Avast findet WIN32:Trojan-gen. {other}

Hallo,

was bisher geschah:
Avast! hat auf meinem Rechner bei folgender Datei mit Virenalarm angeschlagen:
C:\Windows\System32\royale.exe
Der gefundene Virus heisst WIN32:Trojan-gen. {other}

Dann wollte ich die infizierte Datei unter http://virusscan.jotti.org/de/ überprüfen lassen, leider ging das nicht, ich bekomme immer folgende Meldung:
"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

Firewall hatte ich deaktiviert.

Ich habe jetzt ein Log_File mit Hijackthis erstellt (s. Txt-Anhang) und würde gerne die Experten hier bitten sich dieses mal anzuschauen!
Wie gesagt zum Zeitpunkt der Log-Erstellung war die infizierte DAtei noch im System32 Verzeichnis vorhanden!
Vielen Dank mal im Voraus!

Gode

 

hast du etwas zu diesem Zeitpunkt installiert, als Avast den Fund meldete?
____________________________________
probier mal das:

was tun wenn ein Schädling gefunden wurde...
notiere wo (genau) und was gefunden wurde

schalte deine Systemwiederherstellung aus

starte im abgesicherten Modus (durch mehrmaliges drücken der F8 Taste während des Startes)

starte dein Antivirenprogramm
starte Spybot Search&Destroy

starte ad-aware2007

Systemneustart
Systemwiederherstellung wieder aktivieren

HIJACKTHIS log

jedoch gleich vorweg:
das beste.. Neuaufsetzen...

 

Zwei parallellaufende AV-Scanner können sich gegenseitig stören.
Einer davon sollte deinstalliert werden. Ich würde NOD32 behalten.

Dann wird das Nutzerverhalten kräftig ausspioniert:
http://www.trojaner-info.de/faq/anleitungen/big brother.htm
Das dürten folgende Einträge sein:

Code:

O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'SYSTEM')

Und die Sygtate Firewall

 

Hallo,

@humi
ich habe deine obigen Empfehlungen so durchgeführt.
Anbei das neue log.

Zum Zeitpunkt der Meldung habe ich nichts installiert.
Die Datei muss vorher schon irgendwie drauf gekommen sein.

Avast entdeckte diese Datei im Rahmne eines durchgeführten Boot-Scans!

@deoroller
Danke für den Hinweis auf den NOD32 Scanner.
Hatte den nur mal testweise drauf (dann aber nicht deinstalliert).
Scheint dass hier noch Dienste mitlaufen.

Wenn ich das richtig verstanden habe, kann ich die advpack.dll nicht einfach löschen???
Was mir dabei aber auffällt: Ich surfe mit Firefox Browser und nicht IE7 ????

Was meinst du damit????

Gruß
Gode111

 

http://www.rokop-security.de/index.php?showtopic=9987

 

Hi deoroller,

meinst du dass der Sygate Firewall bessre durch einen anderen zu ersetzten wäre??

Ich habe ausserdem meine existierende advpack.dll gelöscht und durch eine neue ersetzt.
Trotzdem erscheint die Meldung immer noch im HJT log.
Woran kann das liegen? bzw. ist die dll vielleicht doch harmlos??

Oder ist es in Verbindung mit dem Firefox Browser unbedenklich?

Gruß und DAnke
Gode111

 

ich kenne zwar nicht Deos Meinung... (ich glaub sie zu kennen )

Naja, meine Meinung über Personal Firewalls (PFW)... sie sind fürn A.

u.a. etwas zu >>lesen<<

 

Gegen einen Router.

Ist vielleicht doch nur der Messenger.
http://www.wintotal.de/Tipps/Eintrag.php?RBID=2&TID=381&URBID=12

 

Hallo,

@humi
Hast du dir das aktualisierte Log nochmal angeschaut??
Gibt es über deoroller's Hinweis auf die advpack.dll hinaus noch etwas zu bemerken?
Wenn nein, sieht das doch so aus, als ob der von Avast gemeldete Virus WIN32:Trojan-gen. {other} ein Avast Fehlalarm ist?!
Andere Virenprogramme haben ihn nämlich auch nicht identifiziert.

Gruß
Gode111

 

fixen (nur unnötig)

einen der beiden aktiven Antivirenprogramme runter...
Sygate weg (du wirst merken dein System wird schneller)
falls du keinen Router hast... kauf dir einen...

die Datei ist nicht mehr da? zumindest seh ich sie nicht aktiv...
falls du wieder eine Meldung bekommst:
die betroffene Datei hochladen auf http://virusscan.jotti.org/de/

wegen dem advpack.dll - Ding kann ich nichts sagen- kenn ich mich nicht aus

 

Hi,

@ X_MAN
Die Datei ist bei mir 98 KB groß.
Auch in den Eigenschften der Datei keine verdächttigen Kommentare od. Hinweise.

@humi
Die Datei royale.exe war zum Zeitpunkt der Log-Erstellung aktiv.
Wie gesagt auch andere Viren-Scanner haben bei der Datei nicht "angeschlagen".
Da sie auch im HJT Log nicht auftaucht, könnte es sein, dass es sich um einen Avast Fehlalarm handelt ???

Wie oben bereits geschrieben habe ich versucht die Datei bei http://virusscan.jotti.org/de/ hochzuladen.
Es kam aber immer folgende Meldung:
"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

Ich habe einen Router (Netgear WPN824).
Den Sygate hab' ich deshalb draufgelassen, da ich hier gezielt Applikationen zulassen od. beschränken kann.
Diese Möglichkeit hab' ich im Router nicht, oder????

Gode111

 

ok die dll hat dann wohl die richtige Grösse

woher weisst du dass die royal.exe aktiv war?
kannst du sie eigentlich löschen /bzw hast du dies schon getan?

Wegen der Sygate.. musst dui selbst wissen.. ich hatte auch mal die Meinung dass ich jeden Zugriff kontollieren will... aber
1. es geht nicht 100%... denn jede Software kann umgangen werden und
2. http://www.brueck-it.de/pfw.html#sygate (e wissen)
3. aus einem sauberen (meinem) System versucht nichts böses raus zu kommen...

 

Ich meinte damit nur, dass die 'infizierte' Datei noch ganz normal im System32 Verzeichnis vorhanden war.
Ich habe sie erst danach gelöscht (bzw. erst in den Viren-Container verschoben und dort gelöscht).

 

das heisst sie war vorhanden aber nicht aktiv
ok verstanden...