Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   MBAM findet (wahrscheinlich) falsche Einträge (https://www.trojaner-board.de/60646-mbam-findet-wahrscheinlich-falsche-eintraege.html)

Aggro Berlin 25.09.2008 12:24
MBAM findet (wahrscheinlich) falsche Einträge
 
Hallo

also ich habe einen kleines Problem:

bei mir wenn ich MBAM scannen lasse entdeckt er immer 2 dateien die ihm nicht gefallen, lass ich dann die Einträge entfernen kommen sie beim mächsten mal wieder.:confused:

aber wenn man sich die Einträge anschaut sie das nicht nach Malware aus, sondern ich glaube einmal irgendwas von meinem DSL Router.

hier einmal der Log:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1203
Windows 5.1.2600 Service Pack 3

25.09.2008 13:22:49
mbam-log-2008-09-25 (13-22-46).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 1908
Laufzeit: 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.
HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

danke schon mal

myrtille 25.09.2008 16:04
Das sind 2 Einträge die früher von Malwarebytes verändert worden sind und jetzt zurückgesetzt werden.

Lass die Einträge bitte korrigieren. Sie sollten danach nicht wieder auftauchen.

lg myrtille

Aggro Berlin 25.09.2008 16:16
Zitat:
Zitat von myrtille (Beitrag 377082)
Lass die Einträge bitte korrigieren. Sie sollten danach nicht wieder auftauchen.
ich hab schon bestimmt 10 mal auf Fehler beheben gegangen.
aber so wie die dateien heissen sie das doch nicht wirklich nach Malware aus oder?

KarlKarl 25.09.2008 17:41
Hi,

die Dateien sind auch keine Malware. Das sind Einträge in der Registry, die MBAM in früheren Versionen beschädigt hat und die es jetzt versucht zu korrigieren. Wenn das aus irgendeinem Grund nicht klappt, dann müsstest Du erstmal prüfen, ob Du irgendeine Software hast, die den Registryzugriff blockiert (sehr beliebt: dieser Teatimer) und ansonsten eben regedit starten und das Abenteuer von Hand angehen.

Merke: Mit nichts macht man ein System so einfach fertig wie mit "eben mal alle möglichen Scanner probieren".

Gruß, Karl

Aggro Berlin 05.10.2008 14:47
also sollte ich MBAM die Einträge korrigieren lassen?
also mit Tea Timer meinst du den von SPybot? das Prog hab ich nich
also mit Scanner ausprobieren, also ich nehm nur SASW, MBAM und den KIS scanner.
ich wüsste auch nichts wo diese Einträge schon vorher zur sprache kam

KarlKarl 05.10.2008 16:56
Die Einträge sollten korrigiert werden, ich bin etwas erstaunt, dass Windows so anscheinend noch gut funktioniert.

Teatimer: Richtig, der von Spybot S&D. Der ist ziemlich verbreitet, es gibt aber noch weitere Möglichkeiten, die einen Schreibzugriff auf die Registry blockieren könnten. Mangels weiterer Logs von deinem System ist aber kein Tip möglich.

Alle Scanner machen Fehler. Nicht dauerhaft (jedenfalls keine kritischen), aber es treten immer wieder welche auf. MBAM hat z.B. diese Einträge in der Registry zerstört, davon habe ich auch schon mal woanders gelesen. Ab und wann wird einmal eine wichtige Systemdatei als Malware erkannt. Je mehr Scanner man einsetzt, desto mehr hebt man die Wahrscheinlichkeit, einen dieser Fehler auf seinem System zu erleben. Der Einsatz von Scannern um ein System uninfiziert zu halten oder gar, um Infektionen zu entfernen ist auch nur ein schlechter Notbehelf. Die wesentlichen Mittel sind es, Malware gar nicht erst zu installieren und wenn man es dann doch getan hat (es ist aber auf jeden Fall vermeidbar), das System ohne Malware neu zu installieren.

Aggro Berlin 05.10.2008 17:13
Also korrigieren, aber es gibt ja nur die Möglichkeit Entferne Auswahl,
ich weis jetzt nicht was ich machen soll.

Wieso erstaunt es dich das mein System noch intakt ist:rolleyes:?

also ich hab jetzt ClamWin und ThreatFire deinstalliert, aber die haben auch noch nie was gefunden.

also vielleicht kannst du was mit HJT Log was anfangen, wobei ich finde, dass der ein bisschen mager ist^^

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

Aggro Berlin 09.10.2008 20:49
Also ich weis dass gerade viel los ist im Forum, aber vielleicht könntest du mir wieder antworten:rolleyes:

KarlKarl 09.10.2008 23:41
Sie sollen aber nicht entfernt/gelöscht werden da sie benötigt werden. Es kann ja auch sein, dass MBAM sie in diesem Fall repariert, auch wenn da was von "entfernen" steht. Ausprobieren kann ich das aber nicht, da ich MBAM nicht hier habe und auch nicht haben werden.

Auf der sicheren Seite liegst Du, wenn Du regedit startest und sie dort editierst.

Zumindest bei dem ersten Eintrag (SecurityProviders) habe ich erwartet, dass das wichtige Funktionen beeinträchtigen würde, wenn er beschädigt wird. Ist aber auch denkbar, dass Windows tolerant ist und auch ohne die Kommas klarkommt.

myrtille 10.10.2008 01:14
Hi,

die Formulierung ist in der Tat unglücklich. Malwarebytes setzt in diesen beiden Fällen die Werte auf die "korrekten" Werte zurück. Auch wenn dort "quarantined and deleted" steht.

Informationen dazu (auf englisch) kann man im Herstellerforum finden: Link

lg myrtille.

Aggro Berlin 11.10.2008 21:56
Also
1. das tut mir leid wegen den aktiven Links

2. Also soll ich dann einfach auf Auswahl entfernen gehen?

3. Karl hat gesagt, dass MBAM das gemacht hat???:confused:

Danke dass ihr geschrieben habt:daumenhoc

myrtille 12.10.2008 00:13
Hi,

ja Malwarebytes hat fälschlicherweise einen Registryeintrag verändert, der nicht verändert werden sollte und setzt diese jetzt zurück um die ursprünglichen Einträge wiederherzustellen.
Daher ist "deleted" definitiv der falsche Begriff.

lg myrtille

Aggro Berlin 12.10.2008 09:51
okay dann werd ichs mal machen, aber woran seht ihr dass das MBAM mal gemacht hat und das jetzt reparieren will?:confused:

Danke

myrtille 12.10.2008 10:46
Hi,

Die einfache Antwort ist: Die Entwickler von Malwarebytes haben das mehrfach öffentlich zugegeben und auf die Korrektur in der späteren Version verwiesen.

Seit 1.28 werden die Fehler die in Vorgängerversion von Malwarebytes gemacht wurden auch wieder behoben.

lg myrtille

Aggro Berlin 12.10.2008 19:37
ich hab die Ergebnisse entfernen lassen, dann hab ich wieder gescannt und sie tauchen wieder auf!!!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:35 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131