Hallo,
ich hoffe, Ihr könnt mir weiter helfen. Bin mit meinem Latein am Ende.
Das Problem:

AVAST! Free hat gestern 2 mal einen Beagle (Bagle) Wurm gemeldet.
Beide Male beim Löschen des Papierkorbs (Ich lösche 7 x mit Ashampoo Win Optmizer).

Die genauen Bezeichnungen:
1. Win:32Beagle-RI (Trj)
2. Win32:Beagle-SM (Wrm)

Nach dem ersten Fund ließ ich AVAST! und AntiVir PE durchlaufen, Einstellungen auf „alle Dateien“ und maximale Empfindlichkeit.
Die Suchläufe erfolgten zuerst im normalen, dann im abgesicherten Modus von XP.
Keine Funde.

Beim Löschen weiterer Dateien, die ich danach in den Papierkorb verschoben hatte, meldete AVAST! den zweiten Fund. Diesen konnte ich in die Quarantäne/Container von AVAST! verschieben (der erste Fund wurde gelöscht).

Wenn ich AVAST diesen Fund neu prüfen lasse, wird immer wieder der Win32:Beagle-SM (Wrm) bestätigt. Der Pfad zu diesem deutet allerdings auf einen Film aus der Digicam hin, der vor längerer Zeit direkt von der SD-Card auf den Rechner kam. (Der erste Fund war offenbar eine andere Datei).

Leider kann ich die Datei mit AVAST nicht wiederherstellen. Er wird dann zwar etwas im Papierkorb neu angelegt, aber die Datei wird nicht angezeigt. (Vielleicht weil sich die Usprungsdatei beim erstmaligen Löschvorgang, als AVAST! Alarm gab, in einem Unterordner befand, der nun gelöscht ist?). Interessanterweise kann ich aber diese unsichtbare ‚wiederhergestellte’ Datei aus dem Paperkorb leeren oder per Win Optimizer löschen. Dabei kommt übrigens kein Alarm.

Zwischenzeitlich meldete auch AntiVir PE einen Fund:
TR\Dldr.Bagle.CF.1

Wieder beim Löschen des (neu gefüllten) Papierkorbs per Win Optimizer.
Die Warnung habe ich abgeschrieben, die Datei dann aber gelöscht (statt Quarantäne) – bin wohl langsam etwas durcheinander…

Aufgrund der Board-Grundempfehlungen hier habe ich heute Escan heruntergeladen. Das Update war nicht möglich (wg anderen Scannern?), es kam nur eine Fehlermeldung. Deshalb Programmstand: 18.09.2007
ESCAN findet smitfraud (ohne weitere Angabe) und shangxing BackDoor (system32/svkp.sys)

Deshalb ließ ich svkp.sys bei Virusscan.jotti.org durchlaufen. Ergebnis: okay…


Kurz gesagt:
- AVAST!, AntiVir PE SE, Ad-Aware und Blacklight laufen aber finden nichts, bis auf die drei Ereignisse beim Löschen.
- ESCAN findet smitfraud Browser Hijacker (ohne weitere Angabe) und shangxing (BackDoor system32/svkp.sys)
- Virusscan.jotti.org hält dagegen svkp.sys für okay…

Ist das jetzt komplizierte Malware oder ein Fehlermeldungs-Salat?


Zum technischen Stand:

Betriebssystem: XP Media Center Edition, aktueller Stand.

Virenscanner:
AVAST! Free aktueller Stand
AntiVir PE SE, aktueller Stand. Mit AntiVir gab es vor zwei Wochen nach einem größeren Update Probleme. Habe es ganz deinstalliert und neu eingerichtet.
F-Protect Blacklight
ESCAN 18.09.2009

Spyware-Scanner: Ad-Aware (akueller Stand).

Firewall: ZoneAlarm & Fritz! Box als DSL Rooter.

Ich mache täglich manuelle Updates und lasse alle drei Programme durchlaufen.


Über jeden Hinweis würde ich mich sehr freuen. Blicke nicht mehr durch…

Danke im Voraus!


Hier noch das ESCAN-Protokoll und das HijackThis log:


ESCAN-Protokoll
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/18/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\svkp.sys
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\WINDOWS\system32\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 92302
Gefundene Viren: 2
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 318
Dauer des Scans bisher: 00:46:24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 9:03:31,00
Batchende: 9:03:34,37


--------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 07:48:49, on 21.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\(BENUTZERNAME edit)\Desktop\Secret Service\HJT.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.(EDIT: Internet- Provider)/Produktübersicht
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xhttp://(EDIT Betriebyysytemhersteller)/fwlink/?LinkId=69157]MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xhttp://(EDIT Betriebyysytemhersteller)/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xhttp://(EDIT[/url] Betriebyysytemhersteller)/fwlink/?LinkId=54896]Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =xhttp://(EDIT Betriebyysytemhersteller)/fwlink/?LinkId=69157]MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrayServer] C:\PROGRA~1\MAGIX\VIDEO_~1\TrayServer.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: xhttp://www.(EDITIERT-Website bekannt))
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - xhttp://support.(EDITERT PC-HERSTELLER)/systemprofiler/SysPro.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - xhttp://(EDITIERT Betriebssystemhersteller)/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - xhttp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - xhttp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/url]
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Unknown owner - C:\WINDOWS\system32\Tablet.exe (file missing)
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

hat niemand eine Idee oder ist irgend etwas an den Logs auffällig?

AntiVir und AVAST! melden beim Löschen des Papierkorbs immer noch verschiedene Versionen des Beagle/Bagle. Allerdings 'nur' 2 x pro Tag...

Wenn ich diese Dateien bei jotti scanne, finden die anderen Scanner dort nichts.

Ich hatte schon an gehäufte Fehlalarme gedacht. Aber alle Meldungen betreffen immer nur Beagle/Bagle, keine andere Malware.

Würde mich wirklich über jeden Tipp freuen

Heiko

Hallo.

Zitat:

Deshalb ließ ich svkp.sys bei Virusscan.jotti.org durchlaufen. Ergebnis: okay…

Nach Google-Recherchen gehört svkp.sys anscheinend zu einem Anti-Copy-Tool => Quelle.

Zitat:

Beide Male beim Löschen des Papierkorbs (Ich lösche 7 x mit Ashampoo Win Optmizer).
Die genauen Bezeichnungen:
1. Win:32Beagle-RI (Trj)
2. Win32:Beagle-SM (Wrm)

Vermutlich haben sich diese Schädlinge im Papierkorb befunden. Oder avast hat darin befindliche Objekte fälschlicherweise als Malware deklariert.
Jedenfalls über eScan und hjt sind keine Schädlinge ersichtlich.

Hallo Arne,

ganz herzlichen Dank für's Durchecken der Logs und den Link!

Svkp.sys versuche ich jetzt zu löschen.

Dass die Logs unauffällig sind, ist jedenfalls schon mal beruhigend.

Vielleicht sind AntiVir und AVAST! zu 'scharf' eingestellt und melden Fehlalarme. Ich wechsele jetzt für ein paar Tage die Virenscanner aus. Mal sehen, ob sich Kasperky z.B. ähnlich verhält.

Wahrscheinlich ist das nun aber auch der Ansporn für mich, das System komplett neu aufzusetzen um den angesammelten Müll des letzten Jahres loszuwerden...

Also nochmals danke!

Heiko