Rbot.skp gedecteerd door Spybot S&D in netmeter.exe

Ik gebruik al jaren NetMeter v1.1.3 (http://www.metal-machine.de/readerror/) om dataverbruik in de gaten te houden. Gisterenavond, binnen 5 minuten na een update van Spybot S&D, kwam er een Spybot S&D popup die me vertelde dat NetMeter.exe de trojan rbot.skp zou bevatten.

Even googlen op rbot.skp leverden eigenlijk alleen verwijzingen op naar de laatste update van Spybot S&D. Ook de handleiding voor handmatige verwijdering op het S&D forum staat pas sinds gisteravond online.

Zowel Avast als SuperAntiSpyware gaven geen alarm bij het scannen van NetMeter.exe

Ik heb ook het bestand op jotti.org laten analyseren en daar werd niks gevonden terwijl bv F-secure deze trojan al sinds 2008 zou moeten kunnen vinden:

F-Secure forum - 2008-07-31_07 - [ Vertaal deze pagina ]
31 Jul 2008 ... Rbot.skm [1] Added: Backdoor.Win32.Rbot.skn [1] Added: Backdoor.Win32.Rbot.sko [1] Added: Backdoor.Win32.Rbot.skp [1] Added: Backdoor.Win32.

Vandaag nog een paar keer gegoogled en de Spybot S&D forums gecheckt maar nog niks vergelijkbaars gevonden. Mijn vermoeden is dat het om een false positive gaat, iemand enig idee hoe ik dit zou kunnen bevestigen?

/me gaat straks thuis ook op het S&D forum deze vraag plaatsen.

edit: Iemand was me voor op het S&D Forum: http://forums.spybot.info/showthread.php?p=347762

[ Voor 4% gewijzigd door Frentik op 19-11-2009 19:07 ]

Verwijderd schreef op donderdag 19 november 2009 @ 19:50:
Ik ken het product zelf niet goed maar je kan de volgende stappen nemen:

1) maak een filehash (md5sum) van het bestand en vergelijk deze met de hash van de leverancier. Hiermee sluit je uit dat een virus de .exe vervangen heeft, aangepast heeft voor een andere.

Zowel de md5 van de file op mijn 2 PC's als die van 2 nieuwe downloads (http://www.softpedia.com/...Meter-Download-23932.html en http://www.winaddons.com/netmeter-113/ ) zijn hetzelfde:
26d4dc9c41770aee627004a0eb60605b

2) Download Sysinternal van Microsoft (er van uitgaande dat je Windows gebruikt). Open het bestand sockmon en kijk of de genoemde applicatie erbij staat. Zo ja monitoor deze applicatie en kijk welke data er over je lijn gaat.

Nog even niet gedaan omdat NetMeter door Spybot S&D direct afgesloten word en zolang het nog onduidelijk is laat ik het maar even zo.

Confirmed False positive door Spybot S&D (Gelukkig )

Hello Maarten,

thank you for providing information on this issue. I can confirm that this is a false positive. Attached is a fixed detection file for this issue.
Extract the TrojansC.sbi to your Spybot S&D folder (by default: c:\program files\spybot - search & destroy\includes\) and restart Spybot S&D and TeaTimer.

Best regards
Sandra
Team Spybot