TR GenericKD 2079594 - was tun?

[PhilS1984]

Hi zusammen,

habe diesen TR.
Was muss ich tun? Und warum ist der im launcher von NVIDIA ???
Danke

PS: bei Virustotal kommt das!
https://www.virustotal.com/de/file/...cce7883bf3ce7985c1a91e57/analysis/1421258703/
Mit Avira findet der den nicht

Emsisoft Emergency Kit - Version 9.0
Letztes Update: 14.01.2015 18:46:01


Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Rootkits, Speicher, Traces, C:\, E:\

PUPs-Erkennung: An
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	14.01.2015 18:56:49
C:\Users\XXX\AppData\Local\NVIDIA\NvBackend\Packages\000066da\streaming-assets-fallout_new_vegas.19016186.exe -> (NSIS o) -> zlib_nsis0002 	gefunden: Trojan.GenericKD.2079594 (B)
C:\Users\XXX\AppData\Local\NVIDIA\NvBackend\StreamingAssets\fallout_new_vegas\automated_launch.exe 	gefunden: Trojan.GenericKD.2079594 (B)
C:\Users\XXX\AppData\Local\NVIDIA\NvBackend\StreamingAssets\metro_2033\automated_launch.exe 	gefunden: Trojan.GenericKD.2079572 (B)

Gescannt	263556
Gefunden	3

Scan Ende:	14.01.2015 19:10:51
Scan Zeit:	0:14:02

C:\Users\XXX\AppData\Local\NVIDIA\NvBackend\StreamingAssets\metro_2033\automated_launch.exe	Quarantäne Trojan.GenericKD.2079572 (B)
C:\Users\XXX\AppData\Local\NVIDIA\NvBackend\StreamingAssets\fallout_new_vegas\automated_launch.exe	Quarantäne Trojan.GenericKD.2079594 (B)
C:\Users\XXX\AppData\Local\NVIDIA\NvBackend\Packages\000066da\streaming-assets-fallout_new_vegas.19016186.exe	Quarantäne Trojan.GenericKD.2079594 (B)

Quarantäne	3

 

[purzelbär]

Zu deinem Fund trojanerGenericKD hab ich etwas im Trojaner Board gefunden: http://www.trojaner-board.de/155325-trojaner-generic-kd.html lass es am besten erst mal drin in der Quarantäne von EEK und wenn dein System auch ohne die isolierten Funde problemlos läuft, dann lösch diese nach einigen Tagen komplett und überprüf dein System evtl. noch mit Malwarebytes, JRT und AdwCleaner(siehe auch Trojaner Board).

Mit Avira findet der den nicht

Avira kann auch nicht alles findenund man sagt zwar das Avira Free bei der Erkennung sehr gut sei, aber nicht so gut beim aktiven Schutz vor Malware(ist aber nicht meine Meinung, ich halt mich da raus, das schrieb eine erfahrene Userin eines anderen Forums). eshalb: immer mal das System mit einem anderen zweiten Ondemand Scanner überprüfen, egal welches AV man benutzt.

 

[PhilS1984]

Danke für die Antwort.

Was genau bedeutet das denn jetzt wenn ich zb Metro spielen würde? Installiert sich dann irgendein Virus oder wie verstehen ich das?

Es ist ja irgendwie Seltsam, dass die Datein vom NVIDIA launcher betroffen sind.

Ich denke es wird alles laufen .

Lasse gerade noch mal FRST drüber laufen und dann werde ich nochmal Deine Sig durchgehen.

 

[purzelbär]

Lasse gerade noch mal FRST drüber laufen und dann werde ich nochmal Deine Sig durchgehen.

Mit FRST kennt sich hier im Forum emlyn d. aus: https://www.computerbase.de/forum/t...cht-infektion-vor-dem-posten-beachten.741157/ der müsste sich dein FRST Log anschauen.

 

[PhilS1984]

Okay danke.
PS:Ich habe deinen Rat aus der PN befolgt

 

[SEL33]

Es ist ja irgendwie Seltsam, dass die Datein vom NVIDIA launcher betroffen sind.

Was auch seltsam ist,das bei Virustotal nur die Scanner anschlagen,die eine Bitdefender-Engine haben.

