Spybot Immunisieren

was passiert eigentlich, wenn ich die hostsperm lösche? wird die automatisch neu angelegt? Schadet das was? Was passiert dann?
Und: Was heißt groß? 768KB ist das groß?

Zitat von Freak416

Und: Was heißt groß? 768KB ist das groß?

Meine hat 703kb. Aber es sind halt über 22000 Einträge.

Zitat von PIGSgrame

Seit Version 1.5 versteht Spybot unter "Immunisieren" etwas mehr. Ich finde dieses Feature und vor allem dessen Umsetzung nach wie vor völlig sinnlos...

ja in der Tat, was ein großer Haufen wiederholter Blödsinn !

nur EINE Beispielseite..aus hostperm install 2 oder sonstwas..
Video Codec:z.B. imediacodec(dot)com

Zitat

Ein Besuch auf einer unsicheren Seite macht es möglich, ehe man es sich versieht, hat man schon das neueste Programm rund ums Thema Video auf dem Rechner, man muss es nichtmal downloaden.

Dank Internet Explorer installiert es sich selbst ....

Einmal installiert, sammelt es Information über das Verhalten des Users, seine bevorzugte Sprache, sein Betriebssystem. Es installiert weitere Programme, die den User beraten sollen, zum Download und Kauf angeblich sinnvoller Programme.

Zugespammt mit Malware, Popups, erheblich behindert beim surfen im Netz, kommen die User dann u.a. zu uns und bitten um Hilfe....

McAfee-Automatische Web-Sicherheits-Testergebnisse für imediacodec.com

diese Seiten verbreiten u.a. den oh, my God! it´s getting bigger and bigger.
also nicht das, sondern eben nur den filesharer-zlob ! :lol:

da ist ja nur gut, daß hier keiner den IE nutzt, also jedenfalls nicht gewollt und zum surfen...[Blockierte Grafik: http://www.addis-welt.de/smilie/smilie/lachen/24.gif] 
uuups tschuldigung, meinte natürlich, braucht ihr ja auch nicht, regelt die "richtige" Software schon alleine !

und was z.b. ohne diese sinnlose immunisierung passiert:

Bitte um Hilfe bei Winzix-Problem

Zitat

Der Depp:
Ich hatte von einem p2p einen Film mit der Endung .zix geladen. Ich Depp...

und der "Reiniger":
Während der Benutzung hat das Programm außerdem zweimal eine Netzwerkverbindung zu inside.winzix.com aufgebaut.

Ein wirkungsloser nachhause telefonierender Placebo dessen einzige Aufgabe darin besteht, Malware auf dem System zu plazieren.

In Anhang zwei Screenshots aus der Installation. Ich würde sagen: Das kann man nicht übersehen. Und beachten: In diesem Fall kann man das nicht einmal abwählen. Ich wollte es aber übersehen. Folge: Ich habe einen Swizzor auf dem System

so denn auch [Blockierte Grafik: http://img216.imageshack.us/img216/6234/winzix2ams5.th.jpg] andres Installationsbeispiel [Blockierte Grafik: http://img216.imageshack.us/img216/9157/winzix3aji6.th.jpg]
notgedrungen mit Avast, denn mann will ja nicht ohne Virenschutz sein !

bzw. da es mit avira nicht geklappt hätte...(klingelte nur die ganze Zeit)

Zitat

C:\Dokumente und Einstellungen\All Users\Dokumente\WinZix-2.0-setup-0411.exe
[FUND] Enthält Signatur des Droppers DR/FraudTool.WinZix.A.28

C:\Programme\WinZix\minime.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen

C:\Programme\WinZix\WinZix.exe
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/FraudTool.WinZix.A.2

C:\Programme\WinZix\WinZixManager.dll
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/FraudTool.WinZix.A

Auswirkung der immunisierung z.b. [Blockierte Grafik: http://img174.imageshack.us/img174/6435/winantivirusfaketv5.th.jpg]

aber eigentlich habt ihr ja Recht, für die Schnelligkeit kann mann schon mal auf sinnlose Sicherheit verzichten !

