|
Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc Schönen Sonntag Vormittag zusammen. ( HijackThis und mbam-log am Ende! ) Kurze Einleitung, habe gestern Windows 7 64bit installiert nachdem die RC nun beedet ist. Ja kurz vor Torschluß, aber bei sowas handel ich immer in letzter Sekunde. Hatte jetzt mit der Beta auch eigentlich keine Probleme und avira (keine Premium version) lief im Hintergrund still mit. Einzig Windows Live Mail wurde mit diversen Phising-Mails überlaufen; habe dies aber oder weniger ignoriert und in Kauf genommen da dort nur Mail-Accounts liefen die nicht wirklich relevant für mich sind und ich diese Mails gleich entsorgt habe. Nachdem Windows 7 frisch installiert war habe ich mit Avira gleich einen kompletten Scan laufen lassen und war jetzt doch etwas überrascht angesichts der schieren Menge an Meldungen. Avira Log sprengt die Maximalanzahl an Zeichen im Posting. *hier sollte Avira log kommen* (ich liste deshalb hier nur mal kur ein paar Funde auf, falls das komplette Log erwünscht ist bitte sagen) ** gut 95 % der Funde sind in Windows Live Mail F:\Installationsdateien\Programme\Aimersoft Video Converter v2.2.0.19\VideoConverter.exe [FUND] Ist das Trojanische Pferd TR/PWS.757044 F:\Programme\CryptLoad_1.0.4\CryptLoad_1.0.4\router\FRITZ!Box\nc.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSFraud Enthält Erkennungsmuster des Droppers DR/Delphi.Gen Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen Trojanische Pferd TR/Crypt.ZPACK.Gen Trojanische Pferd TR/Crypt.CFI.Gen Trojanische Pferd TR/Dldr.Bredolab.I.5 Trojanische Pferd TR/Dldr.Bredolab.AZ.42 Trojanische Pferd TR/Dldr.Agent.37376 Trojanische Pferd TR/Dldr.Agent.512 Trojanische Pferd TR/Dldr.Agent.vzm Trojanische Pferd TR/Dldr.Murlo.cba Trojanische Pferd TR/Dldr.FraudLoad.gc Trojanische Pferd TR/Dldr.Fraudl.wsut Trojanische Pferd TR/Dldr.Genome.aifk Trojanische Pferd TR/Spy.ZBot.JFG Trojanische Pferd TR/Spy.ZBot.cjma Trojanische Pferd TR/Spy.ZBot.aaat Trojanische Pferd TR/Spy.ZBot.dbh Trojanische Pferd TR/Spy.ZBot.xoe Trojanische Pferd TR/Spy.ZBot.wal Trojanische Pferd TR/Spy.ZBot.qta.7 Trojanische Pferd TR/Spy.ZBot.qfa.6 Trojanische Pferd TR/Spy.ZBot.QV.1 Trojanische Pferd TR/Fakealert.bij Trojanische Pferd TR/Sasfis.vbw Trojanische Pferd TR/Agent.X.2193 (+ diverse andere Nummernendungen) Trojanische Pferd TR/Dropper.Gen Trojanische Pferd TR/Ransom.DigiPog.AB.19 Wie man sieht schlägt hauptsächlich Windows Live Mail und ein Backup (Win7 Beta Backup) das auf einer externen Platte liegt Alarm. Habe daraufhin einen HijackThis Scan laufen lassen. Hier das Ergebniss Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:54:22, on 28.02.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\SysWOW64\rundll32.exe C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Windows Media Player\wmplayer.exe C:\program files (x86)\avira\antivir desktop\avcenter.exe C:\Program Files (x86)\Trend Micro\HijackThis\pruefung.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.facebook.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 6340 bytes Und zur Vervollständigung eine Quick Scan von MalwareBytes Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3805 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 28.02.2010 11:08:50 mbam-log-2010-02-28 (11-08-44).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 98689 Laufzeit: 2 minute(s), 15 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Mit freundlichen Grüßen Sam |
Hallo und :hallo: Das gesamt Log von AntiVir interessiert mich. Bitte zippen und zB bei file-upload.net hochladen und hier verlinken. |
Hallöchen, danke schon mal fürs Interesse. Hier der Link http://www.file-upload.net/download-2309545/AVSCAN-20100228-032405-AFD6B33A.7z.html |
Sieht aus, als lägen die virulenten Dateien fast nur im Mailordner. Solange Du davon nichts ausführst, besteht auch überhaupt kein Problem. Wurden woanders noch Schädlinge gefunden? Mach bitte noch einen vollständigen Durchgang mit Malwarebytes. |
Im Musikordner waren noch zwei Meldungen, diese konnte ich aber beheben und dann noch 1-2 Meldungen im SystemBackup das auf einer externen Platte lagen. Ansonsten war alles im Windows Live Mail. Was mich nur wundert, ich habe das OS ja neu aufgesetzt und trotzdem kommen Meldungen über Windows Live Mail (komplett mit allen Konten die ich dort nutzte) ohne das dieses Programm installiert war. Woher nimmt sich ein formtiertes Systemlaufwerk diese Informationen? Werde gleich noch ein kompletten Scan von Malware nachreichen. |
Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3813 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 02.03.2010 15:08:25 mbam-log-2010-03-02 (15-08-25).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 291007 Laufzeit: 29 minute(s), 27 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board