PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen WIN32: Trojan-gen {Other}



JMHo
13.05.09, 09:02
Hallo,
seit gestern bekomme ich Alarm von Avast!
Er findet WIN32: Trojan-gen {Other}.

Er wird gefunden in C:\Program Files\Office-Bibliothek\bib.dll
Die ist Bestandteil von Office-Bibliothek (V.4) vom Bibliographischen Institut & Brockhaus

Ist das ein Fehlalarm?
Es ist aber auch nicht möglich, den Virus zu entfernen. Die Meldung kommt immer wieder.

Ich selbst habe Vista Home Premium SP1.
avast! 4,8 in aktueller Version.

MfG
JMHo

Auggie
13.05.09, 10:22
Hallo JMHo

Natürlich ist ein Fehlalarm möglich.
Trotzdem sollte man die Meldung ernst nehmen, denn ebenso kann es sich um eine berechtigte Meldung handeln.
Unternehmen würde ich folgendes:
Hochladen der Datei bei Virus Total (http://www.virustotal.com/de/)
Dort wird die fragliche Datei mit Hilfe einer großen Anzahl von Virenscannern untersucht und Dir nach einiger Zeit das Ergebnis angezeigt.
Wenn die Datei dort bei mehr als 3 Scannern als Malware erkannt wird, würde ich von einer berechtigten Meldung ausgehen.
Parallel dazu bitte einen Boottime-Scan machen und die eventuell erkannten Funde in den sogen. Container verschieben, dort ist der Schädling isoliert und kann keinen Schaden mehr anrichten.
Das Ergebnis von Virus Total und dem Boottime-Scan am besten hier posten, dann überlegen wir, wie wir weiter vorgehen.

Das Programm klingt nach einer Office-Erweiterung, die ich leider nicht kenne. Daher kann ich nichts dazu sagen, wie berechtigt die Meldung ist.
Die Tatsache, das Du die betreffende Datei nicht einfach löschen kannst, deutet aber eher auf Malware hin.
Es sei denn, die Datei ist von Windows selber gesperrt worden. Dann lässt sie sich so ohne weiteres unter Windows nicht löschen.
Daher auch die Empfehlung, einen Boottime-Scan zu machen:
Der wird ausgeführt, bevor Windows geladen wird; es kann sich daher auch keine Datei vor Avast verstecken und Avast kann alle Dateien zugreifen.

LG Auggie

JMHo
13.05.09, 11:28
Hallo,
vielen Dank für die Hilfe!

Hier die Ergebnisse:

Ergebnis -VirusTotal:
Avast 4.8.1335.0 2009.05.12 Win32:Trojan-gen {Other}
eSafe 7.0.17.0 2009.05.12 Suspicious File
GData 19 2009.05.13 Win32:Trojan-gen {Other}

Der Boottime-Scan speziell zu dieser Datei hat die Einschätzung bestätigt.
Sie ist im Container.

Soll ich auch das ganze System durch Boottime-Scan prüfen?
Oder wie verfahre ich weiter.

MfG
JMHo

Auggie
13.05.09, 15:01
Ergebnis -VirusTotal:
Avast 4.8.1335.0 2009.05.12 Win32:Trojan-gen {Other}
eSafe 7.0.17.0 2009.05.12 Suspicious File
GData 19 2009.05.13 Win32:Trojan-gen {Other}
Der Boottime-Scan speziell zu dieser Datei hat die Einschätzung bestätigt.
Sie ist im Container.
Soll ich auch das ganze System durch Boottime-Scan prüfen?
Oder wie verfahre ich weiter.

