| Tyria Thor | 01.06.2009 21:42 |
Virus oder nur Fehlmeldung?
Hallo!
Ich habe gerade gestern mein System neu aufgesetzt und heute eine (von einer dubiosen Website) Software installiert. Den Installer habe ich mit Antivir gescannt, es hat nicht gemeckert - auch nicht während der Installation.
Jetzt im Nachhinein habe ich noch einmal die Datei bei Virustotal hochgeladen. Code:
Ergebnis: 2/40 (5.00%)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.06.01 -
AhnLab-V3 5.0.0.2 2009.06.01 -
AntiVir 7.9.0.180 2009.06.01 -
Antiy-AVL 2.0.3.1 2009.06.01 -
Authentium 5.1.2.4 2009.06.01 -
Avast 4.8.1335.0 2009.05.31 -
AVG 8.5.0.339 2009.06.01 -
BitDefender 7.2 2009.06.01 -
CAT-QuickHeal 10.00 2009.06.01 Backdoor.Small.hvo
ClamAV 0.94.1 2009.06.01 -
Comodo 1230 2009.06.01 -
DrWeb 5.0.0.12182 2009.05.29 -
eSafe 7.0.17.0 2009.06.01 -
eTrust-Vet 31.6.6533 2009.06.01 -
F-Prot 4.4.4.56 2009.06.01 -
F-Secure 8.0.14470.0 2009.06.01 -
Fortinet 3.117.0.0 2009.06.01 -
GData 19 2009.06.01 -
Ikarus T3.1.1.57.0 2009.06.01 -
K7AntiVirus 7.10.749 2009.05.29 -
Kaspersky 7.0.0.125 2009.06.01 -
McAfee 5633 2009.06.01 -
McAfee+Artemis 5633 2009.06.01 -
McAfee-GW-Edition 6.7.6 2009.05.29 -
Microsoft 1.4701 2009.06.01 -
NOD32 4120 2009.06.01 -
Norman 6.01.05 2009.06.01 -
nProtect 2009.1.8.0 2009.06.01 -
Panda 10.0.0.14 2009.06.01 -
PCTools 4.4.2.0 2009.06.01 -
Prevx 3.0 2009.06.01 -
Rising 21.32.04.00 2009.06.01 -
Sophos 4.42.0 2009.06.01 -
Sunbelt 3.2.1858.2 2009.05.31 -
Symantec 1.4.4.12 2009.06.01 -
TheHacker 6.3.4.3.335 2009.06.01 Backdoor/Small.hzg
TrendMicro 8.950.0.1092 2009.06.01 -
VBA32 3.12.10.6 2009.05.31 -
ViRobot 2009.6.1.1763 2009.06.01 -
VirusBuster 4.6.5.0 2009.05.31 -
Muss ich mir jetzt sorgen machen? Ist es besser, das System neu aufzusetzen?
Ich habe HiJackThis und Malwarebytes' Anti-Malware durchlaufen lassen.
Malwarebytes' Anti-Malware hat 6 "infizierte" Dateien gefunden.
2x Registry Einträge, die aber damit zusammen hängen könnten, dass ich z.B. Win Auto Updates bei den Diensten ausgestellt habe, um eine niedrige Prozessanzahl zu erreichen.
Dann eine Datei, die ein Patch ist (für IRC, damit wenn man sich das Programm nicht gekauft hat, man nicht bei jedme Start auf "continue" drücken muss). Der greift bestimmt in die Registry ein und wird daher als Virus / Trojaner o.ä. erkannt.
Die restlichen 3 Dateien beziehen sich auf IRC. (ich habe bereits gepatched)
Hat die Software, die bei 2 Virenscannerengines als Backdoor eingestuft wurde, nun nichts gemacht, sprich war eine Fehlmeldung? Oder hat sie die 2 Registry-Einträge geändert?
Oder sind die "infizierten" Dateien vom IRC wirklich Trojaner o.ä.?
HiJackThis: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:06:29, on 01.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
E:\Security\Avira\AntiVir Desktop\sched.exe
E:\Security\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
E:\Security\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
E:\Messaging\QIP\qip.exe
E:\Browser\Firefox\firefox.exe
E:\Messaging\Gamers.IRC\mirc.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Security\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1243819926156
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6CACCFA-0F4C-47BA-8C49-D4743719CEE2}: NameServer = 192.168.1.1,213.191.74.18
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Security\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Security\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 4108 bytes
Malwarebytes': Code:
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2209
Windows 5.1.2600 Service Pack 3
01.06.2009 22:34:43
mbam-log-2009-06-01 (22-34-40).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 222139
Laufzeit: 22 minute(s), 39 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
E:\Messaging\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> No action taken.
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
E:\Messaging\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> No action taken.
e:\messaging\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> No action taken.
h:\programme\mirc_6.35_inc.patch\mirc_6.35_inc.patch\Mirc\mirc.6.3-patch-Fawkess.exe (Spyware.OnlineGames) -> No action taken.
Hoffe ihr könnt mir helfen. | 