ZoneAlarm meldet Trojaner bei Spybot-Analyse

[EcholonOne]

Moin,

ich habe vorgestern mit der älteren Spybot-Version 1.6.?? mein System (Win7, 64-bit) untersuchen lassen. Dabei wurde von meinem ZoneAlarm eine Trojaner gemeldet.
Name: trojan.win32.hosts2.gen
Ort: system32/drivers/etc/hosts

Ich habe den löschen lassen. Daraufhin hat sich mein System einfach runtergefahren. Nach dem Neustart befand sich in C: ein Ordner "Crash".
Das ZoneAlarm-Protokoll meldet, das der Versuch zu löschen gescheiter sei, war mir auch nicht ganz geheuer...

Daraufhin habe ich im Ordner alle Datein und letztlich auch mein System untersuchen lassen. Nichts gefunden, außer andersnamige Hosts-Dateien.....aber das war mir alles nicht geheuer....Also nochmal Spybot analysieren lassen.....und wieder wurde diese Meldung gegeben.

Ich habe diese Dateien auch mit virustotal.com untersuchen lassen, SpywareTerminator suchen lassen, habe mir die aktuelle Version von Spybot geladen. Der hat in der zugewiesenen Ordnersuche nichts entdeckt, habe dann den Datei-Scan gestartet, der läuft seit fast zwei Tagen?!?! Ist das normal?

Im Taskmanager habe ich bis auf drei conhost.exe, die wohl aber mit Boinc zusammen hängen nichts entdeckt.

Meine Frage ist eigentlich einfach, ist das bekannt von Spybot und einfach nur ein Fehlalarm, kann ich noch irgenwas tun? :blink:


Beste Grüße

 

[bbnetwork]

Hallo,

es wäre möglich, das ZoneAlarm die Eintragungen, die Spybot bei der Immunisierung des Systems in der Hostdatei macht, bemängelt, weil ZA die Hostdatei überwachen kann und dann, wenn man mit Spybot immunisiert, eine Änderung der Hostdatei feststellt.

Um dies vollständig zu klären, bitte folgendes zur Verfügung stellen:

- Report von ZoneAlarm
- Immunisierungs-Report von Spybot

Außerdem möchte ich wissen, ob du weitere Sicherheitssoftware im Einsatz hast und um welche "Dateien" es sich genau handelt (die du hast bei virustotal untersuchen lassen)

 

[EcholonOne]

Moin,

danke für die schnelle Reaktion. Ich habe mal einen Report erstellt, ich hoffe mit allem was erforderlich ist. Von meiner alten Spybot-Version bzw. vom Vorfall gibt es das leider nur ein Protokoll von ZoneAlarm, also zumindest habe ich eine Log-File gefunden in der dieser Vorfall dokumentiert ist. Ist etwa am Ende der Textdatei zu finden.
Die Bilddatei zeigt die Dateien die ich mit VirusTotal habe untersuchen lassen.

Ich hoffe das hilft dir und letztlich mir weiter.

Meine Sicherheitssoftware:

ZoneAlarm
Spybot 2.0.12

Seit dem Vorfall habe ich außerdem noch mit SpywareTerminator und Malwarebytes Anti-Malware suchen lassen.

Danke und beste Grüße

 

[bbnetwork]

Hallo, wie bereits vermutet, handelt es sich um die Eintragungen, die Spybot bei der Immunisierung des Systems in der Hostdatei macht.

 

[EcholonOne]

Hallo,

danke für die Beratung, dann bin ich ja beruhigt.

Was mich nur wundert, warum passiert das erst jetzt - und - warum startet mein PC dann neu? Selbstschutzfunktion?

Und warum passiert es beim neuen Spybot nicht mehr?

 

[bbnetwork]

Hast du Zone erst jetzt installiert oder eine Einstellung geändert?

 

[EcholonOne]

Nee, ZoneAlarm hatte ich die ganze Zeit bisher drauf, ich habe auch schon seit längerer Zeit mit Spybot (und ZoneAlarm) gearbeitet und immunisiert - ohne Probleme bisher....

Ist das denn eigentlich auch normal, dass die immunisierten Dateien/Einstellungen, sofort wieder "offen" sind, sobald ich den Browser einmal wieder gestartet habe? Das ist nämlich leider auch der Fall bei mir. :sad:

 

[bbnetwork]

Ist das denn eigentlich auch normal, dass die immunisierten Dateien/Einstellungen, sofort wieder "offen" sind, sobald ich den Browser einmal wieder gestartet habe? Das ist nämlich leider auch der Fall bei mir. :sad:

Hast du Spybot mit Administartor-Rechten ausgeführt?
Rechtsklick->Als Administartor ausführen

 

[spybotsandra]

Hallo,

Hierbei handelt es sich um einen False Positive von Zone Alarm.
Kaspersky hat derzeit dasselbe Problem seit einem der letzten Updates.
Sie erkennen fälschlicherweise die Immunisierung von Spybot, welche die Hostdatei benutzt um bestimmte Webseiten zu blockieren.
Hoffentlich wird dieser Fehlfund so schnell wie möglich behoben.

Mit freundlichen Grüßen
Sandra
Team Spybot

 

[EcholonOne]

Ja, auch schon bei der älteren Version musste ich zum vollständigen Immunisieren, immer als Admin ausführen. Ansonsten hätte er zB die Firefox-Einträge nicht bearbeitet/bearbeiten können.

Ich habs auch nochmal probiert: Als Admin immunisiert, Firebox gestartet, eine Seite aufgerufen, Firefox gestartet, Immunierierungen geprüft, alle wieder ungeschützt/unsicher...

Trotzdem Dank für eure Hilfe, dann sollte das wohl tatsächlich ein Fehlalarm gewesen sein.