nützt dem einen oder anderen etwas... :wink:

    Danke für den Tipp!
    Wilders Security empfiehlt diesen Weg der Installation:

    Zitat

    Hi,

    While either method should work (an "over-the-top" install or a clean install), we recommend using a clean install to upgrade to the 4.0 release.

    Clean Install Instructions:

    Open SpywareBlaster and press the "Disable All Protection" link under "Quick Tasks".
    Close SpywareBlaster.
    Go to Add/Remove Programs and uninstall the entry named "SpywareBlaster v3.5.1"
    Download the latest SpywareBlaster installer from http://www.javacoolsoftware.com/sbdownload.html
    Install the new version, and enjoy!

    jo, aber wie das mit den Tips so ist...
    deshalb meine Ergänzung für "Mehr-Benutzer-Systeme"... :wink:

    es gibt systemweite Immunisierung und "benutzerweite" eben...
    z.B. die "Internetoptionen > eingeschränkten Seiten" sind benutzerspezifisch...

    will nicht zu weit ins "Detail-Chaos" gehen, aber z.b. auf XP:
    eingeschränkter Nutzer NACH immu im Admin-Recht-account...[Blockierte Grafik: http://img340.imageshack.us/img340/5034/blaster41eyg0.th.jpg]

    z.B. Reste im echten Admin abgesichert...[Blockierte Grafik: http://img340.imageshack.us/img340/4218/blaster44agz3.th.jpg]
    wie gesagt nach Rücknahme aller SS&D+Blaster-Immu´s...

    nach meinen Beobachtungen werden teilweise auch Reste in neuen Datenbanken übernommen etc.
    aber manchmal eben auch nur teilweise und je nach Verwendung...
    z.b. bin ich auch mal mit SS&D-Beta-Signaturen unterwegs ! :roll:

    daher rate ich jedem dringend, die Hersteller-Empfehlungen zu lesen...
    und genau anders zu handeln bzw. nach SEINEM System halt... :wink:

    thebrain stellte Folgendes dar:

    Zitat

    [...]der neue SpywareBlaster 4.0 ist erschienen:[...]


    Wer profitiert hierbei auf welcher Basis genau von wem?

    Ohne Deine Ankündigung hier negativ darzustellen, ist SpywareBlaster - meiner Ansicht nach - in erster Linie ein "Blacklisting-Protektor", der bezüglich seiner Schutzfunktionen eher auf das Zonen-Modell des IE´s hin ausgerichtet ist (analog zu SBS&D). Die technischen Vorgehensweisen (Systemeinwirkungen) solcher Anti-Malware-Programme unterscheiden sich dabei erheblich bezüglich des zur Anwendung kommenden Browsers. (IE und FF).

    Indem die upzudatenden Blocklisten des SB´s direkt in die Registrierdatenbank unter WindowsXP über:

    "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4+5..."

    in die Zoneneinstellungen (minimale Seiten-Rechtevergabe) des IE´s eingespeist werden, wird so eine Blockliste auch nur innerhalb des jeweiligen Zonen-Modells des IE´s selber "greifen" können. So eine Blockliste kann daher nicht im FF zur Anwendung kommen, da der Firefox nicht auf diese speziellen Registrierungsschlüssel zurückgreift. (Was definitiv Vorteile hat).

    Es werden daher im FF unter SB nur Tracking-Cockies geblockt werden können - Nur bedarf es alleine dafür - meiner Ansicht nach - definitiv keines SB´s.

    Meiner Ansicht nach wäre es daher sinnvoller, solche unter SB definierten, "restriktiven Webseiten" (Blacklists) gleich direkt der DNS-Zuordnungs-Datei (hosts) unter "c:\windows\system32\drivers\etc\hosts" zuzuführen - dann hätte der Fuchs auch etwas davon...


    Oliver


    http://de.wikipedia.org/wiki/Hosts
    http://www.bsi.de/fachthem/betri…okt05/bcie6.htm
    http://www-igh.histsem.uni-bonn.de/hinweise-browser-v2.asp

    nun Oliver, profitieren wird das gesamte System...
    daher ist der Blaster nur ein Bestandteil eines Sicherheitskonzeptes... :wink:

    ich weiss nicht, ob du ein Tool hast, mit dem Du z.B. De-/Installationen nachvollziehen kannst...
    z.B. wäre InstallRite als Freeware so ein Teil, aber es gibt natürlich auch andere und wie gesagt wer seinen DEinstall-Müll minimieren will...
    muß sich eben mit sowas beschäftigen... :wink:

    so natürlich in erster Linie ActiveX und das IE-Zonenmodel betroffen !
    und trotzdem geht es JEDEN etwas an...

