Druckversion des Themas
Rokop Security _ Trojaner, Viren und Würmer _ Fehlalarme von Malwarebytes
Geschrieben von: simracer 07.11.2012, 15:19
Der OnDemand Scanner von Malwarebytes Free hat heute bei mir Installer von AddOns von meinen Rennsimulationen als Trojan.AVKILLS gemeldet: http://www.abload.de/image.php?img=bild2cdubg.jpg
Ein Gegencheck einiger Installer bei VirusTotal und ein Full-Scan mit Avast Free zeigt aber das diese sauber sind, anbei ein paar VirusTotal Links:
https://www.virustotal.com/file/10e168c08ce1dc052b2680e2b22dfa62d85b4e3d0fb16b841f5f97e8941b8bbd/analysis/1352296524/
https://www.virustotal.com/file/a0ad3223f428acdec1001138c5d7c4e66bb7781d13b56ec69c56eca6ea09acae/analysis/1352297153/
https://www.virustotal.com/file/53a284212c91219d334e1fc579ad45d5369bde8248ada933ad166dad2e33750d/analysis/1352297773/
https://www.virustotal.com/file/9b881f832ae234e34c67681a651caeddd5da7206269136dd291a134c7c2dd101/analysis/1352298114/
Geschrieben von: simracer 07.11.2012, 17:28
Auch ein durchgeführter Detail Scan mit Emergency Kit bestätigt das es sich bei den "Funden" von Malwarebytes Free wohl um False Positvies handelt:
ZITAT
Emsisoft Emergency Kit - Version 3.0
Letztes Update: 07.11.2012 15:48:12
Scan Einstellungen:
Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\
Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus
Scan Beginn: 07.11.2012 15:48:41
Gescannt 574734
Gefunden 0
Scan Ende: 07.11.2012 17:13:54
Scan Zeit: 1:25:13
Geschrieben von: SLE 07.11.2012, 17:29
Einsenden und fertig.
Geschrieben von: simracer 07.11.2012, 17:39
Das wären ja 18 oder 19 Dateien SLE, oder reicht es nur eine der Dateien zu schicken?
Geschrieben von: SLE 07.11.2012, 17:45
Da es nur eine Erkennung bei verwandten Dateien ist würde ich eine schicken.
Sonst tun es auch oft Links oder Hashes.
Geschrieben von: simracer 07.11.2012, 17:49
Wohin und wie müsste ich denn eine solche Datei zur Überprüfung schicken?
Geschrieben von: Joybringer 07.11.2012, 19:41
Hier ist eine Liste mit Adressen. MBAM hängt auch irgendwo dazwischen. Welche Adressen allerdings noch Gültigkeit besitzen, kann ich dir leider nicht beantworten.
http://wiki.winboard.org/index.php/Einsenden_verd%C3%A4chtiger_Dateien
Geschrieben von: simracer 07.11.2012, 19:57
Ich bedanke mich bei dir Joybringer habe gerade eine Mail mit einer der angemeckerten Datei losgeschickt mit der Bitte die Datei zu überprüfen ob das ein False Positive ist.
Geschrieben von: Joybringer 07.11.2012, 20:08
Leite deinen Dank gerne an Tante Google weiter.
Geschrieben von: simracer 07.11.2012, 20:16
Danke Tante Google und an Joybringer
Geschrieben von: Catweazle 07.11.2012, 20:39
Nun, im MBAM Forum als Mitglied anmelden, und dort im F/P Rubrik dort posten, ---> http://forums.malwarebytes.org/index.php?showforum=42 dan wird das hoffentlich geklährt
PS: Dort kann man auch Schadhaften Code dort hoch laden...
Catweazle
Geschrieben von: simracer 07.11.2012, 20:45
Danke Catweazle, aber ich habe eine der beanstandeten Dateien in ein 7zip Verzeichnis gepackt und per E-Mail Anhang an Malwarebytes geschickt. Das ist eh nur ein vorübergehender False Positive von Malwarebytes weil ich die AddOn's Installer schon lange habe und diese heute erstmalig von Malwarebytes beanstandet wurden.
Geschrieben von: Catweazle 07.11.2012, 20:47
Nun, ja so währe es auch gegangen, wie ich beschrieben hatte.
Catweazle
Geschrieben von: Catweazle 07.11.2012, 21:17
@ simracer
Meinst du sowas in der art, http://forums.malwarebytes.org/index.php?showtopic=117803 ?!
Catweazle
Geschrieben von: simracer 07.11.2012, 21:24
Nein Catweazle, die "Funde" bei mir siehst du im 1. Posting von mir in diesem Thread und als "Beigabe" 4 Uploads der abgeblichen Funde bei VirusTotal.
Geschrieben von: Catweazle 07.11.2012, 21:28
ZITAT(simracer @ 07.11.2012, 22:23)
Nein Catweazle, die "Funde" bei mir siehst du im 1. Posting von mir in diesem Thread und als "Beigabe" 4 Uploads der abgeblichen Funde bei VirusTotal.
Sind wahrscheinlich ähnlich deine...???
Catweazle
Geschrieben von: Catweazle 07.11.2012, 21:42
@ simracer
Sind nun deine f/p`s nun gefixt worden ?
Catweazle
Geschrieben von: simracer 07.11.2012, 21:44
Noch nicht denke ich, hab die Mail ja vor nicht einmal 2 Stunden abgeschickt.
Geschrieben von: Catweazle 07.11.2012, 21:48
ZITAT(simracer @ 07.11.2012, 22:43)
Noch nicht denke ich, hab die Mail ja vor nicht einmal 2 Stunden abgeschickt.
Ok berichte hier wen es gefixt worden ist, kanst ja mal einen neuen scan mit den neusten Updates von Malwarebytes´s Anti-Malware anstoßen....
Catweazle
Geschrieben von: simracer 07.11.2012, 22:36
Wow das ging ja mal schnell bei Malwarebytes hab gerade die Signaturen aktualisiert und abermals die Partition E gescannt auf der die Installer sind die angeblich infiziert sind und beim jetzigen Scan wurde nichts mehr beanstandet:
ZITAT
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Datenbank Version: v2012.11.07.09
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxx xxx :: xxxxxxxxxxx [Administrator]
07.11.2012 22:25:15
mbam-log-2012-11-07 (22-25-15).txt
Art des Suchlaufs: Vollständiger Suchlauf (E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 233697
Laufzeit: 4 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Sicherheitshalber mache ich aber noch einen Komplett Scan der auch die beiden anderen Partionen C und D mit einbezieht obwohl es da keine Funde gab.
Geschrieben von: citro 07.11.2012, 23:06
ZITAT(simracer @ 07.11.2012, 20:44)
aber ich habe eine der beanstandeten Dateien in ein 7zip Verzeichnis gepackt und per E-Mail Anhang an Malwarebytes geschickt.
Welche e-mailadresse ist das ?
Ich denke, es sollte nur über das Forum funktionieren
Geschrieben von: simracer 07.11.2012, 23:15
Ich hatte es an diese E-Mail Adresse:
ZITAT
marcin@malwarebytes.org
geschickt nachdem mit Joybringer behilflich war mit dem Link.
Geschrieben von: citro 07.11.2012, 23:28
ZITAT(simracer @ 07.11.2012, 23:14)
Ich hatte es an diese E-Mail Adresse: geschickt nachdem mit Joybringer behilflich war mit dem Link.
Ich meine gelesen zu haben, die Adresse wäre nicht mehr erwünscht aber wenn 's geht dann ok
Geschrieben von: simracer 07.11.2012, 23:56
Das Ergebnis des erneuten Full Scans:
ZITAT
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Datenbank Version: v2012.11.07.09
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
:: [Administrator]
07.11.2012 22:40:09
mbam-log-2012-11-07 (22-40-09).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 487739
Laufzeit: 59 Minute(n), 13 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)