Hallo!

Ich habe gerade gestern mein System neu aufgesetzt und heute eine (von einer dubiosen Website) Software installiert. Den Installer habe ich mit Antivir gescannt, es hat nicht gemeckert - auch nicht während der Installation.
Jetzt im Nachhinein habe ich noch einmal die Datei bei Virustotal hochgeladen.

Code: Alles auswählenAufklappen

ATTFilter

Ergebnis: 2/40 (5.00%)
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.0.0.101 	2009.06.01 	-
AhnLab-V3 	5.0.0.2 	2009.06.01 	-
AntiVir 	7.9.0.180 	2009.06.01 	-
Antiy-AVL 	2.0.3.1 	2009.06.01 	-
Authentium 	5.1.2.4 	2009.06.01 	-
Avast 	4.8.1335.0 	2009.05.31 	-
AVG 	8.5.0.339 	2009.06.01 	-
BitDefender 	7.2 	2009.06.01 	-
CAT-QuickHeal 	10.00 	2009.06.01 	Backdoor.Small.hvo
ClamAV 	0.94.1 	2009.06.01 	-
Comodo 	1230 	2009.06.01 	-
DrWeb 	5.0.0.12182 	2009.05.29 	-
eSafe 	7.0.17.0 	2009.06.01 	-
eTrust-Vet 	31.6.6533 	2009.06.01 	-
F-Prot 	4.4.4.56 	2009.06.01 	-
F-Secure 	8.0.14470.0 	2009.06.01 	-
Fortinet 	3.117.0.0 	2009.06.01 	-
GData 	19 	2009.06.01 	-
Ikarus 	T3.1.1.57.0 	2009.06.01 	-
K7AntiVirus 	7.10.749 	2009.05.29 	-
Kaspersky 	7.0.0.125 	2009.06.01 	-
McAfee 	5633 	2009.06.01 	-
McAfee+Artemis 	5633 	2009.06.01 	-
McAfee-GW-Edition 	6.7.6 	2009.05.29 	-
Microsoft 	1.4701 	2009.06.01 	-
NOD32 	4120 	2009.06.01 	-
Norman 	6.01.05 	2009.06.01 	-
nProtect 	2009.1.8.0 	2009.06.01 	-
Panda 	10.0.0.14 	2009.06.01 	-
PCTools 	4.4.2.0 	2009.06.01 	-
Prevx 	3.0 	2009.06.01 	-
Rising 	21.32.04.00 	2009.06.01 	-
Sophos 	4.42.0 	2009.06.01 	-
Sunbelt 	3.2.1858.2 	2009.05.31 	-
Symantec 	1.4.4.12 	2009.06.01 	-
TheHacker 	6.3.4.3.335 	2009.06.01 	Backdoor/Small.hzg
TrendMicro 	8.950.0.1092 	2009.06.01 	-
VBA32 	3.12.10.6 	2009.05.31 	-
ViRobot 	2009.6.1.1763 	2009.06.01 	-
VirusBuster 	4.6.5.0 	2009.05.31 	-
         

Muss ich mir jetzt sorgen machen? Ist es besser, das System neu aufzusetzen?

Ich habe HijackThis und Malwarebytes' Anti-Malware durchlaufen lassen.
Malwarebytes' Anti-Malware hat 6 "infizierte" Dateien gefunden.
2x Registry Einträge, die aber damit zusammen hängen könnten, dass ich z.B. Win Auto Updates bei den Diensten ausgestellt habe, um eine niedrige Prozessanzahl zu erreichen.
Dann eine Datei, die ein Patch ist (für IRC, damit wenn man sich das Programm nicht gekauft hat, man nicht bei jedme Start auf "continue" drücken muss). Der greift bestimmt in die Registry ein und wird daher als Virus / Trojaner o.ä. erkannt.
Die restlichen 3 Dateien beziehen sich auf IRC. (ich habe bereits gepatched)

Hat die Software, die bei 2 Virenscannerengines als Backdoor eingestuft wurde, nun nichts gemacht, sprich war eine Fehlmeldung? Oder hat sie die 2 Registry-Einträge geändert?

Oder sind die "infizierten" Dateien vom IRC wirklich Trojaner o.ä.?

HiJackThis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:06:29, on 01.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
E:\Security\Avira\AntiVir Desktop\sched.exe
E:\Security\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
E:\Security\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
E:\Messaging\QIP\qip.exe
E:\Browser\Firefox\firefox.exe
E:\Messaging\Gamers.IRC\mirc.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Security\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1243819926156
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6CACCFA-0F4C-47BA-8C49-D4743719CEE2}: NameServer = 192.168.1.1,213.191.74.18
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Security\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Security\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4108 bytes
         

Malwarebytes':

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2209
Windows 5.1.2600 Service Pack 3

01.06.2009 22:34:43
mbam-log-2009-06-01 (22-34-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 222139
Laufzeit: 22 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
E:\Messaging\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> No action taken.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\Messaging\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> No action taken.
e:\messaging\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> No action taken.
h:\programme\mirc_6.35_inc.patch\mirc_6.35_inc.patch\Mirc\mirc.6.3-patch-Fawkess.exe (Spyware.OnlineGames) -> No action taken.
         

Hoffe ihr könnt mir helfen.

Ich habe jetzt die 2 Dateien von IRC (SysTray.dll , dmu.dll) bei Virustotal hochgeladen und die eine erzielte 0/40 Treffer, die ander 1/40 (Medium Risk Malware)...

Scheint also nichts schlimmes dran zu sein, oder sehe ich das falsch?

Mal ganz allgemein. Ich habe ein Backup (Systemwiederherstellungspunkt) direkt nach dem Installieren aller Treiber gemacht. Die Datei ist ca. 2GB groß und befindet sich auf der Festplatte; eine Diskette habe ich nicht eingelegt, als ich dazu aufgefordert wurde.

Wenn mein System jetzt kommitiert wäre, würde ich dann einfach das Backup laden können oder macht dann nur eine Komplettformatierung Sinn?

ThreatExpert - Scan sagt folgendes.

Könnte mir mal einer Entwarnung geben / dazu raten, zu formatieren bzw. einfach mal einer, der Ahnung hat, Stellung nehmen? Danke.

Wenn mein PC hochfährt, braucht er auch ca. 20-30 Sekunden bei "Windows wird gestartet" (kurz vor "Willkommen"). Sind ca. 30 Prozese an, wenn er hochgefahren ist.