Computerhilfen.de Logo
Forum
Tipps
News

Malwarebytes: wirre Funde, System sauber

Hallo erstmal ;)

So, folgendes:
Win7 64bit
Hardware dürfte egal sein, da es ein "Softwareseitiges" Problem war/ist.

vor 1 Woche fing Malwarebytes an, mir wild Dateien als "Trojan.Agent" zu melden. Installierte Software: keine, außer das damals aktuelle Update für Malwarebytes - geupdatet durch die im Program vorhandene Funktion, wie es sich gehört.

Vor allen Dingen, WAS das Programm angeblich gefunden hat: die Uninstaller-EXE'n von diversen Programmen (Fraps, Skyrim, etc.) und anderes belangloses Zeug, und vor allem ORIGINALSOFTWARE!!!!!!!!!!!, das ist die größte Frechheit gewesen, da ist mir erst mal die Kinnlade herunter gefallen und ich habe 5 Minuten nur auf die Scan-Ergebnisse gestarrt, ehrlich.

Der Knüller ist, dass das aktuellste Kaspersky Antivirus überhaupt nichts von einer Infektion bemerkt hat - wie denn auch, es wurde nichts getan, weder auf unseriösen Seiten gesurft noch sonstwas - aus dem NICHTS erkannte MBAM Programme die schon ewig installiert waren als "Trojan.Agent", und zwar ausschließlich als diesen, und ausschließlich EXE-n... hmmm dachte ich mir, Dateien hochladen etc., und zack! - weder Virustotal noch Jotti melden irgendwas als Fund, war ja klar.

Kaspersky sucht sich dämlich, findet aber nirgends auch nur irgendeinen Fund. Prozesse - Fehlanzeige, weder Analyse der Prozesse mit WMIC und ProzessExplorer bringen Ergebnisse, auch das (nicht mehr aktualisierte) Hijackthis findet "Keine verdächtigen Programme".

Netzwerkverkehr = Null, nichts telefoniert rein oder raus.

Dann der Hammer: neues Update für MBAM, BÄM!, alles wieder normal, "Keine infizierten ... gefunden", was zur Hölle ging denn da ab?

Wegen der 4 Funde AUSSCHLIEßLICH bei EXE-n dachte ich erst an einen Infektor, aber als Trojan.Agent-Ausführung? Dann hätte doch was im Hintergrund laufen müssen, was Kaspersky gemeldet hätte, aber WOHER denn, es wurde mit dem PC nur der übliche Briefverkehr getätigt, ein Paar Videos auf Youtube hochgeladen und angeschaut, das wars.

Und bitte, ich bin nicht der Super-DAU - ich weiß Spam-Dreck und Virenmails von meinen wichtigen Briefen zu trennen, und geistere auch nicht auf fragwürdigen Seiten herum, und klicke nicht einfach dumm und dämlich auf alle Buttons die mir sagen "Zulassen". Von daher hat mich dieses seltsame Verhalten von MBAM geradezu vor Schreck erstarren lassen, a la "Ja wie denn das jetzt!!!"


Aber es gab keine Anzeichen einer Infektion - System lief rund, Prozesse alle Normal, Internet OK - WAS WAR DAS DENN BLOSS???

Im Sicherheitswahn habe ich dann das System neu aufgesetzt, fertig - geht schnell und bequem, Datensicherung ist bei mir A und O und immer aktuell wie möglich, daher geht nix verloren.

Und das hätte ich mir sparen können, oder?

Wenn MBAM sagt "Trojan.Agent gefunden" und 1 Update später sagt "Ups, war doch nix", ist dann auch alles klar gewesen? Oder war die Neuinstallation Sinnvoll? "Redet" MBAM jetzt Kuhmist oder was war da los???

Ja, wenn ich jetzt zurückdenke, die 45 Minuten für das neu Aufsetzen (mit Einstellungen wieder anpassen, Treiber install, etc.) hätte ich mir doch sparen können?

Bitte einfach nur um andere Meinungen und das ein oder andere *facepalm*, denn ich glaube, hier hatte ich einen größeren Blackout (im Bezug auf das verfrühte? "Neuinstallieren"), und eine Aufklärung, wie weit man MBAM da überhaupt vertrauen kann.

MBAM nutze ich nur deshalb, weil es eben durchaus findet, was andere Programme nicht finden, vor allem aber ist der Voll-Scan schneller als mit Kaspersky, der mal 1h Stunde plus dauern kann.

« Letzte Änderung: 15.12.12, 05:05:34 von MTVR6578 »


Antworten zu Malwarebytes: wirre Funde, System sauber:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Kaspersky und Malewarebytes laufen gut zusammen und stören sich nicht( so kenne ich es).. deswegen wird auch nicht gemäkelt(meine Vermutung).
wenn du dir sicher bist, das die Software welche Malewarebytes anzeigt vertrauenswürdig ist..dann ignoriere es.
das Malewarebytes was gegen exe.Dateien hat ist gut ;)
ansonsten wie läuft dein System(Aussetzer?)
..und wenn du neu installiert hast, sollte eh alles weg sein und Kaspersky ist gut.