    warum ? hatte ich ja neulich schon im "Smalltalk" versucht zu beschreiben Spybot Immunisieren

    der richtigen Spyware ist Dein Lieblings-Browser völlig egal...
    es holt sich seinen Nachschub voll automatisch durch einen kurzen Besuch z.b. auf der zuständigen Website...
    und auch unbemerkt...meistens :D

    und diese blödsinnigen ohne IE-stabilen-torrent-WINs...no comment ! :lol:

    aber zum Punkt:
    die sogenannten Kill-Bits die dann DABEI eben nicht mehr ausgeführt werden könn(t)en..
    auch schon mal beschrieben(?), aber hier nochmal: So verhindern Sie die Ausführung von ActiveX-Steuerelementen in Internet Explorer

    Zitat

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ ...Compatibility Flags...dword:00000400

    • Sie sollten alle installierten ActiveX-Steuerelemente entfernen und dann das Steuerelement installieren, das Sie deaktivieren möchten. Fügen Sie anschließend das "Kill Bit" zur CLSID hinzu, um das ActiveX-Steuerelement zu ermitteln, das Sie deaktivieren möchten.
    3. Ändern Sie den Datenwert des DWORD-Wertes für "Compatibility Flags" zu "0x00000400".


    so was noch bei der Immu in der Registrierung gemacht wird, wird hier ziemlich gut erklärbar...
    Beschreibung der Registrierungseinträge für Internet Explorer-Sicherheitszonen

    Zitat

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\0190-dialers.com ... dword:00000004

    Hinweis: Einstellungen für Sicherheitszonen werden standardmäßig in der Registrierungsunterstruktur HKEY_CURRENT_USER gespeichert. Da diese Unterstruktur dynamisch pro Benutzer geladen wird, haben die Einstellungen für einen Benutzer keinen Einfluss auf die Einstellungen für einen anderen Benutzer.

    Es werden nur die Einstellungen des lokalen Computers verwendet, und alle Benutzer haben dieselben Sicherheitseinstellungen, wenn die Einstellung Sicherheitszonen: Die Einstellungen für Sicherheitszonen statisch festlegen in der Gruppenrichtlinie aktiviert ist oder wenn der DWORD-Wert Security_HKLM_only mit dem Wert 1 im folgenden Registrierungsunterschlüssel vorhanden ist:
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings


    da werden also Blaster-Domains erklärbar...

    weiterführend...wir reden ja von einem Konzept kommt dann vllt. noch SS&D dazu z.B. dessen IP´s !

    Zitat

    Wenn der URL eine IP-Adresse enthält, wird der Schlüssel Ranges verarbeitet. Die IP-Adresse des URL wird mit dem :Range-Wert verglichen, der in den willkürlich benannten Schlüsseln unter dem Schlüssel Ranges enthalten ist.

    achso ja und die hosts dann ja auch von SS&D...
    aber nur, wenn sie nicht gerade z.b. von CID dem AdwareHelper auf irgend so einer MultiMedia-MessengerPlus-Schrottkiste verbogen wurde...
    oder sämtliche AV-IP´s ohnehin ja geblockt etc.

    jedenfalls wäre das das 2. Mittel im Konzept, z.b. für den Fx (und seiner heutigen Sicherheit..)
    außer es fummelt z.b. mal wieder einer im cache rum... :lol:

    so und erspare mir die cookies, die bei mir und meiner Nachfrage-Einstellung einen erheblichen Nutzen haben...
    indem eben etwas weniger von bekannt ungewollten nachgefragt wird ! :roll:

    ich lege z.b. dabei gewissen Wert auf Kontrolle, was wann wo und warum vllt. nicht geht...
    auch in Bezug auf unnötige cookies...

    thebrain erklärte Folgendes:

    Zitat

    ich weiss nicht, ob du ein Tool hast, mit dem Du z.B. De-/Installationen nachvollziehen kannst...

    Ist insoweit unerheblich, da ein kritischer Anwender über die Kontrolle bezüglich solcher Programm-(De)Installationen selber verfügen sollte. Kein Tool wird Dir das jemals ersetzen können. Eine vernünftige Registry-Such-Option, (z.B. durch "JV16" oder auch "Regeseeker"), zum entgültigen Ausreinigen solcher Programm-Atavismen (Überbleibsel) sollte dabei - meiner Ansicht nach - völlig ausreichen.

    thebrain stellte im Anschluss Folgendes dar:

    Zitat

    der richtigen Spyware ist Dein(em) Lieblings-Browser völlig egal...
    es holt sich seinen Nachschub voll automatisch durch einen kurzen Besuch z.b. auf der zuständigen Website...[...]