GData verwendet imho die gleiche Scanengine wie Avast.
Im Container ist die Datei sicher isoliert.
Den Boottime-Scan durchlaufen lassen - Sinn ist neben dem "Erwischen" getarnter Malware auch, das Ausmaß der Infektion festzustellen.
Von Zeit zu Zeit kann das nie schaden.
Sende die Datei auch mal an Avast: Entweder direkt aus dem Programm heraus ---->Rechtsklick auf die Kugel im Systray------>Avast starten------>Menü wählen---->Virus Container----->E Mail an Avast oder manuell:
Mail an virus@avast.com mit Betreff False Positive
Die Datei selber in ein passwortgeschütztes Archiv verpacken, Passwort in den Mailtext
sowie einer kurzen Beschreibung (Fundort, Programmversion des betroffenen Programms, Programmversion von Avast), möglichst auf englisch.
Wenn meine Annahme, das GData und Avast diue gleiche Engine verwenden, stimmen sollte, handelt es sich imho um einen Fehlalarm.....deshalb die Datei an Avast senden.
Dort wird die Datei analysiert, im Fall eines Fehlalarms wird die Virensignaturdatenbank entsprechend angepasst und mit einem der nächsten Updates aktualisiert.
Avast ist da eigentlich immer recht schnell.

LG Auggie

JMHo
13.05.09, 16:14
Hallo,
vielen Dank!

Beim kompletten Boottime-Scan zeigte sich im Grunde kein zusätzlicher Befall.
Nur im Verzeichnis von Avast! (wohl = Container) und im (von Avast! abgebrochenen) Download der neuen Programmversion von Office-Bibliothek, die ich herunterladen wollte, wurde der gleiche Virus angezeigt.

Ich habe die Datei bib.dll eingeschickt.

MfG
JMHo

Auggie
13.05.09, 17:50
Dann hast Du erst mal alles getan, was möglich ist.
Warten wir mal das Ergebnis der Analyse ab.
Die Bezeichnung Trojan-gen besagt, das in der Datei Codeteile gefunden wurden, die Avast verdächtig vorkommen.
Es kann sich dabei, wie eingangs gesagt, um eine berechtigte Meldung oder eben um einen Fehlalarm handeln.
Vor Fehlalarmen ist kein Scanner gefeit.
Allerdings versucht sich Malware natürlich auch, sich möglichst gut zu verstecken; daher sollte man solche Meldungen immer ernst nehmen.

Eins habe ich die ganze Zeit vergessen, zu erwähnen:
Man sollte nach Möglichkeit den betroffenen Rechner vom Internet abkoppeln; so hat Malware keine Chance, neuen Schadcode nachzuladen und Daten zu übermitteln.
Also Netzwerkkabel vom Rechner abziehn und die notwendigen Schritte von einem "sauberen" Rechner aus durchführen.
Tut mir leid, das ich das nicht erwähnt hatte.
Oft lädt ein einmal infizierter PC noch andere Malware aus dem Internet nach, übermittelt Daten wie Passwörter, Mailadressen etc. an seinen Schöpfer.
Dem schiebt man so einen Riegel vor.

Ciao Auggie

JMHo
15.05.09, 20:35
Hallo,
nachdem ich den Rechner vom Netz getrennt, mehrfach gescannt und gereinigt habe (incl. Boottime-Scan), scheint das Problem jetzt gelöst.
Die gleiche Software, die früher Virenalarm ausgelöst hatte, wird jetzt als sauber angezeigt.

Vielen Dank für die Hilfe
MfG
JMHo

Auggie
15.05.09, 21:16
nachdem ich den Rechner vom Netz getrennt, mehrfach gescannt und gereinigt habe (incl. Boottime-Scan), scheint das Problem jetzt gelöst.
Die gleiche Software, die früher Virenalarm ausgelöst hatte, wird jetzt als sauber angezeigt.
Was hat Avast Dir denn zurückgeschrieben? Seit Deinem ersten Posting sind ja schopn ein paar Tage vergangen, und im Falle eines Fehlalarms ist inzwischen die Signaturdatenbank aktualisiert worden; Avast reagiert da immer sehr schnell.

Schön, das wir Dir helfen konnten, und für Dein Feedback.

LG Auggie

JMHo
16.05.09, 09:19
Hallo,
ich habe keine Reaktion Antwort bekommen.
Vielleicht lag das an mir, denn ich habe einfach aus Avast heraus die Sendung der zweifelhaften Datei vorgenommen.
Meine eMail-Adresse hatte ich nicht extra vermerkt.