Zitat von thebrain

aber eigentlich habt ihr ja Recht, für die Schnelligkeit kann mann schon mal auf sinnlose Sicherheit verzichten !

Du hast meinen Beitrag entweder nicht vollständig gelesen oder nicht verstanden. Ich habe ausführlich dargelegt, warum ich die Firefox-Immunisierung (nicht die Immunisierung generell) für sinnlos halte.

Niemand hier hat behauptet, dass die blockierten Seiten nicht gefährlich sind, insofern ist mir nicht ganz klar, was du mit deiner ausführlichen Analyse eigentlich aufzeigen willst. Alles was gesagt wurde, ist: Wenn die Seiten bereits per hosts-Datei global blockiert werden, dann hat kein Programm, egal ob Firefox oder ein anderes, mehr die Chance, darauf zuzugreifen. Es ist also völlig sinnlos, für diese Seiten noch zusätzlich Einträge in den Sperrlisten von Firefox anzulegen. Denn noch einmal: Egal ob diese Einträge vorhanden sind oder nicht, die Seiten werden auf jeden Fall bereits per hosts blockiert. Das Ergebnis sieht in beiden Fällen genauso aus wie in deinem letzten Screenshot.

Und genau das wurde auch in diesem Thread gesagt: Nicht das Blockieren der Seiten ist sinnlos, sondern das Blockieren per hosts und Firefox-Sperrliste. Weil eine zu große Firefox-Sperrliste diesen Browser verlangsamen kann (offenbar nicht immer, vgl. Wurstwasser, aber eben manchmal), ist es sinnvoll, auf die redundanten Einträge zu verzichten.

Im übrigen ist es ja nicht etwa so, dass einem ganz ohne Immunisierung irgendwelches unerwünschtes Zeug "untergeschoben" werden könnte. Wer ohne Sinn und Verstand jeden Dialog wegklickt, ohne ihn gelesen zu haben, der wird sich früher oder später tatsächlich etwas einfangen, denn keine Blacklist kann alle Schädlinge berücksichtigen. Die angebliche "Sicherheit", für die du auf Schnelligkeit verzichten willst, ist eine trügerische. Insofern würde ich sogar mit dem Argument mitgehen, dass Immunisierung vielleicht einen zusätzlichen Schutz zu Brain 1.0 Beta bieten kann, aber eigentlich doch sinnlos ist. Nur darum ging es hier ja nicht.

Zitat von Freak416

was passiert eigentlich, wenn ich die hostsperm lösche? wird die automatisch neu angelegt? Schadet das was? Was passiert dann?
Und: Was heißt groß? 768KB ist das groß?

Ja, das ist riesig. Meine ist seit Monaten in Benutzung und trotz vieler Regeln (ich erlaube Cookies nur für vielbesuchte Seiten und Foren) grademal 4,5 KB groß. Hat 160 Einträge.

Zitat von vommie

Ja, das ist riesig. Meine ist seit Monaten in Benutzung und trotz vieler Regeln (ich erlaube Cookies nur für vielbesuchte Seiten und Foren) grademal 4,5 KB groß. Hat 160 Einträge.

3 KB aber ohne spybot - 86 Einträge...

-GA-

Zitat von PIGSgrame

Du hast meinen Beitrag entweder nicht vollständig gelesen oder nicht verstanden. Ich habe ausführlich dargelegt, warum ich die Firefox-Immunisierung (nicht die Immunisierung generell) für sinnlos halte.

vllt. hast du auch etwas nicht richtig verstanden, bzw. lese nochmal dein "blödsinniges" und Drumherum, auszugsweise:

Zitat

Spybot verhält sich seit Version 1.5 hier wirklich total blödsinnig. Reichlich 6100 Seiten werden von diesem Programm als gefährlich eingestuft und diese werden bei Immunisierung durch Einträge in die hosts-Datei nach 127.0.0.1 geroutet. Es besteht damit absolut keine Möglichkeit mehr für irgendein Programm, Daten von diesen als gefährlich eingestuften Seiten abzurufen.

Sicherheit ist ein Konzept der Prävention und SS&D versucht diesen Weg zu gehen, somit kein sinnloses Einzelgeplänkel, z.B. duch Reinigung.