    Verwechselst Du dabei nicht Ursache und Wirkung? Sofern bereits im Vorfeld eine Infektion der Windows-DLL (Bibliotheken) vorlag (Dein Argument), wäre in Konsequenz zwar jeder zum Einsatz kommende Browser betroffen - nur hat das meiner Meinung nach jedoch nichts mit der Prävention durch die Immunisierung der IE-Verfügung selber zu tun.

    Deine anderen Ausführungen möchte ich hier nicht weiter kommentieren...


    Was jedoch zuguterletzt Deine "Technikgläubigkeit" angeht:

    Zitat

    Der meiste Schaden, den der Computer potenziell zur Folge haben könnte, hängt weniger davon ab, was der Computer tatsächlich kann oder nicht kann, als vielmehr von den Eigenschaften, die das Publikum dem Computer zuschreibt.[...](Zitat: Prof. Joseph Weizenbaum (†), aus DIE ZEIT, 1972)


    Oliver


    http://www.zeit.de/1972/03/Albtraum-Computer

    ach Oliver, Du hast ja so Recht !
    gut nicht ganz was meine Wenigkeit angeht, aber insgesamt... :wink:

    JV16 ist natürlich auch schon bei mir auf jedem Basis-Image und somit System "vorinstalliert", nur manchmal aber...

    Zitat von Oliver222

    Ist insoweit unerheblich, da ein kritischer Anwender über die Kontrolle bezüglich solcher Programm-(De)Installationen selber verfügen sollte.


    das ist ja genau mein Reden auch immer !
    zwar kommt man hier auch schnell an einen Punkt, wo dann der gemeine Anwender von WINdoof oder (sch...) Norton anfängt...
    aber das wirst Du von mir nie hören... :D

    obwohl ich mal ein Beispiel mit WinOnCD erlebt...
    war zwar nur eine relativ kleine Differenz von Install zu Deinstall allein von ~44000 Reg-Schlüssel...
    und unter was die aber auch alles laufen...Roxio, Sonic, SmartSound, Programm-Ordner, Gemeinsame Dateien...
    also richtig Spass...teilweise bis heute noch und :D natürlich voll unter Kontrolle !

    oder Virtualisierungssoftware und deren virtuelle Netzwerk-Adapter bzw. nach Deinstallation noch vorhandenen Treibern...

    ja, da mußt Du aber schon richtig schön suchen, wenn das schöne "JV16 Datei fehlt" fehlt...
    denn warum auch, die Dateien sind ja noch da ! :D

    aber gut ist jetzt auch ein blödes Beispiel, denn z.B. Innotek oder VMware sind ja noch ziemlich eindeutig zu finden...

    etwas interessanter sind dann schon so Sachen wie Zonealarm installieren und auch Kaspersky haben...
    [Blockierte Grafik: http://img521.imageshack.us/img521/489/zaav3sv0.th.jpg] gut, weiß natürlich heute schon jedes Kind über diese Probleme Bescheid wie:
    KAV 7.0.0.123 Installations Probleme !!, Fehler bei der Installation von KAV. Hilfe!!

    Zitat

    Ja, komplett deinstallieren. Ausschalten wird nicht reichen. Das problem ist dieses: ZA 7 benutzt komponenten von kaspersky lab (also besser gesagt installiert sie nur denn diese werden nur in der Variante mit AV benutzt). Diese sind festgehalten und der kav installer kann sie nicht ersetzen. Das passiertr auch wenn es aus ist, es muss komplett weg sein.


    und das bei Kaspersky´s eigenen Dateien...von Zonealarm... :D
    so was meinst Du, wie da erst die Minifilter-Treiber anderer AV-Hersteller ins Grübeln kommen...
    oder evtl. ein Anwender mit JV16...und Treibern in system32 !

    oder sucht mit JV16 nach "Symantec-Resten" und löscht die WINeigenen vorgebenen für z.b. die XP-Sicherheitscenter-Erkennung gleich mit...

    Zitat

    der richtigen Spyware ist Dein(em) Lieblings-Browser völlig egal...
    es holt sich seinen Nachschub voll automatisch durch einen kurzen Besuch z.b. auf der zuständigen Website...[...]

