Win32.Ciadoor.cj oder nur Fehlalarm?

Crox11 · 17.03.2009, 00:05

Hallo Undoreal,

der Log ist etwas chaotisch, ich poste ihn gleich weiter unten. Die Datei liegt noch in Quarantäne. Ich kann sie in die Zwischenablage kopieren lassen oder aber wiederherstellen.

Ich könnte auch bis morgen warten, da habe ich wieder Zugriff auf meinen Hauptrechner, wo die XProtect.sys bisher unangetastet liegt und diese zur Vefügung stellen.

An welches Labor sendet man sie am besten? GDATA wird sie wohl nicht annehmen, da habe ich schon viele Falsch-Alarme hingesendet und die Signaturen anpassen lassen, da meldete aber eine der Engines von GDATA, dass hier ein Fehler vorhanden ist und ich war mir sicher, dass es ungefährliche Dateien sind.

<threat id="47142" name="Trojan-Downloader.Win32.VB.ahc" level="2" category="Trojan Downloader" type="Malware" quarantineId="{85C04909-3DCC-4F5C-80DE-3803D4541BCB}" adviseType="3" canQuarantine="true" author="" optionalScan="0" removalType="0" actionRequested="3" cleanerResult="3"><authorURL></authorURL><desc>A Trojan Downloader is a program typically installed through an exploit or some other deceptive means and that facilitates the download and installation of other malware and unwanted software onto a victim's PC. A Trojan Downloader may download adware, spyware or other malware from multiple servers or sources on the internet.</desc><threatAdviceDetails>This is a high risk and should be removed immediately as it may compromise your privacy and security, make dangerous changes to your computer's settings without your knowledge and consent, or severely degrade your computer's performance and stability.</threatAdviceDetails><customData></customData><traces><trace type="4" dispValue="c:\WINDOWS\system32\drivers\xprotector.sys"><attr n="path" v="c:\WINDOWS\system32\drivers\xprotector.sys" /><attr n="fileSize" v="40256" /><attr n="md5" v="E87EF942B225B23247DB60DE56F62C1C" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\DisplayName 1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="1" /><attr n="valueName" v="DisplayName" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\0 1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="1" /><attr n="valueName" v="0" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\Count 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="4" /><attr n="valueName" v="Count" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\NextInstance 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="4" /><attr n="valueName" v="NextInstance" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\ErrorControl 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="ErrorControl" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\ImagePath 2"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="2" /><attr n="valueName" v="ImagePath" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security\Security 3"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security" /><attr n="valueType" v="3" /><attr n="valueName" v="Security" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Start 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="Start" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Type 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="Type" /></trace></traces></threat>

undoreal · 17.03.2009, 06:30

Ich würdde die einschicken die definitiv von Spybot und/oder Counterspy gefunden wurde.

http://forum.kaspersky.com/index.php?showtopic=42428

Crox11 · 17.03.2009, 08:30

Zitat:

Zitat von undoreal

Ich würdde die einschicken die definitiv von Spybot und/oder Counterspy gefunden wurde.

Wie sendet man eine Datei zur Untersuchung - Kaspersky Lab Forum

Hallo,

bin nun etwas erleichtert. Habe es zu Kaspersky geschickt und innerhalb von 60 Min. (!) eine Antwort erhalten:

"Hello,

tector.sys

No malicious code was found in this file."

Kann ich mir nun sicher sein, dass es kein Trojaner ist?

Der Kaspersky-Support ist ja irre schnell.

undoreal · 17.03.2009, 12:41

Zitat:

Kann ich mir nun sicher sein, dass es kein Trojaner ist?

Jo, das kannst du definitiv.

Zitat:

Der Kaspersky-Support ist ja irre schnell.

Jo! Kaspersky ist super. Der Support sowieso.

Crox11 · 17.03.2009, 13:57

Zitat:

Zitat von undoreal

Jo, das kannst du definitiv.

Jo! Kaspersky ist super. Der Support sowieso.

Und die Einträge in der Registry haben nichts zu sagen, dort war der XProtector überalle registriert.

Nochmals vielen (!) Dank für deinen außergewöhnlichen Support! Das Forum ist klasse!:aplaus:

Crox11 · 17.03.2009, 21:25

Hallo,

ich bin nun wieder am Büro-PC im Home Office. Dort habe ich eben meine Images, die ich mit Acronis gemacht habe, durchgesehen, überall ist die XProtector.sys auch drauf, die wurde scheinbar schon vor über 6 Monaten installiert. Komischerweise hat Spybot S&D früher nie angeschlagen, obwohl die Datei bereits länger auf beiden Systemen vorhanden ist.

Ich scanne gerade mit CounterSpy den Desktop und berichte, falls sich hier noch etwas tut.

Crox11 · 18.03.2009, 18:02

Hallo,

hier noch die Antwort vom SpyBot S&D-Team. Sehr nett, dass auch sie sich darum gekümmert haben.

"Hello xxx,

thank you for sending in the requested files.
The analysis showed that it is a false positive with a binary protection
software. That means a software that is supposed to prevent reverse
engineering. Such software is often used by malware to make analysis
harder or prevent it.
The vendor of XProtector does not appear to be in business anymore but
products using it can still be around.
We will correct our detection database to avoid this false positive.
The update that will correct this issue will be release on 2009-03-25

best regards"

Damit kann das Thema in gelöst umgewandelt werden.

Ich habe auf meinem Notebook das File bereits gelöscht, das Notebook läuft aber noch. Könnte das dauerhaft zu einem Problem führen?

LG

17.03.2009, 06:30	#32
undoreal /// AVZ-Toolkit Guru	Win32.Ciadoor.cj oder nur Fehlalarm? Ich würdde die einschicken die definitiv von Spybot und/oder Counterspy gefunden wurde. http://forum.kaspersky.com/index.php?showtopic=42428 __________________ __________________

Win32.Ciadoor.cj oder nur Fehlalarm?

Plagegeister aller Art und deren Bekämpfung: Win32.Ciadoor.cj oder nur Fehlalarm?