Schönen Sonntag Vormittag zusammen.
( HijackThis und mbam-log am Ende! )


Kurze Einleitung, habe gestern Windows 7 64bit installiert nachdem die RC nun beedet ist. Ja kurz vor Torschluß, aber bei sowas handel ich immer in letzter Sekunde. Hatte jetzt mit der Beta auch eigentlich keine Probleme und avira (keine Premium version) lief im Hintergrund still mit.

Einzig Windows Live Mail wurde mit diversen Phising-Mails überlaufen; habe dies aber oder weniger ignoriert und in Kauf genommen da dort nur Mail-Accounts liefen die nicht wirklich relevant für mich sind und ich diese Mails gleich entsorgt habe.

Nachdem Windows 7 frisch installiert war habe ich mit Avira gleich einen kompletten Scan laufen lassen und war jetzt doch etwas überrascht angesichts der schieren Menge an Meldungen.

Avira Log sprengt die Maximalanzahl an Zeichen im Posting.
*hier sollte Avira log kommen* (ich liste deshalb hier nur mal kur ein paar Funde auf, falls das komplette Log erwünscht ist bitte sagen)
** gut 95 % der Funde sind in Windows Live Mail

F:\Installationsdateien\Programme\Aimersoft Video Converter v2.2.0.19\VideoConverter.exe
[FUND] Ist das Trojanische Pferd TR/PWS.757044
F:\Programme\CryptLoad_1.0.4\CryptLoad_1.0.4\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes

Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSFraud
Enthält Erkennungsmuster des Droppers DR/Delphi.Gen
Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen

Trojanische Pferd TR/Crypt.ZPACK.Gen
Trojanische Pferd TR/Crypt.CFI.Gen

Trojanische Pferd TR/Dldr.Bredolab.I.5
Trojanische Pferd TR/Dldr.Bredolab.AZ.42
Trojanische Pferd TR/Dldr.Agent.37376
Trojanische Pferd TR/Dldr.Agent.512
Trojanische Pferd TR/Dldr.Agent.vzm
Trojanische Pferd TR/Dldr.Murlo.cba
Trojanische Pferd TR/Dldr.FraudLoad.gc
Trojanische Pferd TR/Dldr.Fraudl.wsut
Trojanische Pferd TR/Dldr.Genome.aifk

Trojanische Pferd TR/Spy.ZBot.JFG
Trojanische Pferd TR/Spy.ZBot.cjma
Trojanische Pferd TR/Spy.ZBot.aaat
Trojanische Pferd TR/Spy.ZBot.dbh
Trojanische Pferd TR/Spy.ZBot.xoe
Trojanische Pferd TR/Spy.ZBot.wal
Trojanische Pferd TR/Spy.ZBot.qta.7
Trojanische Pferd TR/Spy.ZBot.qfa.6
Trojanische Pferd TR/Spy.ZBot.QV.1

Trojanische Pferd TR/Fakealert.bij
Trojanische Pferd TR/Sasfis.vbw
Trojanische Pferd TR/Agent.X.2193 (+ diverse andere Nummernendungen)
Trojanische Pferd TR/Dropper.Gen
Trojanische Pferd TR/Ransom.DigiPog.AB.19

Wie man sieht schlägt hauptsächlich Windows Live Mail und ein Backup (Win7 Beta Backup) das auf einer externen Platte liegt Alarm.

Habe daraufhin einen HijackThis Scan laufen lassen.
Hier das Ergebniss

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:54:22, on 28.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
C:\Program Files (x86)\Trend Micro\HijackThis\pruefung.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6340 bytes


Und zur Vervollständigung eine Quick Scan von MalwareBytes

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3805
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28.02.2010 11:08:50
mbam-log-2010-02-28 (11-08-44).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98689
Laufzeit: 2 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Mit freundlichen Grüßen
Sam

Hallo und

Das gesamt Log von AntiVir interessiert mich. Bitte zippen und zB bei file-upload.net hochladen und hier verlinken.

Hallöchen,

danke schon mal fürs Interesse.
Hier der Link

http://www.file-upload.net/download-2309545/AVSCAN-20100228-032405-AFD6B33A.7z.html

Sieht aus, als lägen die virulenten Dateien fast nur im Mailordner. Solange Du davon nichts ausführst, besteht auch überhaupt kein Problem. Wurden woanders noch Schädlinge gefunden? Mach bitte noch einen vollständigen Durchgang mit Malwarebytes.

Im Musikordner waren noch zwei Meldungen, diese konnte ich aber beheben und dann noch 1-2 Meldungen im SystemBackup das auf einer externen Platte lagen.

Ansonsten war alles im Windows Live Mail.
Was mich nur wundert, ich habe das OS ja neu aufgesetzt und trotzdem kommen Meldungen über Windows Live Mail (komplett mit allen Konten die ich dort nutzte) ohne das dieses Programm installiert war.

Woher nimmt sich ein formtiertes Systemlaufwerk diese Informationen?

Werde gleich noch ein kompletten Scan von Malware nachreichen.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3813
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02.03.2010 15:08:25
mbam-log-2010-03-02 (15-08-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 291007
Laufzeit: 29 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Woher nimmt sich ein formtiertes Systemlaufwerk diese Informationen?

Ich kann mir das nur so erklären: Wenn Du Dich bei MSN einloggst, speichert der auch Deine Mails in Deinem Profil zwischen, mitsamt den (virulenten) Anhängen.