    Verwechselst Du dabei nicht Ursache und Wirkung? Sofern bereits im Vorfeld eine Infektion der Windows-DLL (Bibliotheken) vorlag (Dein Argument)...


    nur das habe ich irgendwie noch nicht verstanden ? welche Infektion im Vorfeld ?
    die Bilder wären eine LIVE-Infektion, wenn mann online gewesen wäre !

    http://minime.exe/TR/Dldr.Swizzor.Gen ruft direkt aus dem setup den IE auf (oder andere vllt. auch nur die engine, z.b. dann mit einem eigenen "IE-Gebilde")
    dieses lädt dann z.b. über die beim normalen alles erlaubenden Anwender z.B. das nicht-immunisierte ActiveX...
    über eine z.B. nicht-immunisierte Website z.b. aus der hosts...usw.

    und zu allerletzt noch:

    Zitat

    ..Kein Tool wird Dir das jemals ersetzen können..


    stimmt auch, vllt. hätte ich noch erwähnen sollen, dass bei mir als allererstes immer die "brain.exe" versucht zu starten...
    und trotzdem weiterführend dann auch die anderen Hilfsmittel...zu allem wie Vorsorge, Testzwecke etc.

    ach wären sie doch nur alle so kritisch wie wir... :wink:

    thebrain fragte:

    Zitat

    [...]nur das habe ich irgendwie noch nicht verstanden? Welche [System-DLL] Infektion im Vorfeld?

    Eine Windows-System-DLL-Datei verhält sich - nach meinem bisherigen Wissensstand - im übertragenen Sinne ungefähr so, wie eine stetig aktualisierbare Wurzel, auf welche dann die verschiedenen Windows-Anwendungen im Anschluss aufsetzten bzw. zurückgreifen müssen. Die einzelnen Windows-Anwendungen (und somit auch die Browser) müssten daher nicht immer zwangsläufig im Einzelnen "en Detail" aktualisiert werden, denn es könnte u.U. auch ausreichen, die zugrundeliegenden System-DLL´s dahingehend zu verändern, dass neue Programmteile für ein bereits bestehendes Programm (eben solche Browser) erstellt und somit darin auch nahtlos integriert werden können. (MS-Vereinfachungsprinzip: Eine Datei (dll) gilt für multiple Anwendungen / gemäss Windows-Prinzip zur allg. System-Ressourcen-Ersparnis).

    Im Negativen könnten solche veränderbaren System-DLL-Dateien unter Windows jedoch durch unbewusste Malware-Code-Einschleusungen auch dahingehend missbraucht werden, indem der User einerseits unbewusst "suspekte" Programm-Installationen zulässt, bzw. andererseits unter Admin-Rechten, mit "liberalen" Browser-Einstellungen (IE) im I-Net unterwegs sein sollte. Der Firefox müste im Anschluss daran auf so ein bereits "infiziertes" System (also auf solche infizierten dll´s) zurückgreifen müssen, was auf Deine eingängliche Frage zurückgeht. Hierbei wird Dir der SB als eine reine Prävention - meiner Ansicht nach - dennoch nur einen "Bärendienst" erweisen können.

    O.T.Bei Macintosh-Betriebssystemen z.B. wurde - nach meinem Wissensstand - genau dieses Dilemma umgangen, indem DLLs nicht an zentraler Stelle, sondern jeweils in den einzelnen Programm-Verzeichnisen selber abgelegt wurden, was meiner Ansicht nach definitiv Vorteile hat. (Dieses Verfahren gab es bereits in der Vergangenheit bei den einzelnen "ini-Dateien" unter "Windows 3X" - wer jene Zeiten noch mitgemacht hatte).


    Oliver

    Zitat von Oliver222

    Im Negativen könnten solche veränderbaren System-DLL-Dateien unter Windows jedoch durch unbewusste Malware-Code-Einschleusungen auch dahingehend missbraucht werden..


    na klar und mit Vorliebe, weil eben sehr effektiv...z.B. Praxis...Schaedlingen-auf-der-Spur

    Zitat

    ...Die DLLs benutzt das Programm um sich in den Windows-Hook CBTProc einzuklinken. Das ist ein dubioses Windows-feature für Computer Based Training, über das ein Prozess beobachten kann, was im aktiven Fenster passiert...


    oder hier dieses ziemlich interessante Teil: Virus: TR/Proxy.Lager.AQ.1
    weiterführend auch die *.zip mit dem *.doc dazu bei Wilders:instructions and screenshots for manual cleaning of this rootkit

