| charly54 | 01.08.2014 20:27 |
Malwarebytes Anti-Malware findet Backdor.bot (recht frische Win-Installation) - Fehlalarm?
Nabend,
ich habe gestern meinen PC neu aufgesetzt und nach ein paar Problemen bei der Installation von Windows 7 SP1 habe ich es heute hinbekommen und nachdem ich alle Updates installiert hatte, habe ich mir Malwarebytes Anti-Malware besorgt und einfach mal vorsorglich kurz scannen lassen. Zuvor habe ich lediglich ein paar vorinstallierte Programme deinstalliert, also handelt es sich um eine wirklich sehr frische Win7-Installation. Dennoch hat Malwarebytes folgendes ausgespuckt: Code:
Malwarebytes Anti-Malware
www.malwarebytes.org
Suchlauf Datum: 01.08.2014
Suchlauf-Zeit: 19:49:51
Logdatei: malwarebytes_log_01082014.txt
Administrator: Nein
Version: 2.00.2.1012
Malware Datenbank: v2014.08.01.04
Rootkit Datenbank: v2014.07.17.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Self-protection: Deaktiviert
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: xyz
Suchlauf-Art: Benutzerdefinierter Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 215371
Verstrichene Zeit: 0 Min, 40 Sek
Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristics: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(No malicious items detected)
Module: 0
(No malicious items detected)
Registrierungsschlüssel: 0
(No malicious items detected)
Registrierungswerte: 1
Backdoor.Bot, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|JAVA, C:\Windows\java.vbs, , [38306958e19a7db9f52d0d7650b36a96]
Registrierungsdaten: 0
(No malicious items detected)
Ordner: 0
(No malicious items detected)
Dateien: 1
Backdoor.Bot, C:\Windows\java.vbs, , [38306958e19a7db9f52d0d7650b36a96],
Physische Sektoren: 0
(No malicious items detected)
(end)
Dieses dubiose "java.vbs" Skript offenbart nach Öffnen mit dem Editor folgenden Inhalt: Code:
Set fso = CreateObject("WScript.Shell")
fso.Run "C:\Windows\java.cmd", 0, true
Die darin erwähnte "java.cmd" hat folgenden Inhalt: Code:
If Not Exist "C:\Program Files\Java\jre6\bin\javacpl.exe" (
C:\Windows\System32\Reg.exe Delete "HKCR\CLSID\{4299124F-F2C3-41b4-9C73-9236B2AD0E9F}" /f >Nul 2>Nul
C:\Windows\System32\Reg.exe Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{4299124F-F2C3-41b4-9C73-9236B2AD0E9F}" /f >Nul 2>Nul
C:\Windows\System32\Reg.exe Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "JAVA" /f >Nul 2>Nul
)
Goto :EoF
Java ist tatsächlich vorinstalliert, habe Windows auch per Recovery auf den Werkszustand zurückgesetzt (war auf dem PC vorinstalliert). Deshalb habe ich irgendwie den Verdacht, dass es sich hier um einen Fehlalarm handeln könnte, was sagt ihr dazu?
Sollten die angegebenen Informationen keine zuverlässige Einschätzung zulassen, werde ich natürlich die in der Anleitung für Hilfesuchende aufgeführten log-Files nachreichen. | 