Hallo Forum! Zuerst: ich weiß, daß ich chaotisch vorgegangen bin und jede Kritik berechtigt ist. Trotzdem traue ich mich, die Frage zu stellen, warum es Malwarealarme bei leeren Ordnern gibt. Es geht um mein altes Schätzchen, welches Ihr schon kennt (http://www.trojaner-board.de/50239-altes-laptop-quaelend-langsam.html). Seit einer Speicheraufrüstung geht’s mit der Geschwindigkeit so la la.

Auszug aus Everest Home:
Computer:
Betriebssystem Microsoft Windows 2000 Professional
OS Service Pack Service Pack 4
DirectX 4.07.00.0700 (DirectX 7.0)
Computername ****
Benutzername ****

Motherboard:
CPU Typ Mobile Intel Celeron, 600 MHz (6 x 100)
Motherboard Name TOSHIBA S1690CDT
Motherboard Chipsatz Intel 82440BX/ZX
Arbeitsspeicher 192 MB (SDRAM)
BIOS Typ Phoenix (06/01/00)


Am 29. 09. 2008 habe ich von einem Link der Homepage einer bekannten Computerzeitschrift (Die 50 beliebtesten Downloads) das bekannte Spiel “Bridge Building Game“ heruntergeladen. Man soll ja nur von Seiten herunterladen, denen man vertraut! Das Spiel funktionierte nicht. Kein Wunder bei dem alten Schätzchen (s.o.) dachte ich.
Beim späteren Versuch, das Spiel zu starten, bekam ich eine Viruswarnung vom Antivir Guard:

In der Datei 'C:\Dokumente und Einstellungen\l.L-F6HPP189I9DJQ\Lokale Einstellungen\Temp\uninst1.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Killwin.MI' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern. Ich habe die Malware in die Quarantäne verschoben. Beim erneuten Versuch, das Spiel zu starten, gab es wieder dieselbe Warnung vom Guard.
Der folgende Systemcheck mit Antivir war aber ohne Virusnachweis:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 29. September 2008 13:16

Es wird nach 1646460 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Boot Modus: Normal gebootet

Der Suchlauf wurde vollständig durchgeführt.

1774 Verzeichnisse wurden überprüft
108204 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
108203 Dateien ohne Befall
1116 Archive wurden durchsucht
1 Warnungen
0 Hinweise
11491 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Also habe ich das Problem-Programm mit Antivir untersuchen lassen. Es war auch dort kein Befall nachweisbar:

Beginn des Suchlaufs: Montag, 29. September 2008 14:01
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Programme\Bridge Building Game\bridge.bmp'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\level'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\texture'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\02-New.pro'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\02-New'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\bridge.exe'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\config.txt'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\cryptic.url'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\SDL.DLL'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\uninstall.exe'
Beginne mit der Suche in 'C:\Programme\Bridge Building Game\uninstall.ini'


Ende des Suchlaufs: Montag, 29. September 2008 14:01
Benötigte Zeit: 00:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5 Verzeichnisse wurden überprüft
41 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
41 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
Beim Versuch das Programm Bridge Building Game zu deinstallieren, kam immer wieder die Viruswarnung vom Guard. Es ließ sich nur im abgesicherten Modus deinstallieren.
Ich habe mir darauf escan heruntergeladen. Dort bekam ich vier Malwaremeldungen (Prüfungseinstellung ohne Spywarescan). Es waren vier verschiedene Ordner mit vier verschiedenen Schadprogrammen, zu denen es bei einer Google-Recherche keine Informationen gab. Ich kann Euch die Namen nicht mehr sagen, ich habe die entsprechenden Logfiles inzwischen gelöscht (siehe Schuldbekenntnis oben). Beim Versuch, den ersten Ordner bei h**p://virusscan.jotti.org/ testen zu lassen, kam die Fehlermeldung, der Ordner sei leer. Tatsächlich, die anderen „befallenen“ Ordner waren auch leer. Geschützte Systemdateien und versteckte Ordner sollten angezeigt werden. Ich habe also die 4 Dateien, die wohl irgendwie zur Installations-/Deinstallationsroutine gehörten, mit Ccleaner (Einstellung sicheres Löschen- 3-fach ) gelöscht. Danach war escan sauber, Spybot , Antivir und Hijackthis (automatische Auswertung) auch. Bei meiner Suche nach Ursachen bin ich dann auf Malwarebytes gestoßen. Oh Wunder es gab folgendes Ergebnis:

MalwareBytes:

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINNT\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINNT\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
C:\WINNT\logo1_.exe (Worm.Viking) -> No action taken.
C:\WINNT\system32\systems.txt (Trojan.FakeAlert) -> No action taken.


Und, oh Wunder, auch diese Dateien waren leer! Ich habe die 4 Dateien mit dem Programm Malwarebytes gelöscht und anschließend war auch Malwarebytes wieder ohne Malwaremeldung. Der Computer lief übrigens immer wie sonst auch. Zur Sicherheit hier noch das abschließende Logfile von Hijachthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:11, on 02.10.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\ati2plxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Privoxy\privoxy.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=127.0.0.1:8118;h**ps=127.0.0.1:8118;socks=127.0.0.1:9050
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Verknüpfung mit privoxy.exe.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204997824279
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) – h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207746767063
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2plxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 4518 bytes
Und hat einer einen Reim darauf? Viele Grüße harlud

Ach ja! Das Problem mit dem Trojaner hatten auch noch andere:
http://forum.chip.de/downloads/bridge-building-game-bridging-gap-1064621.html
Gruß harlud

Hi,

Die Entwickler von Malwarebytes suchen explizit nach bestimmten Namen und bestimmten Dateien. Die Datei systems.txt wird niemals eine legitime Datei, weswegen sie sagen, dass man diese Datei auch immer löschen kann.
Daher wird nach Namen gesucht und die entsprechende Datei gelöscht.

eScan geht einen ähnlichen Weg: Es sagt die Datei "systems.txt" ist niemals legitim, also legen wir einen Ordner an, der so heißt, damit die Datei gar nicht erst angelegt werden kann.

eScan hat also einige derartige Ordner angelegt, die Malwarebytes anschließend aufgrund des Namens als bösartig erkannt hat.

lg myrtille

Hallo myrtille ! Ja, das scheint es zu erklären! Danke und Gruß harlud
Das Spiel steht übrigens immer noch (s.o.) zum Download bereit. Wer also einen Trojaner braucht...