Results 1 to 3 of 3

Thread: Virtumonde.sdn False Positiv + Autostart ???

  1. #1
    Junior Member Mr.Tom's Avatar
    Join Date
    Nov 2005
    Location
    Germany
    Posts
    24

    Question Virtumonde.sdn False Positiv + Autostart ???

    Hallo !

    Ich nutze Spybot seit 6 Jahren und habe heute (endlich ) nach dem frischen Update und anschließendem Routine-Scan ne Meldung erhalten, des Weiteren trug sich Spybot in den Autostart ein >>> ???
    Angaben zum System
    Xp Home SP3, FFX 3.6.4, Opera 10.54, ( IE 7)

    1. Zum Fund

    Spybot meldete folgenden Fund:

    24.06.2010 01:41:19 - ##### check started #####
    24.06.2010 01:41:19 - ### Version: 1.6.2
    24.06.2010 01:41:19 - ### Date: 24.06.2010 01:41:19
    24.06.2010 01:41:21 - ##### checking bots #####
    24.06.2010 02:35:30 - found: Virtumonde.sdn Bibliothek
    24.06.2010 03:19:11 - ##### check finished #####
    --- Report generated: 2010-06-24 03:19 ---

    Virtumonde.sdn: [SBI $5F58455C] Bibliothek (Datei, nothing done)
    C:\WINDOWS\system32\lvcoinst.dll
    Properties.size=77824
    Properties.md5=BC4A4EBCE96E61F43E4D27EF7CD675AA
    Properties.filedate=1052382310
    Properties.filedatetext=2003-05-08 10:25:10


    --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

    2009-01-26 blindman.exe (1.0.0.8)
    2009-01-26 SDFiles.exe (1.6.1.7)
    2009-01-26 SDMain.exe (1.0.0.6)
    2009-01-26 SDShred.exe (1.0.2.5)
    2009-01-26 SDUpdate.exe (1.6.0.12)
    2009-01-26 SpybotSD.exe (1.6.2.46)
    2009-03-05 TeaTimer.exe (1.6.6.32)
    2009-02-11 unins000.exe (51.49.0.0)
    2009-01-26 Update.exe (1.6.0.7)
    2009-11-04 advcheck.dll (1.6.5.20)
    2007-04-02 aports.dll (2.1.0.0)
    2008-06-14 DelZip179.dll (1.79.11.1)
    2009-01-26 SDHelper.dll (1.6.2.14)
    2008-06-19 sqlite3.dll
    2009-01-26 Tools.dll (2.1.6.10)
    2009-01-16 UninsSrv.dll (1.0.0.0)
    2010-06-16 Includes\Adware.sbi (*)
    2010-06-22 Includes\AdwareC.sbi (*)
    2010-01-25 Includes\Cookies.sbi (*)
    2009-11-03 Includes\Dialer.sbi (*)
    2010-06-22 Includes\DialerC.sbi (*)
    2010-01-25 Includes\HeavyDuty.sbi (*)
    2009-05-26 Includes\Hijackers.sbi (*)
    2010-06-22 Includes\HijackersC.sbi (*)
    2010-06-22 Includes\iPhone.sbi (*)
    2010-01-20 Includes\Keyloggers.sbi (*)
    2010-06-22 Includes\KeyloggersC.sbi (*)
    2004-11-29 Includes\LSP.sbi (*)
    2010-06-01 Includes\Malware.sbi (*)
    2010-06-22 Includes\MalwareC.sbi (*)
    2010-05-18 Includes\PUPS.sbi (*)
    2010-06-23 Includes\PUPSC.sbi (*)
    2010-01-25 Includes\Revision.sbi (*)
    2009-01-13 Includes\Security.sbi (*)
    2010-06-22 Includes\SecurityC.sbi (*)
    2008-06-03 Includes\Spybots.sbi (*)
    2008-06-03 Includes\SpybotsC.sbi (*)
    2010-06-16 Includes\Spyware.sbi (*)
    2010-06-22 Includes\SpywareC.sbi (*)
    2010-03-08 Includes\Tracks.uti
    2010-06-01 Includes\Trojans.sbi (*)
    2010-06-22 Includes\TrojansC-02.sbi (*)
    2010-06-22 Includes\TrojansC-03.sbi (*)
    2010-06-22 Includes\TrojansC-04.sbi (*)
    2010-06-22 Includes\TrojansC-05.sbi (*)
    2010-06-22 Includes\TrojansC.sbi (*)
    2008-03-04 Plugins\Chai.dll
    2008-03-05 Plugins\Fennel.dll
    2008-02-26 Plugins\Mate.dll
    2007-12-24 Plugins\TCPIPAddress.dll
    Bevor ich das Problem beheben wollte, schaute ich mir die Datei an . sie ist ebenfalls 6 Jahre alt, von Logitech und ich vermute hier ein False Positive. Eine kurze Google-Suche bestätigte dies und Virus Total gab ebenfalls ein OK. Bei Interesse hier Angaben bei VirusTotal:
    http://www.virustotal.com/de/analisi...daa-1277342603