Seit SS&D 1.5 ist die Wahlmöglichkeit gegeben, eben u.a. Firefox abzuwählen, eine durchdachte Variante für den Anwender !
Andere haben keine hosts, bzw. können diese nicht nutzen...

soviel zum Thema Blödsinn, sinnlos und SS&D subjektiv nicht zu empfehlen...
das nicht immer alles zu 100% klappt und wie überall dabei auch Risiken oder Fehler entstehen, ist ebenso kaum diskussionswürdig !

Zitat von thebrain

Sicherheit ist ein Konzept der Prävention und SS&D versucht diesen Weg zu gehen, somit kein sinnloses Einzelgeplänkel, z.B. duch Reinigung.

Bzgl. "Konzept der Prävention" scheinen sich ja hier viele mit mir einig zu sein. Ich bin eher der Meinung, dass PC-Sicherheit ein "Konzept des Denkens" sein sollte. Wer sich auf eine Sicherheitssoftware verlässt und den Kopf ausschaltet, "weil ja meine tolle Software alles verhindert", der wird früher oder später einen Schädling auf der Platte haben und verdient es auch nicht anders.

Zitat von thebrain

Seit SS&D 1.5 ist die Wahlmöglichkeit gegeben, eben u.a. Firefox abzuwählen, eine durchdachte Variante für den Anwender !
Andere haben keine hosts, bzw. können diese nicht nutzen...

Keine hosts haben ist auf den Betriebssystemen, unter denen Spybot S&D läuft, nicht möglich. Sie nicht nutzen können eigentlich auch kaum: Wer auf einem Windows-PC so eingeschränkte Rechte hat, dass er nur betriebssystembedingt Lesezugriff auf die hosts hat, der dürfte kaum für dessen Sicherheit zuständig sein.

Halten wir uns also nochmal vor Augen: Es gibt eine Variante, mit der man sämtlichen HTTP-Verkehr sämtlicher Programme zu einer Seite blockieren kann und es gibt die Möglichkeit, dies nur für ein paar einzelne Programme auf andere Weise festzulegen. Da fragt man sich doch: Warum sollte man die zweite Methode wählen? Noch schlimmer, warum sollte man beide Methoden wählen, obwohl die zweite problembehaftet und komplett redundant ist? Immerhin schlägt SS&D standardmäßig vor, beide Methoden anzuwenden. Wo dabei jetzt die "durchdachte Variante für den Anwender" sein soll, sehe ich einfach nicht.

Zitat von thebrain

soviel zum Thema Blödsinn, sinnlos und SS&D subjektiv nicht zu empfehlen...

Wie gesagt, ich habe dargelegt, warum ich von "blödsinnig" und "sinnlos" spreche und es ist kein einziges Argument gekommen, das meine Ansicht dazu hätte ändern können. Selbst in dem von dir zitierten Satz gehe ich nur auf die Redundanzen ein, die zweifelsohne vorhanden sind. Ich habe auch bereits dargelegt, dass der TeaTimer in den letzten Versionen immer mal Ärger macht, und so bin ich, nachdem ich SS&D lange Zeit auf jedem neuen Kundenrechner installiert hatte, nun dazu übergangen, es "subjektiv nicht mehr zu empfehlen". Selbstverständlich subjektiv, wie denn auch sonst? Meine Empfehlungen spreche ich stest nur anhand meiner gewonnen Eindrücke von einer Software aus.

Ich bleibe dabei, dass ich derzeit Spybot S&D insgesamt nicht empfehlen kann und erst recht vom Einsatz der Firefox-Immunisierung abrate. Es ist jedem selbst überlassen, wie viel er auf meine Empfehlungen geben möchte.

Zitat von thebrain

das nicht immer alles zu 100% klappt und wie überall dabei auch Risiken oder Fehler entstehen, ist ebenso kaum diskussionswürdig !