Im Übrigen habe ich eben jetzt meinen Container noch einmal überprüft.
Die dort sichergestellten Dateien lösen keinen Alarm mehr aus.
So denke ich, war es doch ein Fehlalarm.

Noch einmal vielen Dank!
MfG
JMHo

onlysomeone
16.05.09, 09:58
Leider ist es im Regelfall (so gut wie immer) wirklich so, dass man keine Antwort auf seine Einreichung bekommt. Also keine Antwortmail oder so. :?
Sieht auch nicht so aus, als ob sie das ändern wollen... obwohl ich das für eine gute Idee halten würde. :)

Catweezel
16.05.09, 11:32
Die dort sichergestellten Dateien lösen keinen Alarm mehr aus.

es besteht die Möglichkeit, die Dateien auch komplett aus dem Container zu löschen.....
Weiterhin ist nach dieser ganzen Aktion auch mal angesagt die Systemwiederherstellung zurückzusetzen.


Leider ist es im Regelfall (so gut wie immer) wirklich so, dass man keine Antwort auf seine Einreichung bekommt. Also keine Antwortmail oder so. :?
Sieht auch nicht so aus, als ob sie das ändern wollen... obwohl ich das für eine gute Idee halten würde. :)
wird bei Alwil auch ein personelles Problem sein. Man muss sich vorstellen, dass dort Mail aus der ganzen Welt ankommen. Alleine die Bearbeitung wird schon ein erheblicher Aufwand sein.
Wenn man dann eine Antwort zum Problem senden will, was wohl nicht immer zeitnah sein kann, muss auch wieder die entsprechende Mail gefunden werden.
Obwohl dies auch passiert - ich kann mich an ein Posting hier erinnern, wo mitgeteilt wurde, dass eine Antwort zurück kam.

Gruß Catweezel

JMHo
18.05.09, 15:38
Hallo,
jetzt will ich eigentlich nur meine Enttäuschung äußern.
Nachdem kurzzeitig die fragliche Datei "bib.dll" wieder als unproblematisch eingestuft wurde, bekomme ich nun wieder die alten Alarmmeldungen.
Ich habe die Datei erneut eingeschickt. Mal sehen, was jetzt passiert!
Wenn das so weitergeht, werde ich wohl den Virenscanner wechseln.
Wenig erfreut
JMHo

Auggie
18.05.09, 16:01
Nachdem kurzzeitig die fragliche Datei "bib.dll" wieder als unproblematisch eingestuft wurde, bekomme ich nun wieder die alten Alarmmeldungen.
Ich habe die Datei erneut eingeschickt. Mal sehen, was jetzt passiert!
Wenn das so weitergeht, werde ich wohl den Virenscanner wechseln.
Das die fragliche Datei jetzt wieder als Malware eingestuft wird, kann natürlich bedeuten, das die ursprüngliche Meldung eben doch berechtigt war; woher stammt denn der Download?
Als "sauber" würde ich nur Downloads ansehen, die direkt vom Hersteller stammen; seriöse Hersteller veröffentlichen sogar oftmals die Hashsumme zu ihren Downloads (damit man kontrollieren kann, ob die Datei, die man sich herunterlädt, verändert wurde---->einfach den Wert vergleichen).
Zu welchem Programm gehört die Datei?
Ebenso kann es natürlich sein, das die Signaturdatenbank noch nicht angepasst wurde; oder Dein Avast nicht aktuell ist.

Wenn Du Dir sicher bist, das Dein Download aus einer vertrauenswürdigen Quelle stammt, würde ich einfach mal den Versuch, direkt den Support von Alwil zu kontaktieren und die Reaktion abwarten.

LG Auggie

chromalloy
18.05.09, 16:12
Hallo,

ich muss mich da mal einschalten.
Mir geht es genau so.
Die Datei wurde letzte Woche von Avast angezählt.
Ich nutze G-Data die Avast verwenden.
G-Data erklärte die Datei zum False Positive.
Avira an die ich die Datei ebenfalls sandte sagte auch "Malwarefrei".

