Possible false Positive AzeSearch in MS Security Essentials

[Pantee]

As I booted my PC today I got a Warning for a possible thread from AzeSearch. This occured after downloading an update for S&D. It was located within an other security Software I´m running - MS Security Essentials. I then noticed that Security Essentials was rtunning an automated Update too.
I´m sorry for my biginners fault to close the warning (execution has been stopped) so I can´t give any more details. I think the most possible explanation for this is a software-conflict with Security Essentials. Should I take further steps?

Für deutsche Mitleser: Beim starten meines Computers erhielt ich, nach einem Update der S&D-Software eine Warnmeldung bezüglich AzeSearch. Dieses sollte sich in einer anderen installierten Sicherheitssoftware - MS Security Essentials, befinden. Die Ausführung wurde durch S&D gestoppt - die Warnmeldung habe ich leider weggeklickt (keine weiteren Details). Sollte ich diesbezüglich noch etwas unternehmen?

[MisterW]

Hello,
you could send us the logfiles located at c:\documents and settings\all users\application data\Spybot - Search & Destroy\logs . Maybe we can see there the reason for that issue, Please send the files to detections@spybot.info

Hallo,
du könntest uns die logfiles schicken die du unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\logs findest. Vielleicht können wir darin den Grund für das Problem sehen und etwas rekonstruieren.

Best regards,
Gruß,
Markus

[Pantee]

Hallo Markus,

Logfiles sind per Mail unterwegs. Dass es sich um ein False positive handelt schliesse ich einfach aus der Tatsache, dass ich davor keinerlei Probleme hatte (keine unerwünschten Toolbars o.ä) - ausserdem hatte ich zum Zeitpunkt der Warnung noch keinen Browser gestartet. Ist also auch unwarscheinlich, dass ich mir den aktuell eingefangen haben sollte. Lasse jetzt zur Sicherheit trotzdem mal noch Malwarebyte laufen - scan läuft noch, hat aber angeblich schon einen Treffer. Kann ihn mir aber momentan wegen der laufenden Suche noch nicht anschauen.

[MisterW]

Hallo,
ich tippe auch auf einen FP, hast du den TeaTimer geupdated bei dem Spybot Update?

Hi,
I think it is a FP,too. Did you update the TeaTimer during the Update of Spybot?

[Pantee]

Hm, wie könnte ich das feststellen. Muss der Teatimer separat upgedatet werden? Ich habe im S&D-Fenster "Suche nach Updates" angeklickt. Es wurden 2 Updates heruntergeladen. So weit ich mich erinnere waren das "neue Definitionen" und "neueste Funde".
Auf einen FP bin ich gekommen wegen dem bekannten Konflikt mit AdAware. Dachte mir schon, dass es mit anderer Sicherheitssoftware ebenfalls zu Konflikten kommen kann.

Edit: Wie ich bereits im ersten Post geschrieben habe lief auch gleichzeitig (von mir anfangs unbemerkt) ein automatisches Update von MS Security Essentials. Könnte mir vorstellen, dass dort eine Signatur von AzeSearch hinzugefügt wurde die dann von S&D als "Treffer" erkannt wurde.

[MisterW]

Hallo,
ja möglicherweise war es irgendwie sowas. Vielleicht erstellst du nochmal zur Sicherheit einen Spybot Bug-Report:

Bitte starten Sie Spybot-S&D und wechseln Sie ueber den Menuepunkt
'Modus' in den 'Erweiterten Modus', gehen dann nach 'Werkzeuge ->
Bericht anzeigen', klicken auf den Knopf 'Bericht anzeigen' oben, und
exportieren den dann angezeigten Bereicht in eine Text-Datei, und senden uns diese Datei an detections@spybot.info.

Auch wenn in einem Scan nichts gefunden wurde, sollten wir die Bedrohung im Report sehen können.

Hier finden Sie eine Flash Animation die Ihnen zeigt, wie Sie einen Bug Report erstellen:
http://www.safer-networking.org/flas...pybotsd-de.htm

Darin kann man dann auch sehen welche Version du z.B. vom TeaTimer hast.

Gruß,
Markus

[Pantee]

Report erstellt und abgeschickt

[MisterW]

Super, danke ich guck ma eben rüber und melde mich gleich wieder

[MisterW]

Hallo,
Der Report ist sauber soweit, vielleicht in manchen Ecken ein bisschen Vermüllt, aber welcher Rechner ist das nicht ;-) Du hast ne Menge BHOs, die wahrscheinlich nicht nötig sind. Aber böse sind sie auch nicht...
Insofern gehe ich davon aus, dass die beiden Programme sich einfach ins Gehege gekommen sind. Nen richtiger False Positive ist es nicht, da der Fehler ja nicht reproduzierbar ist und die Datei jetzt bei dir auch nicht mehr erkannt wird, oder?

Gruß,
Markus

Hello,
the report you send me by mail is clean. Maybe there are some BHOs that are not really neccessary...but they are not harmfull.
So I think both programs had a conflict because of updating and scanning same time. It is not a real FP because we are not able to reproduce...

Best regards,
Markus