Malewarebytes false positiv?

cotton · 04.07.2009, 21:27

bekommt sonst noch jemand die o.ä. meldung:

"Trojan.Agent C:\WindowsXP-KB936929-SP3-x86-DEU.exe"

von Malewarebytes?

Ich hab schon an Malewarebytes geschrieben, aber noch keine Antwort.

Die Datei sollte wohl die install-exe des SP3 sein.

"WindowsXP-KB936929-SP3-x86-DEU.exe" 320.630 KB

Vom Datum her (22.06.09) ist es die Datei, die ich selbst heruntergeladen habe.
War für meine 2. SystemPartition I:\ bestimmt, auf der ich ein Neues XP installiert habe. (wegen offline updaten)
Geladen habe ich die Datei ja direkt von Microsoft.

Hat jemand Lust/zeit das mal gegen zu Checken?

tnx,
cotton

Kaos · 04.07.2009, 21:41

Bin dabei es zu laden. Ich melde mich, wenn ich etwas weiß.

mfg, Kaos

Kaos · 04.07.2009, 22:01

MBAM, SAS, Dr.web und Avira haben nichts gefunden.

Bei mir ist die Grösse:
328.324.136 Bytes

Und die Grösse auf der Festplatte:
328.327.168 Bytes

Md5:
265246926aa44bd767b0c11f80c084f1

mfg, Kaos

cotton · 05.07.2009, 00:43

update:

antwort von malewarebytes:

Zitat:

## To respond via e-mail, type your response above this line. ##

--------------------------------------------------------------------------------

Tom Mercado, Jul 04 16:45:
Hello and welcome to the helpdesk. Thank you for choosing Malwarebytes' Anti-Malware as your malware security solution, my name is Tom Mercado and I'll be assisting you today.

Next we need a developers log, which will give us a coded reference to the signatures used to create the detection.

Open Malwarebytes and update, then close Malwarebytes.
Click Start>>select Run>>>type mbam.exe /developer
Please note there is a space between the 'mbam.exe' & '/developer'

This will open MBAM, first select the 'quick scan' option then click scan. Once completed, send us that log

This will give us the detailed code of each file, from which we can make adjustments to our detection strings. Without it, we cannot make those adjustments.

--------------------------------------------------------------------------------

läuft ...
die unterschiedlichen gößen kommen wohl von den inzw. hinzugefügten updates von microsoft, oder?

die log, die da erwünscht wird:

Zitat:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2374
Windows 5.1.2600 Service Pack 3

05.07.2009 01:37:26
mbam-log-2009-07-05 (01-37-26).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99451
Laufzeit: 3 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

bin mal gespannt. glaub nicht, dass es was ist. die exe hab ich da mal liegen lassen, klar

wieso die aber nur ne quickscan-log haben wollen

meld mich wieder ...

john.doe · 05.07.2009, 00:53

Zitat:

die unterschiedlichen gößen kommen wohl von den inzw. hinzugefügten updates von microsoft, oder?

Nope. 1kB=1024B
328.324.136B/1024 ~ 320629KB

ciao, andreas

Jig Saw · 05.07.2009, 00:56

Kannst dus nicht bei VT hochladen? Bei 99% der Fällen reicht ein Quick Scan, deshalb wahrscheinlich.

john.doe · 06.07.2009, 15:55

Naja, bei 20 MB ist Schluss, könnte schwierig werden.

ciao, andreas

seter1 · 16.07.2009, 06:56

avira hat nun bestätigt das es ein false/positiv ist....man kann es erstmal als ausnahme seten...

Konfiguratons-Menü -> Experten-Modus und hier bei Guard und Scanner -> Suche -> Ausnahme der Fall sein.
Da sollte auch der Einsteller für die Heuristik mit genannt sein.

man muss bei Extras>>Konfiguration>>(und dann bei Expertenmodus ein Häckchen)>>dann kann man auf scanner und guard mit doppelklick mehr einstellen.

cotton · 28.07.2009, 13:09

Seid dem heutigen Update des AV Antivir gibts (bei mir) die Meldung: "..../mbr.exe Ist das Trojanische Pferd TR/Dropper.Gen"

Die Datei liegt bei mir seit Wochen am selben Platz und wurde von sicherer Quelle geladen.
Auf http://www.gmer.net (Anbieter/Hersteller der mbr.exe) wird diese Datei auch als TR/Dropper.Gen erkannt.
Heißt für mich - FalsePositiv

Virustotal-Upload (klick)

Ich sende die Datei gleich mal zu Avira.
Häuft sich langsam beim roten Schirm

to de ....

EDIT: damn, hier hatte ich doch das Thema "Malewarebytes false positiv?" erstellt

also hier dann ...

05.07.2009, 00:56	#6
Jig Saw /// Helfer-Team	Malewarebytes false positiv? Kannst dus nicht bei VT hochladen? Bei 99% der Fällen reicht ein Quick Scan, deshalb wahrscheinlich. __________________ --> Malewarebytes false positiv?

Malewarebytes false positiv?

Antiviren-, Firewall- und andere Schutzprogramme: Malewarebytes false positiv?