Virusmeldung - Fehlalarm?

[Andy009]

Mein Virenscanner heute eine Virus gemeldet.

Folgende Meldung erschien bzw. steht jetzt im Qurantänebereich:

Aufgrund böswilligen Verhaltens in die Qurantäbne verschoben.

Objekt: Blob

Dann stehen untereinander verschiedene Schlüssel: HKEY_Local_Machine\Software\Microsoft u.s.w.

Es handelt sich um 40 verschiedene Schlüssel. (stehen alle untereinander)

Frage: Kann es sich wirklich um einen Virus handeln? Zum Zeitpunkt der Meldung wurden gerade im Hintergrund aktuelle Updates vom Microsoft installiert.


Achso: Ich nutze G DATA IS 2013

[IRON67]

Poste doch einen richtigen Report oder wenigstens einen halbwegs aussagekräftigen Screenshot.

[Andy009]

Hier mal der Screenshot. Mehr Informationen habe ich leider nicht.

[IRON67]

Herrje, wie kompliziert...ne PDF in einem ZIP-Ordner. Eigentlich nichts, was man ohne weiteres öffnen möchte.

Dem Screenshot ist leider kaum was zu entnehmen, außer, dass es offenbar um Zertifikate geht.
Ich bin sicher, dass dein AV auch einen Textreport speichert, wo man das besser nachlesen kann, aber DU bist derjenige, der das Handbuch und die Programmhilfe bereits installiert hat und nachschauen kann.

Apropos Microsoft-Zertifikate: Vielleicht hängt das DAMIT zusammen.

[Andy009]

ja Sorry, ich weiss, das war nicht ideal. Ein anderer Screenshot wäre aber zu groß gewesen. In diesen Forum ist die Größe ja auf 100 kb beschränkt.

Aber ich habe jetzt gesehen, das einige Informationen, die auch im Qurantänebereich stehen auf im protokollorder aufgeführt sind.

Hier also mal der Text:


*** Prozess ***

Prozess: 2364
Dateiname: updroots.exe
Pfad: c:\dokume~1\andreas\lokale~1\temp\ixp000.tmp\updroots.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 05/18/11 12:01:56
Änderungsdatum: 05/18/11 12:01:56

Gestartet von: rootsupd.exe
Herausgeber: Microsoft Corporation


*** Aktionen ***

Das Programm hat Werte in der System-Registrierung verändert die genutzt werden können um das System zu gefährden.
Das Programm schreibt extrem oft in kritische Bereiche der Registry.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\DOKUME~1\Andreas\LOKALE~1\Temp\IXP000.TMP\updroots.exe

Folgende Registry Einträge wurden gelöscht:

\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\132D0D45534B6997CDB2D5C339E25576609B5CC6 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\204285DCF7EB764195578E136BD4B7D1E98E46A5 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\25019019CFFBD9991CB76825748D945F30939542 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\36B12B49F9819ED74C9EBC380FC6568F5DACB2F7 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\37F76DE6077C90C5B13E931AB74110B4F2E49A27 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\3921C115C15D0ECA5CCB5BC4F07D21D8050B566A || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\409D4BD917B55C27B69B64CB9822440DCD09B889 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\6E3A55A4190C195C93843CC0DB722E313061F0B1 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\7030AABF8432A800666CCCC42A887E42B7553E2B || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\80BF3DE9A41D768D194B293C85632CDBC8EA8CF7 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\8E1032E9245944F84791983EC9E829CB1059B4D3 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\8EFDCABC93E61E925D4D1DED181A4320A467A139 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\C73026E325FE21916B55C4B53A56B13DCAF3D625 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE3F40BD5093D39B6C60F6DABC076201008976C9 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\E1A45B141A21DA1A79F41A42A961D669CD0634C1 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\E621F3354379059A4B68309D8A2F74221587EC79 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\E70715F6F728365B5190E271DEE4C65EBEEACAF3 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\EE29D6EA98E632C6E527E0906F0280688BDF44DC || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\FAAA27B8CAF5FDF5CDA98AC3378572E04CE8F2E0 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0048F8D37B153F6EA2798C323EF4F318A5624A9E || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0483ED3399AC3608058722EDBC5E4600E3BEF9D7 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\317A2AD07F2B335EF5A1C34E4B57E8B7D8F1FCA6 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\394FF6850B06BE52E51856CC10E180E882B385CC || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\58119F0E128287EA50FDD987456F4F78DCFAD6D4 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\6A174570A916FBE84453EED3D070A1D8DA442829 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\7AC5FFF8DCBC5583176877073BF751735E9BD358 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\838E30F77FDD14AA385ED145009C0E2236494FAA || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\879F4BEE05DF98583BE360D633E70D3FFE9871AF || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\8EB03FC3CF7BB292866268B751223DB5103405CB || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\99A69BE61AFE886B4D2B82007CB854FC317E1539 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\A3E31E20B2E46A328520472D0CDE9523E7260C6D || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\CABB51672400588E6419F1D40878D0403AA20264 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\CFF810FB2C4FFC0156BFE1E1FABCB418C68D31C5 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\D23209AD23D314232174E40D7F9D62139786633A || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\D29F6C98BEFC6D986521543EE8BE56CEBC288CF3 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\D2EDF88B41B6FE01461D6E2834EC7C8F6C77721E || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\EC0C3716EA9EDFADD35DFBD55608E60A05D3CBF3 || Blob
\REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\F44095C238AC73FC4F77BF8F98DF70F8F091BC52 || Blob

YGLRtpIIKSencnIqJgYqJ3lykicmBiwneXKSJyYGLictJy0mBrli0baSCMlykgd3Kid5cPhykicneWJicJpycnC6ssFZY5ZyssFZY5ZyYmIAAA
Version der Regeln: 3.1.1

C:\DOKUME~1\Andreas\LOKALE~1\Temp\IXP000.TMP\updroots.exe updroots.sst
"C:\WINDOWS\SoftwareDistribution\Download\Install\rootsupd.exe" /q:a /r:n


Aber welche Informationen unter Pfad: c:\dokume~1\andreas\lokale~1\temp\ixp000.tmp\updroots.exe stehen, kann ich leider nicht als Textdatei anzeigen lassen. Funktioniert leider nicht.

[IRON67]

Gestartet von: rootsupd.exe
Herausgeber: Microsoft Corporation

Wie ich bereits vermutete...das ist das Update von Microsoft, in dem einigen Zertifikaten das Vertrauen entzogen wurde. Siehe Link in meinem Vorposting.

Das war also ein Fehlalarm deines AV.

Tipp am Rande: Für Screenshots, also JPG, PNG oder GIF-Bilder nutze doch einfach einen Bild-Hoster wie pic-upload.de. Nach dem Hochladen werden dir verschieden formatierte Links präsentiert, die du nur noch hier einfügen musst und es gibt keine Größenbeschränkung von wenigen hundert KB.

[Andy009]

Tipp am Rande: Für Screenshots, also JPG, PNG oder GIF-Bilder nutze doch einfach einen Bild-Hoster wie pic-upload.de. Nach dem Hochladen werden dir verschieden formatierte Links präsentiert, die du nur noch hier einfügen musst und es gibt keine Größenbeschränkung von wenigen hundert KB.

Danke für die erneute Rückmeldung. Das habe ich mir auch fast gedacht, da die meldung ja beim Update hervorgerufen wurde.

Ebenfalls DANKE für den Tipp am Rande. Habe wieder was dazu gelernt.