Nabend,
ich habe gestern meinen PC neu aufgesetzt und nach ein paar Problemen bei der Installation von Windows 7 SP1 habe ich es heute hinbekommen und nachdem ich alle Updates installiert hatte, habe ich mir Malwarebytes Anti-Malware besorgt und einfach mal vorsorglich kurz scannen lassen. Zuvor habe ich lediglich ein paar vorinstallierte Programme deinstalliert, also handelt es sich um eine wirklich sehr frische Win7-Installation. Dennoch hat Malwarebytes folgendes ausgespuckt:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 01.08.2014
Suchlauf-Zeit: 19:49:51
Logdatei: malwarebytes_log_01082014.txt
Administrator: Nein

Version: 2.00.2.1012
Malware Datenbank: v2014.08.01.04
Rootkit Datenbank: v2014.07.17.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Self-protection: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: xyz

Suchlauf-Art: Benutzerdefinierter Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 215371
Verstrichene Zeit: 0 Min, 40 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristics: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registrierungsschlüssel: 0
(No malicious items detected)

Registrierungswerte: 1
Backdoor.Bot, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|JAVA, C:\Windows\java.vbs, , [38306958e19a7db9f52d0d7650b36a96]

Registrierungsdaten: 0
(No malicious items detected)

Ordner: 0
(No malicious items detected)

Dateien: 1
Backdoor.Bot, C:\Windows\java.vbs, , [38306958e19a7db9f52d0d7650b36a96], 

Physische Sektoren: 0
(No malicious items detected)


(end)
         

Dieses dubiose "java.vbs" Skript offenbart nach Öffnen mit dem Editor folgenden Inhalt:

Code: Alles auswählenAufklappen

ATTFilter

Set fso = CreateObject("WScript.Shell")

fso.Run "C:\Windows\java.cmd", 0, true
         

Die darin erwähnte "java.cmd" hat folgenden Inhalt:

Code: Alles auswählenAufklappen

ATTFilter

If Not Exist "C:\Program Files\Java\jre6\bin\javacpl.exe" (
	C:\Windows\System32\Reg.exe Delete "HKCR\CLSID\{4299124F-F2C3-41b4-9C73-9236B2AD0E9F}" /f >Nul 2>Nul
	C:\Windows\System32\Reg.exe Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{4299124F-F2C3-41b4-9C73-9236B2AD0E9F}" /f >Nul 2>Nul
	C:\Windows\System32\Reg.exe Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "JAVA" /f >Nul 2>Nul
	)
Goto :EoF
         

Java ist tatsächlich vorinstalliert, habe Windows auch per Recovery auf den Werkszustand zurückgesetzt (war auf dem PC vorinstalliert). Deshalb habe ich irgendwie den Verdacht, dass es sich hier um einen Fehlalarm handeln könnte, was sagt ihr dazu?

Sollten die angegebenen Informationen keine zuverlässige Einschätzung zulassen, werde ich natürlich die in der Anleitung für Hilfesuchende aufgeführten log-Files nachreichen.

also die CMD macht jetzt mal nix schlimmes. SCheint ne heuristische Erkennung zu sein.

Alles klar, hab mir jetzt als "richtiges" Anti-Viren Programm noch AVG geholt und des schlägt beim Scan nicht Alarm, scheint also wie vermutet nen Fehlalarm zu sein. Wäre auch blöd gelaufen bei einer neuen Installation, wenns was ernstes wäre. Vielen Dank

Gern Geschehen