Du bist nicht angemeldet.

Chrdrenkmann

"Fla(us)ch(i)bau(s)ch(i)"

  • »Chrdrenkmann« ist männlich
  • »Chrdrenkmann« ist der Autor dieses Themas

Beiträge: 9 274

Dabei seit: 9. Juli 2011

  • Private Nachricht senden

1

Freitag, 4. September 2015, 12:16

Virushinweis ernstnehmen?

Hi.

Ich habe mich zwar schon im Internet belesen, kann mich aber immer noch nicht entscheiden, was ich von meiner Situation halten soll. Deshalb frage ich euch mal, da sich hier ja sicherlich einige auskennen.

Folgendes. Gestern Abend hat mir Avira diesen Virusfund angezeigt:

Quellcode

1
2
Letzte betroffene Datei: C:\Program Files (x86)\Norton Internet Security\Engine\22.5.2.15\coActMgr.dll
Malware: TR/Spy.Gen

Wie man erkennen kann, ist die befallene Datei von einem anderen Virenschutzprogramm. Daher meine Frage: Kann es sein, dass diese Nachricht ein Fake ist, da Virenschutzprogramme ja auch einen Konkurrenzkampf haben? Es ist nämlich so, dass Norton gestern Abend ein Update machen wollte und Avira da vielleicht angeschlagen hat.

Ich habe mir einiges über TR/Spy.Gen angesehen. Avira selbst beschreibt den Trojaner mit einem niedrigen Schadenspotenzial, es gibt allerdings auch User, die meinen, dass man alles formatieren bzw. neu aufsetzen sollte. Bisher ist mir noch nicht allzu Ungewöhnliches aufgefallen. Nur, dass mein PC in der Nacht plötzlich in den Schlummermodus ging, nachdem er eine Stunde im Standby-Modus war und dass er, als ich ihn heute hochgefahren habe, die Dateien auf dem Desktop 4-5 Mal für ein paar Millisekunden neu geladen hat.

Habe die Datei natürlich derzeit bei Avira in Quarantäne, das muss aber nicht viel bringen.

Was meint ihr dazu?

2

Freitag, 4. September 2015, 12:58

Wieso hast du zwei Antivirenprogramme auf deinem Rechner? Mehr als eines ist überflüssig, beißt sich (wie du selbst sehen kannst) mit dem anderen und verbraucht mehr Ressourcen.

Zitat

What is coactmgr.dll?
coActMgr is part of Norton Confidential, a program designed to encrypt passwords online and to detect phishing sites. Norton Confidential runs as a web browser extension for Internet Explorer and Firefox.

Typical file path:C :\Program Files\norton internet security\engine\19.9.0.9\coactmgr.dll
Ich tippe auf einen false positive durch Aviras eigene Virensignatur. Du kannst die Datei sicherheitshalber auch auf virustotal oder jotti hochladen und posten, was dir die Seiten anzeigen. Bezüglich des Schlummermodus würde ich an deiner Stelle mal einen Blick in die Energieoptionen werfen und diesen ggf. deaktivieren. Wenn deine Desktop-Symbole nicht wieder dieses Verhalten aufweisen, würde ich mir keine Gedanken machen.

Unabhängig von der ganzen Sachlage empfehle ich dem eher nicht technisch versierten Benutzer regelmäßige Virenscans oder/und einen Suchlauf (mittels anderer, schlanker Software) auf andere Schadprogramme, darauf acht zu geben, was man wo installiert und welche Programme/Prozesse im Taskmanager laufen oder mit dem System gestartet werden. Und vor allem: brain.exe einschalten.

1 Benutzer hat sich bedankt.

Namenloser

Eckministrator

  • »Namenloser« ist männlich

Beiträge: 1 863

Dabei seit: 30. Juni 2011

Beruf: Eckneet

  • Private Nachricht senden

3

Freitag, 4. September 2015, 16:02

Wie man erkennen kann, ist die befallene Datei von einem anderen Virenschutzprogramm. Daher meine Frage: Kann es sein, dass diese Nachricht ein Fake ist, da Virenschutzprogramme ja auch einen Konkurrenzkampf haben? Es ist nämlich so, dass Norton gestern Abend ein Update machen wollte und Avira da vielleicht angeschlagen hat.

Würde mich jetzt nicht wundern, nachdem ich letztens noch das hier gelesen habe.

Laut Internet soll die echte coactmgr.dll eine digitale Signatur von Symantec/Verisign tragen. Das würde ich mal überprüfen (wird aber wahrscheinlich nicht gehen, solange die Datei in der „Quarantäne“ ist). Wenn die Signatur stimmt, dann kann es eigentlich nur ein False Positive sein. Umgekehrt, falls sie keine Signatur enthält oder eine falsche, dann ist es ziemlich sicher ein Trojaner.

Ob die Datei signiert ist, kannst du sehen, wenn du im Explorer einen Rechtsklick auf die Datei machst und auf Eigenschaften gehst. Kopier die Datei am besten vorher auf einen anderen Rechner und überprüfe es dort, da ein Trojaner auch die Root-Zertifikate von Windows ausgetauscht haben könnte (dann würde es so aussehen, als wäre die Signatur echt, obwohl sie es nicht ist).

1 Benutzer hat sich bedankt.

Chrdrenkmann

"Fla(us)ch(i)bau(s)ch(i)"

  • »Chrdrenkmann« ist männlich
  • »Chrdrenkmann« ist der Autor dieses Themas

Beiträge: 9 274

Dabei seit: 9. Juli 2011

  • Private Nachricht senden

4

Sonntag, 6. September 2015, 22:34

Danke für die Antworten!

Seitdem ist nichts Auffälliges passiert, daher gehe ich mal davon aus, dass es tatsächlich nichts Schlimmes war.

Warum ich zwei Antivirenprogramme habe, ist auch schnell erklärt. Mein Vater hat mir eine Testversion von Norton raufgehauen und als die abgelaufen ist, kam Avira. Norton ist aber irgendwie immer noch halb aktiv und ich hatte dann keine Lust, mich richtig darum zu kümmern.

Thema bewerten