Komische Adaware-Funde
 

Hallo,

ich habe eben Adaware 1.06 über meinen Rechner (WinXP SP2) laufen lassen und er hat folgende "Funde" gemacht, die ich sofort entfernt habe:

******************************************************

ArchiveData(2006-09-12.bckp)
Referencefile : SE1R123 12.09.2006
======================================================

WIN32.TROJAN.DOWNLOADER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : clsid\{48e59293-9880-11cf-9754-00aa00c00908}
obj[1]=Regkey : interface\{48e59291-9880-11cf-9754-00aa00c00908}
obj[2]=Regkey : typelib\{48e59290-9880-11cf-9754-00aa00c00908}
obj[5]=Regkey : inetctls.inet
obj[6]=Regkey : inetctls.inet.1

BARGAINBUDDY
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[3]=Regkey : S-1-5-21-206227979-2257327137-548030439-1004\software\microsoft\windows\currentversion\ext\stats\{d27cdb6e-ae6d-11cf-96b8-444553540000}
obj[7]=RegData : software\microsoft\internet explorer\main "Use Search Asst"

WIN32.TROJAN.AGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[4]=Regkey : S-1-5-21-206227979-2257327137-548030439-1004\software\microsoft\windows\currentversion\ext\stats\{b45ff030-4447-11d2-85de-00c04fa35c89}
obj[8]=RegValue : software\microsoft\windows\currentversion\explorer\advanced "Start_ShowRun"

******************************************************

Ich bin mir eigentlich sicher, dass mein System sauber ist, da mit immer alle Sicherheitsupdates drauf habe, mit Opera surfe, keine unbekannten, nicht vertrauenswürdigen Programme öffne und ausserdem immer NOD32 in aktuellester Version im Hintergrund läuft.

Was ich an den "Funden" auch noch komisch finde, dass es keinen Positionen von etwaigen *.exe oder *.dll-Dateien enthält. Wenn mein System wirklich mit irgendwas infiziert wäre, dann müssten doch ausser Registry-Einträgen auch irgendwelche Dateien gefunden worden sein.

Habe bei Adaware manchmal das Gefühl, dass es "besonders" viel findet.... ;-)

Danke für Eure Hilfe schon mal!

Viele Grüße,
deltazero

Hallo Zusammen!

Bin neu hier und über den obigen Beitrag gestolpert, und zwar aus dem Grund, weil es bei mir gestern auf meinem Rechner zu den selben Funden kam.
Auf dem Rechner meiner Freundin wurde nur der Eintrag zum Bargain-Buddy gefunden.

Auf beiden Rechnern läuft Antivir PE ständig mit, und Regelmäßig Adaware SE. Zusätzlich die Sygate Personal FW.

Das komische ist, dass der Rechner seit dem letzten Update und Scan von Adaware (vor 15 Tagen) nicht mehr lief. Aus der Update-History ist aber ersichtlich, dass Neuerungen für eben genau die oben genannten Tierchen mit aufgenommen wurden.

Jetzt ist die große Frage: Sind die Systeme wirklich kompromitiert, oder hat das Update nen Klatsch... :confused:

Ich hoffe, das wir das klären können...

Viele Grüße
Heiko

Hallo Heiko,

Danke für die Antwort! Also ich tippe ja mal schwer darauf, dass es sich um einen Fehlalarm handelt. Es scheint so, als ob die Anti-Spyware-Programme zumeist einfach irgendwelche Registry-Keys für einen Befall erklären, die von anderen Programmen gesetzt wurden und nur ähnliche Zeichenfolgen aufweist.

Mit meinem in Zonealarm integrierten Spyware Scanner habe ich solche "Funde" auch schon gehabt, obwohl ich zu 110% sagen konnte, dass es sich nicht um Spyware handelt (weil ich eine Software eines vertrauenswürdigen deutschen Verlages installiert habe). Zumeist handelte es sich schlicht um Übereinstimmungen beim Dateinamen oder Ähnlichem.

Wurden bei Dir irgendwelche *.exe oder *.dll Dateien gefunden?

Viele Grüße,
deltazero

PS: Wäre echt schön, wenn sich einer der Spyware-Experten des Forums in die Diskussion einklinken würde! :daumenhoc

Hallo Deltazero!

Ich war leider gestern etwas zu konfus und hab ehrlich gesagt nicht richtig drauf aufgepaßt.
Ich meine aber, dass die Meldung bei mir mit Deiner identisch war.

Ach ja, die Konfiguration meiner Kisten, falls nötig:
WinXP prof. SP2 up to date
SeaMonkey Browser und E-Mail
Sygate Personal Firewall
Antivir PE7
AdAware

Gruß Heiko

Hi Heiko,

verstehe! Also normalerweise macht Ad-aware SE von der entfernten Malware ja einen Backup und verschiebt die entfernten Objekte in den Quarantäne-Ordner. Über die Funktion "Open quarantine list" in der Benutzeroberfläsche (unter "Status") kann man die Backups einsehen.

Viele Grüße,
deltazero

Hi!

Die Sache hat sich geklärt: Lavasoft hat unsere Funde von gestern zu "False Positives" erklärt!

Viele Grüße,
deltazero

PS: Hier die aktuelle Definition Updates von Lavasoft:

SE1R123 13.09.2006 is now availiable, new definition file for Ad-Aware SE.

This fixes a False Positive in Adware.AdMedia.
This fixes a False Positive in TrojanBackdoor.Serv-U.
This fixes a False Positive in BargainBuddy.
This fixes a False Positive in Win32.Trojan.Agent.
This fixes a False Positive in Win32.Trojan.Downloader.

MD5 checksum is 536bea2c1749341b09b2589bf3cc0143

SE1R123 12.09.2006 is now availiable, new definition file for Ad-Aware SE.
September 12th, 2006

SE1R123 12.09.2006 is now available, new definition file for Ad-Aware SE.

New definitions:
====================
Adware.FunWeb +11
Adware.LinkOptimizer +4
Diaremover +7
Win32.Keylogger.Skin +5

Updated definitions:
====================
ABetterInternet.Aurora +5
Admedia.AdMedia +14
Adware.AdMedia +8
Adware.Allsum +15
Adware.DesktopMedia
Adware.Dropper
Adware.Eztracks +10
Adware.Iebar +10
Adware.Look2Me +29
Adware.Maxifiles +6
Adware.NaviPromo +7
Adware.Suggestor +4
Adware.ZenoSearch +7
Ardamax Keylogger +5
Bargainbuddy +38
Lop +89
PurityScan
RXToolbar +9
Softomate Toolbar +3
TrojanBackdoor.Serv-U
Webhancer +8
Win32.Dialer.Trojan +10
Win32.Trojan.Agent +4
Win32.Trojan.DownLoader +14
Win32.Trojan.Keylogger +5
WinAntiVirusPro +12
VirusBlast +2

MD5 checksum is 5ea4d099ea30c2c7fd35034290f8b8f0

:D

Puuuh... und ich hab scho befürchtet mir steht ne Neuinstallations- und Datenvernichtungsorgie bevor...

Danke für den Tip, denke mal, da sind mehr als nur wir zwei erleichtert ;)

Viele Grüße
Heiko