 

[PhilS1984]

Was auch seltsam ist,das bei Virustotal nur die Scanner anschlagen,die eine Bitdefender-Engine haben.

Was heißt das?

 

[purzelbär]

Das könnte ein Hinweis darauf sein das die BitDefender Engine das fälschlicherweise als Trojaner erkennen. Dem aber widerspricht der Link zum Trojaner Board und wenn man mal nach dem Trojaner googelt.

 

[xxxx]

Das die bei Bitdefender wieder mal was vermasselt haben. Ist nix neues bei Bitdefender gibt es öfters mal Fehlalarme.

 

[PhilS1984]

Bin ich denn Sicher, wenn ich die Dateien in die Quarantäne verschiebe?

Oder muss ich mehr machen=?

 

[purzelbär]

Bin ich denn Sicher, wenn ich die Dateien in die Quarantäne verschiebe?

Ja denn in der Quarantäne sind die Funde isoliert und können nichts mehr in Windows bzw auf deinem System machen. Bleibt jetzt nur die Frage offen ob es wirklich böse Infektionen sind oder Fehlalarme der Bitdefender Engine.

 

[SEL33]

Also ich vermute,das es sich um einen Fehlalarm handelt,man findet auch in der Google-Suche
(genau 2 Treffer)nicht viel über Trojan.GenericKD.2079572.

 

[donlod]

Hallo, bin vohin nach Hause gekommen und hatte auf einmal eine Menge von Virenmeldungen nach dem heutigen ProgrammUpdate des Virenscanners. Bei mir handelt es sich um die selben Pfade nach nvidia.

Im Detail:

Virenprüfung mit G DATA ANTIVIRUS
Version 25.0.2.4 (08.01.2015)
Virensignaturen vom 14.01.2015
Startzeit: 14.01.2015 20:41:53
Engine(s): Engine A (AVA 24.6078), Engine B (GD 25.4492)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Aus

Prüfung der Systembereiche...
Prüfung folgender Verzeichnisse und Dateien:
  C:\Users\Administrator\AppData\Local\

Analyse vollständig durchgeführt: 14.01.2015 20:44:24
    20348 Dateien überprüft
    4 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden


– Archiv: streaming-assets-dark_souls_ii.18870976.exe
    Pfad: C:\Users\Administrator\AppData\Local\NVIDIA\NvBackend\Packages\00006209
    Status: Datei in Quarantäne verschoben
    Virus: Trojan.GenericKD.2079736 (Engine A)
Objekt: (NSIS o)=>zlib_nsis0002
    In Archiv: C:\Users\Administrator\AppData\Local\NVIDIA\NvBackend\Packages\00006209\streaming-assets-dark_souls_ii.18870976.exe
    Status: Virus gefunden
    Virus: Trojan.GenericKD.2079736

– Archiv: streaming-assets-assassins_creed_iii.18975565.exe
    Pfad: C:\Users\Administrator\AppData\Local\NVIDIA\NvBackend\Packages\000065bb
    Status: Datei in Quarantäne verschoben
    Virus: Trojan.GenericKD.2079644 (Engine A)
Objekt: (NSIS o)=>zlib_nsis0004
    In Archiv: C:\Users\Administrator\AppData\Local\NVIDIA\NvBackend\Packages\000065bb\streaming-assets-assassins_creed_iii.18975565.exe
    Status: Virus gefunden
    Virus: Trojan.GenericKD.2079644

– Archiv: streaming-assets-assassins_creed_iv.18991638.exe
    Pfad: C:\Users\Administrator\AppData\Local\NVIDIA\NvBackend\Packages\00006677
    Status: Datei in Quarantäne verschoben
    Virus: Trojan.GenericKD.2078960, Trojan.GenericKD.2079485 (Engine A)
Objekt: (NSIS o)=>zlib_nsis0003
    In Archiv: C:\Users\Administrator\AppData\Local\NVIDIA\NvBackend\Packages\00006677\streaming-assets-assassins_creed_iv.18991638.exe
    Status: Virus gefunden
    Virus: Trojan.GenericKD.2078960
Objekt: (NSIS o)=>zlib_nsis0004
    In Archiv: C:\Users\Administrator\AppData\Local\NVIDIA\NvBackend\Packages\00006677\streaming-assets-assassins_creed_iv.18991638.exe
    Status: Virus gefunden
    Virus: Trojan.GenericKD.2079485

