Malewarebytes false positiv?

cotton · 04.07.2009, 21:27

bekommt sonst noch jemand die o.ä. meldung:

"Trojan.Agent C:\WindowsXP-KB936929-SP3-x86-DEU.exe"

von Malewarebytes?

Ich hab schon an Malewarebytes geschrieben, aber noch keine Antwort.

Die Datei sollte wohl die install-exe des SP3 sein.

"WindowsXP-KB936929-SP3-x86-DEU.exe" 320.630 KB

Vom Datum her (22.06.09) ist es die Datei, die ich selbst heruntergeladen habe.
War für meine 2. SystemPartition I:\ bestimmt, auf der ich ein Neues XP installiert habe. (wegen offline updaten)
Geladen habe ich die Datei ja direkt von Microsoft.

Hat jemand Lust/zeit das mal gegen zu Checken?

tnx,
cotton

Kaos · 04.07.2009, 21:41

Bin dabei es zu laden. Ich melde mich, wenn ich etwas weiß.

mfg, Kaos

Kaos · 04.07.2009, 22:01

MBAM, SAS, Dr.web und Avira haben nichts gefunden.

Bei mir ist die Grösse:
328.324.136 Bytes

Und die Grösse auf der Festplatte:
328.327.168 Bytes

Md5:
265246926aa44bd767b0c11f80c084f1

mfg, Kaos

cotton · 05.07.2009, 00:43

update:

antwort von malewarebytes:

Zitat:

## To respond via e-mail, type your response above this line. ##

--------------------------------------------------------------------------------

Tom Mercado, Jul 04 16:45:
Hello and welcome to the helpdesk. Thank you for choosing Malwarebytes' Anti-Malware as your malware security solution, my name is Tom Mercado and I'll be assisting you today.

Next we need a developers log, which will give us a coded reference to the signatures used to create the detection.

Open Malwarebytes and update, then close Malwarebytes.
Click Start>>select Run>>>type mbam.exe /developer
Please note there is a space between the 'mbam.exe' & '/developer'

This will open MBAM, first select the 'quick scan' option then click scan. Once completed, send us that log

This will give us the detailed code of each file, from which we can make adjustments to our detection strings. Without it, we cannot make those adjustments.

--------------------------------------------------------------------------------

läuft ...
die unterschiedlichen gößen kommen wohl von den inzw. hinzugefügten updates von microsoft, oder?

die log, die da erwünscht wird:

Zitat:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2374
Windows 5.1.2600 Service Pack 3

05.07.2009 01:37:26
mbam-log-2009-07-05 (01-37-26).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99451
Laufzeit: 3 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

bin mal gespannt. glaub nicht, dass es was ist. die exe hab ich da mal liegen lassen, klar

wieso die aber nur ne quickscan-log haben wollen

meld mich wieder ...

john.doe · 05.07.2009, 00:53

Zitat:

die unterschiedlichen gößen kommen wohl von den inzw. hinzugefügten updates von microsoft, oder?

Nope. 1kB=1024B
328.324.136B/1024 ~ 320629KB

ciao, andreas

Jig Saw · 05.07.2009, 00:56

Kannst dus nicht bei VT hochladen? Bei 99% der Fällen reicht ein Quick Scan, deshalb wahrscheinlich.

john.doe · 06.07.2009, 15:55

Naja, bei 20 MB ist Schluss, könnte schwierig werden.

ciao, andreas

cotton · 15.07.2009, 01:19

so. ergebniss - nix mit x.
mehrmals scannen lassen von verschiedenen scannern.
die selbe datei wurde auch nicht wieder bemängelt -.-

schön und gut. wenn es nicht gleich weiter gehen würde ....

ANTIVIR meldet mir: FUND: PnkBstrK.sys sei der TR/Crypt.ZPACK.Gen
-.-

ich war gerade am zocken (bf2), und da kommt diese meldung.
die meldung war nach 5 sek erstmal wieder von alleine weg

.... toll.

C: gescannt: FUND: PnkBstrK.sys sei der TR/Crypt.ZPACK.Gen, klar.
ab zu jotti und virustotal geladen = nur antivir meldet fund.

trotzdem - ab in die quarantäne und hoch zu avira geladen. mal sehn, was die sagen.

das schlimme ist - ich kann nicht zocken!

jedesmal wird (logisch) die PnkBstrK.sys neu erstellt und erkannt.
(für alle, dies nicht kennen: PnkBstrK.sys = punkbuster (PB) = anti-cheat-tool das mitlaufen MUSS)

ich bin mir sicher, dass es n falsePositiv ist, aber ... da ichs nicht weiss, bleibt des ding heiss

damn. aber jetzt kommt die wiederholung von bully und rick ... wenigstens was

to be ....

Kaos · 15.07.2009, 01:32

Die Datei wird ziemlich sicher nicht infiziert sein, wenn du sie aus einer sicheren Quelle hast.

Ich denke auch nicht, das irgendwer eine Treiberdatei so manipuliert, dass sie normal funktioniert und dann auch noch schädliche Funktionen ausführt. Treiber sind schon recht empfindlich und ob es Punkbuster gefallen würde, wenn die Datei verändert wird.

mfg, Kaos

Edit: Siehe mal hier http://www.trojaner-board.de/75275-t...tml#post447966 habe ich gerade gelesen.

cotton · 15.07.2009, 01:36

denk ich auch. die .sys wird ja erst neu erstellt, wenn ich auf nen server will. dann ist klar, dass PB die sys neuerstellt, wenn sie nicht da ist.
dann kommt aber wieder antvir.

und wie gesagt: da ichs nicht weiss, bleibt des ding heiss

könnte mir vorstellen, dass über einen "gehackten" server was ... naja ... "übertragen" (?) werden könnte.
immerhin hat PB (vollen?) zugriff aufs system.

EDIT: ja, hab ihn schon angePMt

Kaos · 15.07.2009, 01:43

Ich denke mal Punkbuster wird da auch beschränkungen haben. So könnte von einem verseuchten Server vielleicht eine Datei übertragen werden, aber soweit ich weiß, kann Punkbuster keine anderen Dateien starten. Wenn allerdings eine Datei eingeschleust werden sollte, dann würde wohl die bemängelt werden und nicht die Treiberdatei. Eine Treiberdatei während sie benutzt wird zu ändern, würde sicher einen üblen Fehler verursachen.

mfg, Kaos

cotton · 15.07.2009, 16:25

also doch fehlalarm.

Zitat:

Sehr geehrte Damen und Herren,

wir bedanken uns fuer Ihre Email.

In der von Ihnen eingesendeten Datei ist kein Virus enthalten.
Es handelt sich um einen Fehlalarm. Dieser Fehlalarm wird mit einem der
naechsten Updates von AntiVir beseitigt.

Wir bitten um Ihr Verstaendnis.

Ueberpruefte Datei(en):
PnkBstrK.rar

--
Freundliche Gruesse / Best regards
Avira GmbH

gruss, cotton

seter1 · 16.07.2009, 06:56

avira hat nun bestätigt das es ein false/positiv ist....man kann es erstmal als ausnahme seten...

Konfiguratons-Menü -> Experten-Modus und hier bei Guard und Scanner -> Suche -> Ausnahme der Fall sein.
Da sollte auch der Einsteller für die Heuristik mit genannt sein.

man muss bei Extras>>Konfiguration>>(und dann bei Expertenmodus ein Häckchen)>>dann kann man auf scanner und guard mit doppelklick mehr einstellen.

cotton · 28.07.2009, 13:09

Seid dem heutigen Update des AV Antivir gibts (bei mir) die Meldung: "..../mbr.exe Ist das Trojanische Pferd TR/Dropper.Gen"

Die Datei liegt bei mir seit Wochen am selben Platz und wurde von sicherer Quelle geladen.
Auf http://www.gmer.net (Anbieter/Hersteller der mbr.exe) wird diese Datei auch als TR/Dropper.Gen erkannt.
Heißt für mich - FalsePositiv

Virustotal-Upload (klick)

Ich sende die Datei gleich mal zu Avira.
Häuft sich langsam beim roten Schirm

to de ....

EDIT: damn, hier hatte ich doch das Thema "Malewarebytes false positiv?" erstellt

also hier dann ...

05.07.2009, 00:56	#6
Jig Saw /// Helfer-Team	Malewarebytes false positiv? Kannst dus nicht bei VT hochladen? Bei 99% der Fällen reicht ein Quick Scan, deshalb wahrscheinlich. __________________ --> Malewarebytes false positiv?

Malewarebytes false positiv?

Antiviren-, Firewall- und andere Schutzprogramme: Malewarebytes false positiv?