Seit heute das gleiche Spiel.

Online Scanner (Virustotal,Jotti) geben nur Meldung bei allen Avast Engine verwendern.

JMho hat geschrieben das er seinen neune Download bei Brockhaus gezogen hat.

Ich habe die CD Version von 2007.

Brockhaus ist mittlerwile auch genervt, da die Hotline damit auch gequält wird.

Also mal kurz:
Als FP eingestuft und mit dem Avast Update von Sonntag wieder als Derivat eines Trojaners erkannt.

Online Scanner sauber bis auf Avast Verwender ?

Hmm, das riecht ....

P.S die Signaturen wurden am Freitag angepasst für die erste Meldung.

Chromalloy

JMHo
18.05.09, 16:25
Als "sauber" würde ich nur Downloads ansehen, die direkt vom Hersteller stammen; seriöse Hersteller veröffentlichen sogar oftmals die Hashsumme zu ihren Downloads (damit man kontrollieren kann, ob die Datei, die man sich herunterlädt, verändert wurde---->einfach den Wert vergleichen).
Zu welchem Programm gehört die Datei?
LG Auggie[/quote]

Hallo,
ich habe den Download direkt vom Hersteller.
Unter dem Linkt findet sich die Angabe:
(MD5: 67f4da1e40017a96f24989fdefd97906).

MfG
JMHo

Merlin
18.05.09, 20:50
Hallo,

wenn die Datei bei allen anderen Scannern sauber ist, dann spricht es entweder dafür, dass avast! hier eine Falschmeldung bringt oder die Datei wurde von einem Virus modifiziert. Ich halte den Fehlalarm allerdings auch für wahrscheinlicher, daher würde ich darum bitten, die Datei nochmal an virus@avast.com einzusenden, wieder mit dem Betreff "False Positive", Link zum Hersteller des Programms und auch mit dem Hinweis, dass es nun wieder falsch gemeldet wird.

JMHo
19.05.09, 07:33
Hallo,
heute früh werden die vier bib.dll im Containere nicht mehr als gefährlich eingestuft.
Vielleicht hat das Einsenden der Datei etwas bewirkt.

Hoffentlich ist es nun so:
1. dass bib.dll wirklich kein Trojaner ist - und
2. dass Avast! seine Einschätzung nun beibehält.

MfG
JMHo

chromalloy
19.05.09, 08:45
Hallo @ all,

mit dem Update von eben (G-Data 19.335 fürs Avast Engine) ist alles wieder O.K.
Avast scheint also etwas korrigiert zu haben.

Ich schließe mich JMHo an und hoffe das es auch so bleibt.

Schönen Tag noch !

Chromalloy

Auggie
19.05.09, 10:16
Den Wünschen schließe ich mich an....
Ich kann natürlich nicht sagen, wie zu der neuerlichen Einstufung als malwareverdächtig gekommen ist; allgemein reagiert man bei Avast aber sehr schnell auf gemeldete False Positives.
Die kommen leider immer wieder vor:
Da heißt es, erst einmal Ruhe bewahren, vorsichtshalber den Rechner vom Netz nehmen und einen Boottime-Scan zu machen; denn ernst nehmen sollte man jede Meldung.

Weil ich es erwähnt hatte, noch etwas zu der Hashsumme von Dateien (am gebräuchlichsten ist MD5):
Diese Hashsumme ist ein für jede Datei einmaliger Wert, wird die Datei geändert, ändert sich auch der Wert.
Manche Hersteller geben auf ihren Downloadseiten die Hashsumme mit an, so kann man verifizieren, ob die Datei, die man sich runterlädt, verändert wurde.
Vergleichen bzw. einen Hashwert anlegen lässt sich das mit speziellen Tools, z.B. WinMD5sum: http://www.nullriver.com/downloads/Inst ... Md5Sum.exe (http://www.nullriver.com/downloads/Install-winMd5Sum.exe)
Um die Hashsumme zu vergleichen, legt man mit dem Tool die Hashsumme der heruntergeladenen Datei an und vergleicht sie mit der Herstellerangabe (sofern angegeben).

LG Auggie

JMHo
19.05.09, 11:13
Hallo,
danke für Hilfe und Information.
MfG
JMH

chromalloy
20.05.09, 09:24
Hallo ,

mit dem Update von heute Morgen das gleiche Spiel wieder.

Die Datei habe ich gestern auf schreibgeschützt gesetzt und nunn wieder ?

Was geht hier ab ??

Wird hier vielleichz seitens AVASt die bib.dll von Adobe mit der bib.dll von Brockhaus vertauscht ?

Chromalloy

Nachtrag:
Habe mir gedacht mach mal ein Update vom Programm bei Brockhaus:
Beim Download des Updates wird vom Brockhausserver die Datei im .zip Archiv ebenfalls angezählt von Avast !!

Und nun hat AVAST wohl arbeit.

JMHo
20.05.09, 11:16
Hallo,
bei mir das gleiche Problem, habe die bib.dll wieder eingeschickt mit dem Hinweis, dass dies jetzt das 3. Mal ist.
MfG
JMHo

chromalloy
20.05.09, 11:38
Hallo,
bei mir das gleiche Problem, habe die bib.dll wieder eingeschickt mit dem Hinweis, dass dies jetzt das 3. Mal ist.
MfG
JMHo

Das alles ist irgendwie nicht mehr lustig.
G-Data ist mittlerweile auch genervt weil ich sie auch dauernd damit konfrontiere.
Brockhaus mit den ich mich ebnfalls schon Montag und heute in Verbindung setzte lässt das wohl auf Managerebene klären so die Hotline von Brockhaus.
Bei Produktivsystem ist sowas absolut tödlich meiner Meinung nach.


Chromalloy

Auggie
20.05.09, 11:39
Bitte bei Einschicken der Datei die Programmversion des betroffenen Programms sowie die genaue Dateiversion mit angeben; das erleichtert die Analyse.
Die gleiche Datei scheint es offensichtlich auch in Adobe-Programmen zu geben.
Es kann gut sein, das eine ältere Version als schadhaft klassifiziert wird und eine neuere (eventuell durch ein anderes Programm installierte) Version nicht mehr.
Diesen Fall haben wir wohl vorliegen.
Manchmal werden bei Programminstallationen oder -aktualisierungen einfach neuere Versionen durch eine ältere überschrieben; so beginnt das Spiel von vorn.
Je nach dem wie die Heuristik arbeitet, schlägt ScannerA an und ScannerB findet verdächtigen Code.

Ich werde mal schauen, ob die Datei auf meinem Rechner vorhanden ist, wenn ja, kann ich sie zur Verfügungung stellen.
chromalloy erwähnte ja, das Adobe diese Bibliothek auch einsetzt, dann sollte ich die auch haben, da ich mehrere Adobe-Programme einsetze.

LG Auggie

chromalloy
20.05.09, 12:19
Hallo,

ich gebe aber zu bedenken das die beiden aber wohl unterschiedliche Funktionen haben.

Mein Duden Prog wollte ich heute aktualisieren und daher habe ich das auch beim Download festgestellt.

Vorher war das Prog so wie es ist von CD installiert.

Es ist also im Moment auf dem Stand der CD.
Für den anderen Rechner gilt das auch, dort ist Avira installiert und die sagen sie ist clean.



chrom

Auggie
20.05.09, 16:03
ich gebe aber zu bedenken das die beiden aber wohl unterschiedliche Funktionen haben.
Scheint so: Adobe Acrobat hat eine Datei namens BIB.dll, die für das Interface-Binding von Acrobat zuständig ist.

Warum z.B. Avira die Datei als clean ansieht und Avast nicht, hatte ich versucht zu erklären:
Da ist die sogen. Heuristik am Werk, die Malware anhand des Codes erkennen soll und nicht anhand der Virensignatur.
Was nun verdächtiger Code ist, ist bei jedem Scanner unterschiedlich; so kann es sein, das ein und dieselbe Datei mal clean und mal verdächtig erscheint, je nach Scanner.
In diesem Fall hat die Heuristik etwas entdeckt, was verdächtig aussieht. Das heißt nicht, das das Malware sein muß; der Code, der bemängelt wurde, wird eben auch häufig bei Malware eingesetzt.
Gerade, wenn die Heuristik einen Fund meldet, kommt es eben leicht auch zu Fehlalarmen.
Das hier ein klassischer Fehlalarm vorliegt, sind wir uns, glaub ich, inzwischen alle einig.
Daher kann man eigentlich ganz einfach die Meldung ignorieren, und abwarten, ob das irgendwann gelöst wird.
Das mag man als lästig ansehen, und vielleicht auch ein absolutes NoGo sein, scheint aber der einzige Weg zu sein.
Eigentlich müßte sich der Hersteller des Brockhaus mit Avast in Verbindung setzen und eine Lösung suchen.

Bei allem bitte eins bedenken: Dies ist kein offizieller Support des Herstellers, sondern ein Forum User helfen Usern!

Au revoir, Auggie

JMHo
20.05.09, 19:08
Hallo,
ich denke ähnlich. Ich werde einfach erst einmal den Alarm wegdrücken, wenn er wegen dieser dll angezeigt wird.
MfG
JMHo

chromalloy
21.05.09, 00:29
Hallo,

habe gerade ein Update gezogen.
Ist für den Moment wieder i.o.
Mal sehen.

Die bib.dll von adobe war nur ein Beispiel was ich beim googeln fand.
Es scheint eine vielzahl solcher Dateien von unterschiedlichen Programmen zu geben.
Warten wir es ab.

Chromalloy

Merlin
21.05.09, 14:24
Hallo,

ein temporärer Workaround wäre die Datei vorübergehend vom Scan auszuschliessen: viewtopic.php?f=24&t=941#p3413 (http://forum.avast.de/viewtopic.php?f=24&t=941#p3413)

chromalloy
21.05.09, 18:47
Hallo,

ein temporärer Workaround wäre die Datei vorübergehend vom Scan auszuschliessen: viewtopic.php?f=24&t=941#p3413 (http://forum.avast.de/viewtopic.php?f=24&t=941#p3413)

Wäre eine Idee.
Besser aber wäre wenn die Analyse bzw. das Whitelistung verbessert wird von Avast.
Oder sie beschäftigen sich mal mit der Downloadbaren Datei bei Brockhaus und analysieren mal richtig.
Weil alle 24 Stunden das gleiche Spiel nervt doch ein wenig oder ??

Chrom

Merlin
21.05.09, 22:38
Hallo,

natürlich nervt das. Man muss allerdings dazu sagen, dass es auf der anderen Seite auch nicht einfach ist, bei so vielen Anwendungen und Dateien, die Datenbank immer richtig zu halten. avast! muss täglich mehrere tausende Mail bearbeiten, da werden aufgrund der Natur eines Virenscanners auch viele Fehlalarm bei sein. Das ist allerdings nicht nur bei avast! so, sondern auch bei der Konkurrenz. Auch da treten immer mal wieder Fehlalarme aus, teilweise auch bei Dateien, die zur Lauffähigkeit des Systems wichtig sind. Ich will das Problem nicht herunterspielen, möchte aber auch um ein bisschen Verständnis bitten.

JMHo
22.05.09, 09:14
Hallo,

ein temporärer Workaround wäre die Datei vorübergehend vom Scan auszuschliessen: viewtopic.php?f=24&t=941#p3413 (http://forum.avast.de/viewtopic.php?f=24&t=941#p3413)

Hallo,
das ist sicher eine Lösung für den Augenblick. Ich würde mich aber über eine Benachrichtiugung freuen, wenn das Problem gelöst ist.
MfG
JMHo

Merlin
22.05.09, 21:38
Hallo,

wir sind leider nicht der Hersteller, aber wenn wir von Neuigkeiten zu dem Problem erfahren, wird es sicher auch jemand hier posten.