Korrekt. Aber das heißt wohl kaum, dass jeder Sicherheitsansatz über jede Kritik erhaben ist, "weil ja sowieso nicht alles 100%ig klappt". Und im Falle der Firefox-Immunisierung von SS&D kritisiere ich, dass sie redundant, potentiell problematisch und in der weit überwiegenden Anzahl der Fälle unnütz ist.

... hatte auch lange Spybot S&D mehr oder weniger standardmäßig installiert, und weil ich dachte: "es kann ja nicht schaden", aktualisierte ich regelmäßig das "Immunisieren" - sowohl für IE wie für Firefox - hatte im Grunde damit auch nie Probleme. Aber irgendwann letztes Jahr kam eine neue Version raus, und offensichtlich wurde das Immunisieren extremst ausgebaut, so dass sich die Einträge (auch in den Ausnahmen der Cookies im FF) auf einen Schlag vervielfachten. Da ich hier auch keinen besonders schnellen Rechner am Start habe, führte dies - im Kontext - dazu, dass im Fox keine Ansicht der Cookie-Ausnahmen mehr möglich war - der Fox hängte sich daran auf und musste per Taskmanager beendet werden. Es hat 'ne ganze Weile gedauert, bis ich auf die Idee kam, dass es nur Spybot sein kann, der diesen Scheiß verursacht. Seit dem ist Spybot bei mir nur noch für den Notfall als Installer auf dem Rechner, um gegebenenfalls damit einen Scan durchführen zu können.

Und da es trotz alledem nicht schaden kann, in den Ausnahmen der Cookies diverse einschlägige URL's zu blocken, benutze ich dafür SpywareBlaster, der nichts anderes macht, ca. einmal im Monat upgedatet wird, dafür aber nicht eine derartige Mega-Liste da rein haut; für meinen Zweck reicht es völlig, wenn in den Ausnahmen z.B. für doubleclick, falkag und ähnliche URL's das Setzen von Cookies etc. unterbunden wird - seit dem ich das Progrämmchen im Einsatz habe (mindestens seit 2 Jahren) ist bei mir kein einziges Werbe-Popup mehr aufgetreten, zumal mir Firmen wie doubleclick (Link: Wikipedia) ohnehin äußerst suspekt sind und ich mir so was möglichst vom Rechner fern halte.

Grüße - doubletrouble

... mit welchen denn? ... hatte in den zwei Jahren noch nie Probleme damit und hab''ne Menge Programme ausprobiert - würde mich wirklich interessieren. Es gibt allerdings noch einige andere Proggi's mit ähnlichen Namen - vielleicht verwechselst Du da was!? SpywareBlaster ist kein Programm, das permanent im Hintergrund läuft - hat keinen Scanner und nix dergleichen. Was soll da unverträglich mit anderen Programmen sein?

Grüße - doubletrouble

... hab gerade mal gegooglet - das einzige Problem, das ich beim groben Überblick finden konnte, bezog sich auf KAV, und das Problem lag an KAV und wurde gefixt. Bei solchen Programmen stellt sich doch eher die Frage, wer nicht mit wem kann; Fehlarme etc. hat's schon zu genüge gegeben. Eine konkrete Inkompatibilität mit anderen Anti-Malware-Programmen konnte ich in Google nicht ausmachen; eher das Gegenteil: es wird in der Regel (auch bei Trojanboard, HJT-Foren etc.) in positivem Sinne als ergänzendes Tool zur Vorbeugung erwähnt. Wie gesagt: wenn man nicht gerade (alle paar Wochen mal) ein Update macht und die Einträge in den Ausnahmen etc. aktualisiert, was insg. in 2-3 Minuten erledigt ist, läuft ansonsten durch SpywareBlaster kein einziger Prozess. Einige Leute glauben jedoch, dass es einen Guard etc. hat - das ist definitiv nicht der Fall. Es dient doch zu nichts anderem als zur periodischen Eingabe von URL's, was man theoretisch auch mit der Hand machen könnte.

Grüße - doubletrouble

Also ich nutze Spybot (ohne Immunisieren von Firefox), AdAware und Spywareblaster. Habe bisher nie ein Problem mit den Programmen gehabt. :wink:

Zitat von PIGSgrame

...das meine Ansicht dazu hätte ändern können...

war auch nicht meine Absicht, hier einzig und allein das "Spybot verhält sich seit Version 1.5 hier wirklich total blödsinnig", nur weil der Anwender etwas kritisiert, was er gar nicht zu benutzen braucht !

Zitat

Andere haben keine hosts...(aus dem Kopf heraus gewesen)

Keine hosts haben ist auf den Betriebssystemen, unter denen Spybot S&D läuft, nicht möglich...

Win98...

Zitat

Copyright (c) 1998 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP stack for Windows98

unter W9X -Systemen muß die vorhandene hosts.sam als
hosts
also ohne Endung gespeichert werden damit sie greift,
sonst wird sie ignoriert .

beliebte Arbeiten...für jemanden mit PC-Kenntnis...
[Blockierte Grafik: http://s2.directupload.net/images/080212/temp/e3j7tu6l.jpg] stimmt [Blockierte Grafik: http://s3.directupload.net/images/080212/temp/o7zmiigu.jpg]

da ich zugegebenerweise mit diesem ausgestorbenen system auch nicht so auf Du bin, kurz mal getestet:

[Blockierte Grafik: http://s6.directupload.net/images/080212/temp/mhvmbek8.jpg] stimmt [Blockierte Grafik: http://s3.directupload.net/images/080212/temp/66wmy5dc.jpg] nun nicht mehr

Zitat

bzw. können diese nicht nutzen...

die "Nutzung" bezog sich natürlich auf eine immunisierte hosts...mit dann Problemen bei Windows 2000

Zitat

Ich habe Win 2000 SP4 und hatte das gleiche Problem mit 100% CPU der services.exe (bei mir jedes mal, wenn ich die Internetverbindung hergestellt habe)

100% CPU-Auslastung...services.exe desweiteren zu ohne Probleme...mit Probleme

klar mitunter auf alten Kisten ! :wink:

der Form halber...was ist Teil der immnisierung ? z.b. die sogenannten Killbits:

Zitat

..die ActiveX Controls benutzen in der Registry CLSIDs, hexadezinale Schlüssel, unter denen ihre Informationen abgelegt werden. Wenn man unter einem solchen Schlüssel das so genannte Killbit setzt, führt Windows diese Controls nicht mehr aus.

Diese CLSIDs sind in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility" verstaut. Wenn man dort den DWORD Wert "Compatibility Flags" Auf dezimal 1024 setzt, werden die Controls nicht mehr ausgeführt.

System (fast) sicher machen
Gnmpf und die SS&D-Immunisierung

Zitat

Mit "Custom Blocking" ist es möglich eine eigene Liste ActiveX-Kontrollen zu erstellen. Man kann Einträge hinzufügen, sie entfernen oder die gewählten CLSID verändern. Man kann sich vor diesen Einträgen schützen und sie auch wieder entfernen. Es wird davor gewarnt, Custom Blocking Lists anderer zu übernehmen, wenn man sie nicht wirklich kennt.

HJT-Forum...bekannt und trotzdem nochmal
und der aktuelle SpywareBlaster hat ebenso "Lade-Überprüfungs-Probleme" mit der Immunisierung von SS&D...z.Zt.
The upcoming new release of SpywareBlaster will be fully DEP compatible... also wohl demnächst !

gemeint hier natürlich nicht die Filesharer, denn da ist Compatibilität überflüssig...
wenigstens da sind wir uns ja einig !

so, vllt ist ja einer von euch so nett und postet hier mal eine Anleitung, wie man in Spybot Search and Destroy dieses Doppelte blockieren (also einmal über die Windows-Datei und einmal über den Firefox) abstellt. Ich habe diese Einstellungsmöglichkeit nirgends gefunden. Oder muss ich jetzt jedes profil einzeln abwählen?
Also ich will die "bösen URLs" generell für Windows blocken und nicht noch zusätzlich in der hostperm im Firefox. Wo stelle ich das um?
Muss ich einfach alle Haken abwählen beim immunisieren und nur unter der Überschrift Windows :arrow: Global (Hosts) anwählen?

edit: ach ja, nachdem ich einfach mal im Immunisiren-Fenster auf Rückgängig gedrückt habe und das dann fertig war (10 Min.), ist meine hosperm1 nur noch 4KB groß :lol:

Zitat von Freak416

Muss ich einfach alle Haken abwählen beim immunisieren und nur unter der Überschrift Windows Arrow Global (Hosts) anwählen?

Richtig.

Zitat

ach ja, nachdem ich einfach mal im Immunisiren-Fenster auf Rückgängig gedrückt habe und das dann fertig war (10 Min.)

Bei mir hat es über 1 Stunde gedauert.
Was für ein Sch*iß!

Wenn ich mal kurz ein paar Sachen einwerfen darf...

1. Über Jahre hinweg haben unsere User gejammert, daß die Immunisierung nur den Internet Explorer unterstützt, wir sollten doch auch den Firefox hinzufügen. Jetzt tun wir das, und es wird umgekehrt darüber gejammert. Welcher Userhälfte soll man's nun rechtmachen? Das auf Nachfrage jeweils zu erklären haben wir ja versucht, aber wer fragt denn direkt bei uns nach? Einer aus Hundert vielleicht, und die 99 anderen wären immer noch enttäuscht

2. Um es allen Usern rechtzumachen gibt's die kleinen Checkboxen vor den einzelnen Immunisierungseinträgen (Tipp: Rechtsklick auf die Liste bietet auch die Möglichkeit, alle Einträge zu wählen/entwählen, damit man sich nicht mühsam durchklicken muss). Wer den Firefox nicht immunisiert haben möchte, nimmt die raus, fertig. Schon könnten beide Parteien glücklich sein Genauso lassen sich über die Checkboxen nur die Firefox-Immunisierungen rückgängig machen.

3. Ich selber benutze auch lieber AdBlock und NoScript, das haben wir entsprechend auch jahrelang empfohlen. Aber "Immunisierung" ist nunmal irgendwie als "mit browsereigenen Blacklists arbeiten" definiert, d.h. ein eigenes Addon zum Blocken wäre schon nicht mehr "Immunisieren" gewesen (und ja auch irgendwo eher noch "sinnlos", Konkurrenz zu existierenden schon sehr guten Addons zu machen).

4. Ich wünschte jemand aus unserem Team würde die Zeit finden, mal etwas zum Firefox-Code beizusteuern Ich meine - ein paar zehntausend Einträge, das ist eigentlich ein Klacks! Man nehme einen Trie, der jeweils nur bei Änderungen der Liste aktualisiert wird, und benutze zum Nachschlagen in der Blacklist etwa den Aho-Corasick-Algo, und die Verzögerung dürfte überhaupt nicht mehr auffallen. Die momentane "Bremse" kommt mir fast vor wie eine einfache lineare Suche in der Blacklist. Ein solches Update fände ich persönlich am besten Könnte man vielleicht auch mal als Feature Request irgendwo im Firefox-Bugzilla loggen?

5. Ob nun Hosts UND Hostperm.1 zusammen "sinnlos" sind, ist auch so ein Problem über das man streiten kann Ich nenn das jetzt mal redundante Sicherheit. Ist ja nun nicht so, als ob es nicht Malware gäbe, die die eine oder aber andere Methode schlichtweg rauswirft, wenn sie es irgendwie doch reingeschafft hat. Dutzende von Malware-Samples etwa modifizieren die Hosts-Datei selber. Wo schütze ich mich also, wenn ich nur eine Ebene in Anspruch nehmen will? Nur im Firefox? Dann kommt die eine oder andere Malware, die eben schon außerhalb des Browsers ist, problemlos an die Leitung nach Hause. Nur in der Hosts-Datei? Die wird auch gerne manipuliert (der "TeaTimer" 2.0 wird da allerdings drauf ausgelegt sein, bösartige Änderungen zu blockieren).

6. Wo ich da noch Windows 2000 + Hosts-Datei + Lahm lese: Hosts file immunization and Windows 2000. Spybot-S&D 1.5.2 ermöglicht diese Immunisierung gar nicht mehr, wenn der abbremsende Systemdienst läuft.