Objekt: automated_launch.exe
    Pfad: C:\Users\Administrator\AppData\Local\NVIDIA\NvBackend\StreamingAssets\assassins_creed_iv
    Status: Datei in Quarantäne verschoben
    Virus: Trojan.GenericKD.2079485 (Engine A)

Außerdem hatte davor der leerlaufscan vor diesem manuellen Scan schon 3 andere Dateien gefunden, die sich ebenfalls im StreamingAssets Ordner befanden. Das waren ebenfalls die selben Spiele die auch hier oben gelistet sind:

- automated_launch.exe im Ordner StreamingAssets\assassins_creed_iii
- automated_exit.exe im Ordner StreamingAssets\assassins_creed_iv
- automated_exit.exe im Ordner StreamingAssets\dark_souls_ii

Die Spiele sind nicht gecrackt, sondern alle durch Steam oder im Einzelhandel erworben. Was es mit nvidia zu tun hat, da kann ich nur vermuten, dass es am Programm Geforce Experience liegt (von nvidia), was unter anderem auch eine Streaming Funktion für alle installierten Spiele bietet. Habe nun 7 Dateien von diesem Pfad in der Quarantäne.

 

[Randy89]

Wenn man den Kommentatoren auf VT glauben schenken mag, ist es ein False Positive.
Kannst ja die anderen beiden Dateien hochladen und schauen, ob sie dasselbe Muster zeigen.

@ purzelbär: Trojan.GenericKD[zufällige Nummer hier] ist ledigleich eine Signaturbezeichnung, das hat nix zu sagen. Erst recht nicht, wenn in deinem Link zum TB-Forum eine völlig andere Nummer (1698786) erwähnt wird.

Ergänzung (14. Januar 2015)

G Data hat Bitdefender-Engine drinn und dürfte bei einem möglichen False Positive ebenfalls betroffen sein.
Wendet euch an dem Hersteller des Programms, bei dem diese Entdeckungen gemacht worden sind oder im Falle von dem Emergency-Kit-Dingens: http://www.bitdefender.com/site/Main/automaticSampleUploader/

 

[purzelbär]

Ich weiß Randy, sollte lediglich ein Hinweis sein auf TR Generic Infektionen. Dazu hat ein User eines anderen Forus auch etwas von malwaretips verlinkt: http://malwaretips.com/blogs/trojan-generickd-removal/

 

[Randy89]

Bei generischen Entdeckungen und bei der Verwendung von Spezial-Tools sollte man vorsichtig sein.

 

[SEL33]

Der Link ist aber Quatsch,da beim TE keine Löschaktionen erforderlich ist.

 

[Randy89]

Tendiere auch dazu. Außerdem würde ich auch keine Löschaktionen ohne Aufsicht eines Malware-Experten vorschlagen, sondern eher ein Neuaufsetzen. Gemäß dem Fall, dass es sich nicht um ein False Positive bei mindestens einer Datei handelt.

 

[SEL33]

@PhilS1984

Ich würde dir empfehlen die Dateien aus der Quarantäne wiederherzustellen.

Ergänzung (15. Januar 2015)

Sehe gerade,der TE macht Crossposting in diversen Foren.

Ich bin raus.

 

[PhilS1984]

Ich wusste nicht, dass Crosspostings sehr schlimm sind. Falls ich da irgendetwas missverstanden habe oder jemanden inirgendeiner Art verletzt habe, war das nicht meine Absicht.

Im TR Board geht es um eine andere Infektion und ja der bin ich.
Nachdem ich dann mit Emisoft über den PC gegangen bin fande ich die anderen Funde. Das habe ich dann in dem Emisoft Board (weil ich dachte dort ist man an der Quelle) gepostet und im CB Forum. Dort wurde mir dann von einem USer der Tip gegebne ich sollte mich mal ans PC-Sicherheit Voard wenden, weil dort sehr kompetente User seien, was ich bestätigen möchte.

Daher sind beide Funde meine Funde.
Da ich bisher fast nie irgendwas hatte (Virentechnisch), war ich eigentlich froh, dass ich mehrere Anlaufstellen hatte. Sofern das nicht richtig war, bitte ich das zu entschuldigen. ops: