Frage Fehlalarm AVG: Trojaner BackDoor.Generic13.Y u.ä. ?
 

mein AVG free hatte Trojaner BackDoor.Generic13.YXQ und ähnliche Buchstabenkombinationen (bis YXZ und auch YYC) in frisch runtergeladenen Grafik-Treiberdateien von ATI gemeldet und problemlos entfernt.
Hab mich dann mal mit dem Thema Trojaner tiefer auseinandergesetzt und bin erstmal in Panik geraten: "Entfernt heißt noch lang nicht entfernt".
Zur Überprüfung hab ich deshalb Malwarebytes runtergeladen. Beim Installieren meldet AVGs Residenter Schutz den Fund "Trojaner: BackDoor.Generic13.YXM;"c:\Programme\Malwarebytes' Anti-Malware\mbamcore.dll"
War irritiert und hab an den Support von Malwarebytes gemailt. Antwort: „ Recently AVG is detecting that some of the Malwarebytes files are Trojans(this is a false positive). They have since released a update that will take care of this issue. “
(Hab aber natürlich die aktuellste Virendatenbank-updates drauf)
Bin dann skeptisch wegen dem ähnlichen Trojaner-Namen geworden.
Ich frage mich jetzt, ob auch der erste Fund auch ein Fehlalarm gewesen sein könnte. Dann hätt ich mich unnötig stundenlang quer durchs internet gelesen, meinen Rechner unnötig mit dem Drüber-laufen-lassen verschiedener Virenscanner gequält. (jetzt alle Logs "sauber").

Was meint Ihr?

Hallo und :hallo:

Hört sich an, als wenn AVG da ein wenig überempfindlich ist.
Hast du den zu scharf eingestellt? In ATI-Treiberdateien sollte keine Malware sein. Und in MBAM auch nicht. Du hast diese Dateien doch auch von offiziellen Mirrors runtergeladen oder?

Generisch/Generic (auch "gen") bedeutet immer, es wurde keine explizite (bestimmte) Malware gefunden, sondern nur etwas "typisches", generisches (= allgemeines!), was die AV-Software jetzt mal "sicherheitshalber" als Malwaregefahr ausgibt.
Dass ATI-Treiber wenn sie direkt vom Hersteller kommen (also von dort direkt heruntergeladen wurden!) viral sind, ist nicht unmöglich aber unwahrscheinlich, vorallem wenn man darüber kurz später nichts in einschlägigen Quellen liest. Noch mal herunterladen und bei jotti oder virustotal.com überprüfen, wäre eine Möglichkeit. Sollte aber wider Erwarten doch Malware drinnen sein, ist es mit einem Risiko behaftet. :pfeiff:

Nein, du hast was gelernt und eine Überprüfung schadet nicht extrem.

Hi, man lernt doch immer dazu...
Im Forum allerdings effektiver als bei der web-suche (all die Zeit und Nerven ärgern mich doch, wenns ein Fehlalarm war)
wusste ich nicht, hab ich auch nirgends gefunden. Auch bei Beiträgen hier im Forum hab ich immer "ganz normale" Trojanerverfolgung für Generic gefunden. Hätte mir (und meinen Nerven) echt geholfen. Danke für den Hinweis, beruhigt mich!
Hab glaub ich die Orginaleinstellungen. Wohin sollte ich die verändern?
Klar, aber da AVG bei genauerer Betrachtung den Trojaner erst nach ca. 1 Monat nach dem Runterladen entdeckt hat, hab ich überlegt, ob der Trojaner die Dateien erst später befallen haben könnte. War vorher nicht bei allen Downloads so aufmerksam, Schocktherapie...
Hab ich bei den ATI-Treiberdateien nicht gemacht, weil ich nicht ganz sicher bin, welches der richtige Download wäre, da ich verschiedene Versionen heruntergeladen hatte (von der HP-Seite für mein 615 Notebook) und es nicht so gefunkt hat. Malwarebytes hat sich ja geklärt-
jotti hat mich dann vor neuen Schocks bewahrt, als ich die von den anderen Virenscanner gemeldete verdächtigen Dateien überprüft hab:
Antivir hatte im 2., tiefen Scan 1 Trojaner gemeldet: Trojanische Pferd TR/Trash.Gen in C:\System Volume Information\_restore{C4C3961C-DAD9-4DB6-A8E6-E06BB0D3E5B9}\RP349\A0147393.exe
In jottis sahen das (nur?) 2 von 19 Scannern als malware an (Avira + Kaspersky). Allerdings Kaspersky als: Packed.Win32.Krap.hc

Dr.Web CureIt meldete im Gesamtdurchlauf Trojan.DownLoader1.34968 in Brothersoftdownloader_for_Timechecker.exe.
In jottis sahen das nur 1er von 19 Scannern so (eben Dr.Web).

Dr.Web CureIt hat mir im tiefen, dann abgebochenen Durchlauf dazu noch Trojan.PWS.Siggen.5821 in 23 infizierten Dateien gemeldet, vor allem in Backup zip Archives meines Firmenprogramms, einer zugehörigen DLL, ION, einer Datei ohne Dat.endung...
jotti: keiner ausser Dr.Web.

Was ein Spaß!

PatrickFR