    2. Autostart
    Beim Scan (oder im Anschluss - ich saß nicht dabei) meldete mir die Autostart-Überwachung vom "AnVir Task Manager", dass sich Spybot in den Autostart einträgt. Dies bestätigt auch das "Run Entry History - Log"
    When: 2010-06-23 23:29:40
    Who: C:\Programme\Spybot - Search & Destroy\advcheck.dll
    Run Entry: Spybot - Search & Destroy
    Executable: "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    Reason: scan result requested reboot (silent request)
    Ebenfalls liefert HijackThis
    O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    Gut, ich dachte mir, vielleicht braucht Spybot einen Neustart für die "Behebung des Problems" durch einen notwendigen Rechner-Neustart ?
    Da ich aber auf einen False Positive tippe, habe ich natürlich nichts gefixt und mal probehalber neu gestartet...und siehe da:
    - bevor ich den PC in irgendeiner Weise nutzen kann, scant Spybot das System - das dauert fast 1,5 Stunden ( ich hätte auch auf Abbrechen klicken können, aber wollte ja nun mal wissen, was hier so abläuft )
    - nachdem der Fund logischerweise wieder gemeldet wird, fährt das System hoch
    - der Eintrag in den Autostart wird nicht entfernt.

    ...wenn jetzt der PC-Nutzer "OTTO-Normalo", welcher nicht seinen Autostart überwacht und wohl (wenn überhaupt) eher selten HJT kontrolliert, wundert sich natürlich, wieso Spybot plötzlich erst mal scannen will, bevor der PC nutzbar wird...davon hatte ich bisher noch nie was in der Richtung gehört...ist das ein neues Feature ??? ...oder habe ich ne Einstellung übersehen ???

    Gruß, Mr.Tom

  2. #2
    Junior Member Mr.Tom's Avatar
    Join Date
    Nov 2005
    Location
    Germany
    Posts
    24

    Default

    Nachtrag:

    Habe die "lvcoinst.dll" mal per "Rechtsklick" im WIN-Explorer mit Spybot gescannt - hier hingegen meckert Spybot die Datei NICHT an...

  3. #3
    Senior Member Matt's Avatar
    Join Date
    Aug 2006
    Location
    Bavaria
    Posts
    1,169

    Default

    Hi Mr.Tom,

    dieser FP ist bereits bekannt:
    Confirmed: virtumonde false positive?

    Quote Originally Posted by Mr.Tom View Post
    Habe die "lvcoinst.dll" mal per "Rechtsklick" im WIN-Explorer mit Spybot gescannt - hier hingegen meckert Spybot die Datei NICHT an...
    Der single file scanner von Spybot erkennt bei weitem nicht so viele Schädlinge wie der "normale" Suchlauf mit Spybot.
    Best regards - Beste Grüße,

    Matt

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •