Trojaner-Board - Avast meldet Win32:Trojan-gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Avast meldet Win32:Trojan-gen (https://www.trojaner-board.de/109168-avast-meldet-win32-trojan-gen.html)

Avast meldet Win32:Trojan-gen

Hallo,

eigentlich dachte ich dass ich mit surfen Browser, der ausschließlich in einer Sandbox betrieben wird, sowie herunterladen nur von serösen Seiten wie chip oder Computerbase, vor Viren sicher wäre, doch in letzter Zeit meldete Avast ein paar Mal eine geblockte Verbindung, die von der Chrome.exe aufgerufen wurde, diese lief aber ausschließlich in der Sandbox. Die geblockte Verbindung war zu der Seite h**p://ad.ad-srv.net/zone/1p/On44zjgj alles nach /zone variert, komischerweise wurde die Verbindung von seriösen Seiten aufgerufen. Nach etwas Recherche, bin ich zu dem Schluss gekommen, dass die Verbindung von Werbe Bannern etc. aufgerufen wurde. Nach dem ich den AdBlocker installiert hatte, und alle Werbe Banner verschwanden, hatte ich diese Meldung kein einziges Mal mehr. Das einzige Rätsel was blieb, warum konnte Avast diese Verbindung erkennen, wenn alles doch in Sandboxie ablief?
Doch nun zu dem was mich beunruhigt:
Am 03.02. fand Avast die Bedrohung: Win32:Trojan-gen und zwar im Pfad: C:\Program Files\AVAST Software\Avast\defs\12020300\Sf.bin

Dies geschah bei der täglichen Überprüfung, aber ich habe davon nie etwas mitgekriegt, sondern sah es heute nur in den Protokollen, als ich die Details, vom heutigen Fund, der genau die gleiche Bedrohung enthielt nachguckte, denn heute wurde der gleiche Virus in den Dateien gefunden:
C:\Program Files(x86)\Google\Update\1.3.21.99\GoogleCrashHandler.exe
C:\Program Files(x86)\Google\Update\Download\{430FD4D0-B729-4F61-AA34-91526481799D}\1.3.21.99\GoogleUpdateSetup.exe

Natürlich habe ich die Dateien sofort in Quarantäne verschoben. Ein Scan mit Malwarebytes, Eset und ein Startzeit Scan von Avast bracuhten alle keinen Fund, hat Avast den Virus entfernt und hatte dieser etwas mit den oben erwähnten geblockten Verbindungen zu tun? Und, wie kann so ein Virus auf mein System gelangen, ich war auf keinen LanParty habe nur im Sandboxie Browser gesurft und meine Programme immer auf dem neuesten stand gehalten.

mfg,
Manuel

Edit:
Als ich die Dateien im Container gerade per Rechtsklick nochmal überprüft habe, kam die Meldung:
GoogleUpdateSetup.exe --kein Virus--
GoogleCrashHandler.exe --kein Virus--

Zitat:

Natürlich habe ich die Dateien sofort in Quarantäne verschoben.

Wieso natürlich? :wtf:
Dem Virenscanner sollte man nicht immer blind vertrauen, schonmal davon gehört, dass es auch Fehlalarme gibt?

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Code:

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.06.02
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

µ@l§X :: µL§X-PC [Administrator]
 

06.02.2012 15:28:53

mbam-log-2012-02-06 (15-28-53).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P

Deaktivierte Suchlaufeinstellungen: 

Durchsuchte Objekte: 328116

Laufzeit: 19 Minute(n), 38 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Das Logfile von Malwarebytes, und hier das von Eset:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=1e51f4c33d5d9d4cba44ca5ca8d4d316

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2012-01-27 04:17:45

# local_time=2012-01-27 05:17:45 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 167378 79308188 0 0

# compatibility_mode=8192 67108863 100 0 188 188 0 0

# scanned=148159

# found=0

# cleaned=0

# scan_time=2756

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=1e51f4c33d5d9d4cba44ca5ca8d4d316

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2012-02-05 06:28:24

# local_time=2012-02-05 07:28:24 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 949137 80093547 0 0

# compatibility_mode=8192 67108863 100 0 785547 785547 0 0

# scanned=149861

# found=0

# cleaned=0

# scan_time=2807

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=1e51f4c33d5d9d4cba44ca5ca8d4d316

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-02-06 03:53:46

# local_time=2012-02-06 04:53:46 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 1030566 80171376 0 0

# compatibility_mode=8192 67108863 100 0 866976 866976 0 0

# scanned=149903

# found=0

# cleaned=0

# scan_time=2100

Fehlt noch irgendetwas, oder wird der Beitrag durch einen technischen Fehler nicht angezeigt?

mfg,
Manuel

Keine Funde. Die erste Meldung war wohl ein Fehlalarm wie ich schon anfangs vermutet habe.
Noch Probleme offen?

Eigentlich gibt es keine Probleme mehr, wobei ich mir bei einer Sache etwas unsicher bin:
Ich hab mir LuxRender von der Herstellerseite heruntergeladen und bei Virustotal überprüfen lassen, hier meldete ein Programm (Jiangmin?) einen Virus, aber nur dieses meldete einen, gehe ich richtig in der Annahme, dass hier ein Fehlalarm vorliegt?

mfg,
Manuel

Ja wird wohl ein Fehlalarm sein

OK, vielen Dank für deine Hilfe.

mfg,
Manuel