    Zitat

    ...Diese taskdir.dll wird dann in jeden System Prozess injiziert. Diese dll hat, wie bereits beschrieben, Rootkit Eigenschaften, denn sie versteckt sich...


    aber wie gesagt, es ist müssig theoretisch über Sinn und "Bärendienste" zu diskutieren...
    während Millionen Zombies da draußen rumgeistern...mitohne Fx wegen IE oder was auch immer...

    gut, einen Versuch zur (halben) Überzeugung mache ich noch...zu allerallerletzt... :wink:

    folgendes...ich bin "inetten" gegangen...wie die o.g. Millionen... :D

    wobei diese Immu, die kann ja auch lästig und störend sein...[Blockierte Grafik: http://img150.imageshack.us/img150/8166/internetgamebox2td7.th.jpg] verboten, gesperrt, geht nicht...usw.

    und was habe ich geklickt, um endlich dahin zu kommen wo ich hin wollte...
    war schon bald soweit, hier Thread zu erstellen, wie: "Hallo!!!!!DRINGEND!!!!mein Internet ist kaputt!!!! :D

    habe es dann aber doch gelassen...[Blockierte Grafik: http://img153.imageshack.us/img153/3243/internetgamebox4kq2.th.jpg] was hätte ich auch sagen sollen...
    nicht mal mit dem IE ging es... :D (eingeschränkte Sites !)

    aber dann fiel es mir wie diese Schuppen, "du hast doch mal was gelesen"...hostperm1 / plugins / downloadsperre

    da war er...[Blockierte Grafik: http://img530.imageshack.us/img530/3896/internetgamebox8td9.th.jpg] der downloadverhinderer ! :oops: also schwuups die SS&D-Immu rückgängig gemacht...

    siehste, geht doch...[Blockierte Grafik: http://img401.imageshack.us/img401/2807/internetgamebox9op1.th.jpg] mann muß es nur wollen !

    natürlich ich als Hardcore-Gämer...[Blockierte Grafik: http://img120.imageshack.us/img120/7667/internetgamebox16md6.th.jpg] gleich installiert... :cry:

    aber naja, meinen Spass werde ich trotzdem noch haben...[Blockierte Grafik: http://img530.imageshack.us/img530/4884/internetgamebox20tf4.th.jpg]

    achso fast noch vergessen...(sch...) Norton-AntiBot :lol: der meldete sich nach Neustart gleich ! [Blockierte Grafik: http://img408.imageshack.us/img408/8595/internetgamebox21py6.th.jpg]

    denn hatte ich ihn ja auch vor der Installation sicherheitshalber auch deaktiviert, wegen der Technik, klappt ja sonst nicht... :D

    also guckt mal bei den Bildern rein, immunisiert oder lasst es...

    Zitat

    ...Der Firefox müste im Anschluss daran auf so ein...


    nicht-immunisiertes System ja zum glück nicht bei mir arbeiten ! :wink:

    na gut, der Name ist austauschbar... :D

    hauptsache es ist ein castlecops....HIPS (FAQ) aus der Reihe der Behavior-Analyse/Verhaltensblocker

    Zitat

    Mit dieser Analyse wird entschieden, ob eine Anwendung schädlich ist oder nicht, je nachdem wie sie sich verhält. Macht eine Anwendung etwas, das außerhalb des „Akzeptablen“ liegt, so wird ihr Betrieb eingeschränkt...


    egal ob nun ThreatFire oder onlineArmor oder...wie sie alle heißen mögen...
    der Nachteil an diesen Teilen ist natürlich, die (Er-)kenntnis über ein unbekanntes System, nämlich sein eigenes... :D

    denn immerhin hat (sch...) Norton den lfd. Rootkit-Prozess erkannt !


    natürlich beim scan danach auch mein avira-Classic, das bei install ebenso deaktiviert !

    wie auch die übrigen (ausgesuchten) Analyse-Tools, nur das vorher ist hierbei ansonsten eben wichtiger ! :wink:

    ich hatte auch völlig vergessen:
    Liebe Kinder natürlich NICHT nachmachen...auf einem normalen System !!!

    und das Ganze begann auch auf der dunklen Seite des internets, also da wo normalerweise keiner hinkommt...
    weil mann dort das Gehirn ausschalten muss... :D um weiterzukommen:

    [Blockierte Grafik: http://img172.imageshack.us/img172/3179/internetgamebox1cv8.th.jpg]