« Letzte Änderung: 15.12.12, 17:59:13 von copy »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Was heißt aussetzer? Lags über mehrere Minuten und 100% Auslastung, dann nein. Übermäßiger Netzwerkverkehr auch nicht, außer ich lade selber Videos hoch/Sachen herunter;

wenn ich mit MBAM scanne, dann läuft/lief der Browser manchmal langsamer - aber nur, wenn größere Dateien oder besondere Orte durchsucht werden;

Off-Topic: Firefox hat übrigens immer noch den beliebten "Memory-Leak", auch in der neusten Version - nach 3-4 Stunden surfen und besuch vieler Websites, muss man zwingend Firefox neu starten, da lagt's, besonders wenn man 5-6 oder mehr Fenster auf hat/hatte. Das nur am Rande.

Abstürze gab es während der angeblichen Infektion keine, auch hing sas System nie großartig, logisch, wenn man Virenscannt etc., dann wird das System immer etwas langsamer, danach läufts wieder schnell.

Auch gibt/gab es keinen Hinweis auf Fremde Prozesse - 38 Prozesse liefen/laufen, alles Prozesse die laufen MÜSSEN bzw. sich dort Befinden, wo sie hingehören, und die Ausführungsparameter haben, die sie haben sollen (soweit feststellbar), so z.B. "C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted", kann man mit einem Kommando sehr gut sehen, ich habe mir dafür eine BATCH geschrieben:

(Alles in einer Zeile, wohlgemerkt - CH macht hier ab "Get" einen Zeilenumbruch, ist aber EINE Zeile.)
WMIC /OUTPUT: "%userprofile%\Desktop\ProcessList.txt" PROCESS get Caption,Commandline,ExecutablePath,CSName,InstallDate

zeigt sehr schön an, welche Prozesse laufen, und speichert das ganze auf dem Desktop in einer Textdatei. Kann man gut zusammen mit ProcessExplorer benutzen.
Aufgrund der Funktionsweise von WMIC kann man die Text-Datei aber nicht gleich öffnen lassen, da WMIC jeden weiteren Befehl als Input interpretiert und diesen als wirrwarr in die Textdatei schreiben würde. Daher muss man diese Textdatei (ProcessList.txt) selber öffnen.

Zur Prüfung des Netzwerkverkehrs benutze ich auch eine Batch, schreibt ebenfalls jedesmal eine Textdatei und ÖFFNET diese gleich danach:
netstat -anob > "%userprofile%\Desktop\netstatlog.txt"
start "" notepad "%userprofile%\Desktop\netstatlog.txt"


Dabei muss man aber auch wissen, welche Programme STÄNDIG nach draußen horchen (Antivirus z.B. sagt ständig "WARTEND" oder "ABHÖREND") - Batch-bedingt gibt es halt probleme bei der Ausgabe von Sonderzeichen wie Ö, aber dennoch sehr nette Tools - nur muss man eben auch wissen, was man sucht und was "normal" ist, und den Kopf mal nicht nur als Hutständer benutzen.

Lustigerweise eben sagte MBAM NUR während der Phase dieses vor-vorletzten Updates, dass was gefunden wurde - jetzt sagt es nach Ende des Scans "0 Objekte gefunden", bei allem - Registryschlüssel, etc.
TDSSKiller, Hijackthis, alles OK.

Wie ich schon sagte, hier hat irgendein Teufel das MBAM geritten, und die Neuinstallation war nutzlos...

Naja hat auch was - habe ich mir die Bereinigung und Defragmentierung gespart, und das System rennt wieder :)

Was halt so seltsam war, ist die seltsamheit, dass alle Dateien unter "C:\Eigen" lagen, im Ordner "Fraps" die Uninstall.exe, im Ordner X3 - Terran Conflict Editor die "Uninstall.exe" und noch 3 weitere, alle unter "C:\Eigen", wo ich meine Sachen immer hinkopiere.

Jetzt wo ich drüber nachdenke: MBAM und einmal Kaspersky meckerten immer bei der "X3 Editor"-exe wegen irgendwas.... obwohl das von einer "angeblich" vertrauenswürdigen Quelle stammt und viele Leute das Programm nutzen, hm... da ich den als einziges nicht gebackupt hatte, bleibt der auch erstmal weg. Das Spiel kann man auch mit Hexeditor/Notepad modden, und da es angeblich sauber sein soll (http://forum.egosoft.com/viewtopic.php?t=284474#3371122), traue ich dem Ganzen trotzdem nicht - das Programm war wirklich das einzige, wo auch bei der neusten Version gemeckert wurde.

Aber so ist es leider, wenn man Modden will, muss man manchmal nehmen was man kriegt, besonders wenn die Tools sehr rar gesäht sind. Aber meine Mod ist eh fertig, brauchte das Tool sowieso nicht mehr.

« Letzte Änderung: 16.12.12, 11:20:38 von MTVR6578 »

« avg oder norton internet securityHilfe bei Deinstallation von Avira Antivir »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!