Falsch Positive möglich ?

[Miss Trojana]

Hallo,

ich bin neu hier, benutze aber Spybot schon seit Jahren. Nach meinem wöchentlichen Mittwochs-Update, habe ich gestern meinen Pc gescannt und heraus kam die Meldung, dass mich und meinen Rechner QQRob, RarVelon, Virtumonde und WIN32.Dadobra.ky bedrohen. Da ich ein sehr, sehr vorsichtige Surferin bin, konnte ich mir nicht vorstellen, dass das stimmt. Ich habe die angeblichen Trojaner nicht entfernt, habe meinen Rechner neu gestartet und noch zweimal mit Spybot gescannt und siehe da, es kam keine derartige Meldung mehr. Aber so richtig erleichtert war ich nicht. Deshalb habe ich heute noch mit Ad-Aware gescannt und auch keine Trojaner-Meldung erhalten. Wie lässt sich das denn nun erklären?

Gruß Miss Trojana

 

[Buster]

Hallo Miss Trojana,

Spybot legt bei jedem Scan eine Log-Datei an. Diese findest Du unter "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs". Wenn wir dort einen Blick drauf werfen könnten, können wir vermutlich eher sagen, wie es zu diesen Meldungen gekommen ist. Hänge das entsprechende Checks.Log bitte an deinen nächsten Post mit dran.

 

[Miss Trojana]

Log-Dateien

Hallo Buster,

danke für die schnelle Antwort.
Diese beiden Dateien habe ich dazu gefunden:


--- Report generated: 2007-08-23 22:31 ---

QQRob: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\autochk.exe

QQRob: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\autoconv.exe

QQRob: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\autofmt.exe

QQRob: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\dosx.exe

QQRob: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\mnmsrvc.exe

QQRob: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\winlogon.exe

RarVelon: Autorun-Einstellungen (CTFMON.EXE) (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE

RarVelon: Programmdatei (Datei, nothing done)
C:\WINDOWS\system32\CTFMON.EXE

RarVelon: Autorun-Einstellungen (CTFMON.EXE) (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE

RarVelon: Autorun-Einstellungen (CTFMON.EXE) (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE

RarVelon: Autorun-Einstellungen (CTFMON.EXE) (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\append.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\debug.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\edlin.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\exe2bin.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\fastopen.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\md5sum.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\mem.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\mscdexnt.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\nlsfunc.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\redir.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\setver.exe

Win32.Dadobra.ky: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\system32\share.exe

Virtumonde: Bibliothek (Datei, nothing done)
C:\WINDOWS\system32\win87em.dll

Common Dialogs: History (2 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Install: setupapi.log (Datei sichern, nothing done)
C:\WINDOWS\setupapi.log

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

MS Management Console: Recent command list (1 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1085031214-1202660629-1343024091-1004\Software\Microsoft\Microsoft Management Console\Recent File List

MS DirectDraw: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS DirectInput: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1085031214-1202660629-1343024091-1004\Software\Microsoft\DirectInput\MostRecentApplication\Name!=

MS DirectInput: Most recent application ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1085031214-1202660629-1343024091-1004\Software\Microsoft\DirectInput\MostRecentApplication\Id!=

Windows Explorer: User Assistant history IE (1 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1085031214-1202660629-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files (11 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1085031214-1202660629-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1085031214-1202660629-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1085031214-1202660629-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Cookie: Cookie (1) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-08-12 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-07-31 Tools.dll (2.1.2.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-08-22 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-08-22 Includes\DialerC.sbi (*)
2007-07-11 Includes\Hijackers.sbi (*)
2007-08-22 Includes\HijackersC.sbi (*)
2007-07-25 Includes\Keyloggers.sbi (*)
2007-08-22 Includes\KeyloggersC.sbi (*)
2007-08-01 Includes\Malware.sbi (*)
2007-08-22 Includes\MalwareC.sbi (*)
2007-08-22 Includes\PUPS.sbi (*)
2007-08-22 Includes\PUPSC.sbi (*)
2007-08-22 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-08-22 Includes\SecurityC.sbi (*)
2007-08-01 Includes\Spybots.sbi (*)
2007-08-22 Includes\SpybotsC.sbi (*)
2007-08-21 Includes\Tracks.uti (*)
2007-08-01 Includes\Trojans.sbi (*)
2007-08-22 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll


