Virtumonde.sdn False Positiv + Autostart ???

[Mr.Tom]

Hallo !

Ich nutze Spybot seit 6 Jahren und habe heute (endlich ) nach dem frischen Update und anschließendem Routine-Scan ne Meldung erhalten, des Weiteren trug sich Spybot in den Autostart ein >>> ???
Angaben zum System
Xp Home SP3, FFX 3.6.4, Opera 10.54, ( IE 7)

1. Zum Fund

Spybot meldete folgenden Fund:

24.06.2010 01:41:19 - ##### check started #####
24.06.2010 01:41:19 - ### Version: 1.6.2
24.06.2010 01:41:19 - ### Date: 24.06.2010 01:41:19
24.06.2010 01:41:21 - ##### checking bots #####
24.06.2010 02:35:30 - found: Virtumonde.sdn Bibliothek
24.06.2010 03:19:11 - ##### check finished #####

--- Report generated: 2010-06-24 03:19 ---

Virtumonde.sdn: [SBI $5F58455C] Bibliothek (Datei, nothing done)
C:\WINDOWS\system32\lvcoinst.dll
Properties.size=77824
Properties.md5=BC4A4EBCE96E61F43E4D27EF7CD675AA
Properties.filedate=1052382310
Properties.filedatetext=2003-05-08 10:25:10


--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2009-02-11 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2010-06-16 Includes\Adware.sbi (*)
2010-06-22 Includes\AdwareC.sbi (*)
2010-01-25 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-06-22 Includes\DialerC.sbi (*)
2010-01-25 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-06-22 Includes\HijackersC.sbi (*)
2010-06-22 Includes\iPhone.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-06-22 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2010-06-01 Includes\Malware.sbi (*)
2010-06-22 Includes\MalwareC.sbi (*)
2010-05-18 Includes\PUPS.sbi (*)
2010-06-23 Includes\PUPSC.sbi (*)
2010-01-25 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-06-22 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-06-16 Includes\Spyware.sbi (*)
2010-06-22 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-06-01 Includes\Trojans.sbi (*)
2010-06-22 Includes\TrojansC-02.sbi (*)
2010-06-22 Includes\TrojansC-03.sbi (*)
2010-06-22 Includes\TrojansC-04.sbi (*)
2010-06-22 Includes\TrojansC-05.sbi (*)
2010-06-22 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Bevor ich das Problem beheben wollte, schaute ich mir die Datei an . sie ist ebenfalls 6 Jahre alt, von Logitech und ich vermute hier ein False Positive. Eine kurze Google-Suche bestätigte dies und Virus Total gab ebenfalls ein OK. Bei Interesse hier Angaben bei VirusTotal:
http://www.virustotal.com/de/analisi...daa-1277342603

2. Autostart
Beim Scan (oder im Anschluss - ich saß nicht dabei) meldete mir die Autostart-Überwachung vom "AnVir Task Manager", dass sich Spybot in den Autostart einträgt. Dies bestätigt auch das "Run Entry History - Log"

When: 2010-06-23 23:29:40
Who: C:\Programme\Spybot - Search & Destroy\advcheck.dll
Run Entry: Spybot - Search & Destroy
Executable: "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
Reason: scan result requested reboot (silent request)

Ebenfalls liefert HijackThis

O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

Gut, ich dachte mir, vielleicht braucht Spybot einen Neustart für die "Behebung des Problems" durch einen notwendigen Rechner-Neustart ?
Da ich aber auf einen False Positive tippe, habe ich natürlich nichts gefixt und mal probehalber neu gestartet...und siehe da:
- bevor ich den PC in irgendeiner Weise nutzen kann, scant Spybot das System - das dauert fast 1,5 Stunden ( ich hätte auch auf Abbrechen klicken können, aber wollte ja nun mal wissen, was hier so abläuft )
- nachdem der Fund logischerweise wieder gemeldet wird, fährt das System hoch
- der Eintrag in den Autostart wird nicht entfernt.

...wenn jetzt der PC-Nutzer "OTTO-Normalo", welcher nicht seinen Autostart überwacht und wohl (wenn überhaupt) eher selten HJT kontrolliert, wundert sich natürlich, wieso Spybot plötzlich erst mal scannen will, bevor der PC nutzbar wird...davon hatte ich bisher noch nie was in der Richtung gehört...ist das ein neues Feature ??? ...oder habe ich ne Einstellung übersehen ???

Gruß, Mr.Tom