Hallo,

eigentlich dachte ich dass ich mit surfen Browser, der ausschließlich in einer Sandbox betrieben wird, sowie herunterladen nur von serösen Seiten wie chip oder Computerbase, vor Viren sicher wäre, doch in letzter Zeit meldete Avast ein paar Mal eine geblockte Verbindung, die von der Chrome.exe aufgerufen wurde, diese lief aber ausschließlich in der Sandbox. Die geblockte Verbindung war zu der Seite h**p://ad.ad-srv.net/zone/1p/On44zjgj alles nach /zone variert, komischerweise wurde die Verbindung von seriösen Seiten aufgerufen. Nach etwas Recherche, bin ich zu dem Schluss gekommen, dass die Verbindung von Werbe Bannern etc. aufgerufen wurde. Nach dem ich den AdBlocker installiert hatte, und alle Werbe Banner verschwanden, hatte ich diese Meldung kein einziges Mal mehr. Das einzige Rätsel was blieb, warum konnte Avast diese Verbindung erkennen, wenn alles doch in Sandboxie ablief?
Doch nun zu dem was mich beunruhigt:
Am 03.02. fand Avast die Bedrohung: Win32:Trojan-gen und zwar im Pfad: C:\Program Files\AVAST Software\Avast\defs\12020300\Sf.bin

Dies geschah bei der täglichen Überprüfung, aber ich habe davon nie etwas mitgekriegt, sondern sah es heute nur in den Protokollen, als ich die Details, vom heutigen Fund, der genau die gleiche Bedrohung enthielt nachguckte, denn heute wurde der gleiche Virus in den Dateien gefunden:
C:\Program Files(x86)\Google\Update\1.3.21.99\GoogleCrashHandler.exe
C:\Program Files(x86)\Google\Update\Download\{430FD4D0-B729-4F61-AA34-91526481799D}\1.3.21.99\GoogleUpdateSetup.exe

Natürlich habe ich die Dateien sofort in Quarantäne verschoben. Ein Scan mit Malwarebytes, Eset und ein Startzeit Scan von Avast bracuhten alle keinen Fund, hat Avast den Virus entfernt und hatte dieser etwas mit den oben erwähnten geblockten Verbindungen zu tun? Und, wie kann so ein Virus auf mein System gelangen, ich war auf keinen LanParty habe nur im Sandboxie Browser gesurft und meine Programme immer auf dem neuesten stand gehalten.

mfg,
Manuel

Edit:
Als ich die Dateien im Container gerade per Rechtsklick nochmal überprüft habe, kam die Meldung:
GoogleUpdateSetup.exe --kein Virus--
GoogleCrashHandler.exe --kein Virus--

Zitat:

Natürlich habe ich die Dateien sofort in Quarantäne verschoben.

Wieso natürlich?
Dem Virenscanner sollte man nicht immer blind vertrauen, schonmal davon gehört, dass es auch Fehlalarme gibt?

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.06.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
µ@l§X :: µL§X-PC [Administrator]

06.02.2012 15:28:53
mbam-log-2012-02-06 (15-28-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 328116
Laufzeit: 19 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Das Logfile von Malwarebytes, und hier das von Eset:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1e51f4c33d5d9d4cba44ca5ca8d4d316
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-01-27 04:17:45
# local_time=2012-01-27 05:17:45 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 167378 79308188 0 0
# compatibility_mode=8192 67108863 100 0 188 188 0 0
# scanned=148159
# found=0
# cleaned=0
# scan_time=2756
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1e51f4c33d5d9d4cba44ca5ca8d4d316
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-02-05 06:28:24
# local_time=2012-02-05 07:28:24 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 949137 80093547 0 0
# compatibility_mode=8192 67108863 100 0 785547 785547 0 0
# scanned=149861
# found=0
# cleaned=0
# scan_time=2807
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1e51f4c33d5d9d4cba44ca5ca8d4d316
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-06 03:53:46
# local_time=2012-02-06 04:53:46 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 1030566 80171376 0 0
# compatibility_mode=8192 67108863 100 0 866976 866976 0 0
# scanned=149903
# found=0
# cleaned=0
# scan_time=2100
         

Fehlt noch irgendetwas, oder wird der Beitrag durch einen technischen Fehler nicht angezeigt?

mfg,
Manuel

Keine Funde. Die erste Meldung war wohl ein Fehlalarm wie ich schon anfangs vermutet habe.
Noch Probleme offen?

Eigentlich gibt es keine Probleme mehr, wobei ich mir bei einer Sache etwas unsicher bin:
Ich hab mir LuxRender von der Herstellerseite heruntergeladen und bei Virustotal überprüfen lassen, hier meldete ein Programm (Jiangmin?) einen Virus, aber nur dieses meldete einen, gehe ich richtig in der Annahme, dass hier ein Fehlalarm vorliegt?

mfg,
Manuel

Ja wird wohl ein Fehlalarm sein

OK, vielen Dank für deine Hilfe.

mfg,
Manuel