23.08.2007 22:14:24 - ##### check started #####
23.08.2007 22:14:24 - ### Version: 1.4
23.08.2007 22:14:24 - ### Date: 23.08.2007 22:14:24
23.08.2007 22:14:24 - ##### checking bots #####
23.08.2007 22:24:57 - found: QQRob Ausführbare Datei
23.08.2007 22:24:57 - found: QQRob Ausführbare Datei
23.08.2007 22:24:57 - found: QQRob Ausführbare Datei
23.08.2007 22:24:57 - found: QQRob Ausführbare Datei
23.08.2007 22:24:57 - found: QQRob Ausführbare Datei
23.08.2007 22:24:57 - found: QQRob Ausführbare Datei
23.08.2007 22:24:58 - found: RarVelon Autorun-Einstellungen (CTFMON.EXE)
23.08.2007 22:24:58 - found: RarVelon Programmdatei
23.08.2007 22:24:58 - found: RarVelon Autorun-Einstellungen (CTFMON.EXE)
23.08.2007 22:24:58 - found: RarVelon Autorun-Einstellungen (CTFMON.EXE)
23.08.2007 22:24:58 - found: RarVelon Autorun-Einstellungen (CTFMON.EXE)
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:14 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:26:15 - found: Win32.Dadobra.ky Ausführbare Datei
23.08.2007 22:27:31 - found: Virtumonde Bibliothek
23.08.2007 22:31:19 - ##### checking usage tracking #####
23.08.2007 22:31:19 - found: Common Dialogs History 2 files
23.08.2007 22:31:19 - found: Log Activity: SchedLgU.Txt SchedLgU.Txt
23.08.2007 22:31:19 - found: Log Install: setupapi.log setupapi.log
23.08.2007 22:31:19 - found: Log Shutdown: System32\wbem\logs\wbemess.log System32\wbem\logs\wbemess.log
23.08.2007 22:31:19 - found: Log Shutdown: System32\wbem\logs\wmiprov.log System32\wbem\logs\wmiprov.log
23.08.2007 22:31:21 - found: MS Management Console Recent command list 1 Dateien
23.08.2007 22:31:22 - found: MS DirectDraw Most recent application
23.08.2007 22:31:22 - found: MS DirectInput Most recent application
23.08.2007 22:31:22 - found: MS DirectInput Most recent application ID
23.08.2007 22:31:23 - found: Windows Explorer User Assistant history IE 1 Dateien
23.08.2007 22:31:23 - found: Windows Explorer User Assistant history files 11 Dateien
23.08.2007 22:31:23 - found: Windows Explorer Last visited history 2 Dateien
23.08.2007 22:31:23 - found: Windows Explorer Recent file global history
23.08.2007 22:31:24 - found: Cookie Cookie (1)
23.08.2007 22:31:24 - ##### check finished #####

 

[Yodama]

hallo,

die Erkennungsregeln sollten die echten Windowsdateien mit den gegebenen Namen nicht erkennen.
Zur Vorsicht bitte folgende Dateien an detection-at-spybot.info schicken ( -at- mit @ ersetzen)

C:\WINDOWS\system32\autochk.exe
C:\WINDOWS\system32\autoconv.exe
C:\WINDOWS\system32\autofmt.exe
C:\WINDOWS\system32\dosx.exe
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\append.exe
C:\WINDOWS\system32\debug.exe
C:\WINDOWS\system32\edlin.exe
C:\WINDOWS\system32\exe2bin.exe
C:\WINDOWS\system32\fastopen.exe
C:\WINDOWS\system32\md5sum.exe
C:\WINDOWS\system32\mem.exe
C:\WINDOWS\system32\mscdexnt.exe
C:\WINDOWS\system32\nlsfunc.exe
C:\WINDOWS\system32\redir.exe
C:\WINDOWS\system32\setver.exe
C:\WINDOWS\system32\share.exe
C:\WINDOWS\system32\win87em.dll

es kann sein, daß sich einige nicht kopieren lassen, da sie vom System verwendet werden.

Zusätzlich sollten auch verschiedene online virenscans gemacht werden, z.B. http://www.kaspersky.com/de/virusscanner

 

[Miss Trojana]

Meine Mail kam eben als Fehler 550 zurück:
'spybot.info' mag den Empfänger 'detection' nicht.

Gruß
Miss Trojana

 

[raman]

Da fehlt ein "s" hinter detection!

 

[Miss Trojana]

Danke schön Ralf, es hat geklappt.

Gruß
Miss Trojana

 

[Yodama]

hallo,

erstmal ein Danke an Ralf für die Korrektur der Emailadresse

ich habe die Dateien von Miss Trojana erhalten und untersucht. Es handelt sich dabei um legitime Windowsdateien, die mit denen auf meinem Testsystem identisch sind. Da die Dateien normalerweise nicht als Schädlinge erkannt werden , sind möglicherweise Fehler beim updaten aufgetreten, die die entsprechenden sbis korrumpiert haben.
Miss Trojana, falls die Fehlerkennungen immer noch auftreten, versuche bitte folgendes:
Spybot S&D schließen, alle .sbi Dateien
in C:\Programme\Spybot - Search & Destroy\Includes\
in einen neuen Unterordner verschieben, z.B. backup.

Und dann das manuelle Update installieren.
Danach scannen und schauen ob die Dateien immernoch erkannt werden.