Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus oder nur Fehlmeldung? (https://www.trojaner-board.de/73730-virus-nur-fehlmeldung.html)

Tyria Thor 01.06.2009 21:42

Virus oder nur Fehlmeldung?
 
Hallo!

Ich habe gerade gestern mein System neu aufgesetzt und heute eine (von einer dubiosen Website) Software installiert. Den Installer habe ich mit Antivir gescannt, es hat nicht gemeckert - auch nicht während der Installation.
Jetzt im Nachhinein habe ich noch einmal die Datei bei Virustotal hochgeladen.
Code:

Ergebnis: 2/40 (5.00%)
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.101        2009.06.01        -
AhnLab-V3        5.0.0.2        2009.06.01        -
AntiVir        7.9.0.180        2009.06.01        -
Antiy-AVL        2.0.3.1        2009.06.01        -
Authentium        5.1.2.4        2009.06.01        -
Avast        4.8.1335.0        2009.05.31        -
AVG        8.5.0.339        2009.06.01        -
BitDefender        7.2        2009.06.01        -
CAT-QuickHeal        10.00        2009.06.01        Backdoor.Small.hvo
ClamAV        0.94.1        2009.06.01        -
Comodo        1230        2009.06.01        -
DrWeb        5.0.0.12182        2009.05.29        -
eSafe        7.0.17.0        2009.06.01        -
eTrust-Vet        31.6.6533        2009.06.01        -
F-Prot        4.4.4.56        2009.06.01        -
F-Secure        8.0.14470.0        2009.06.01        -
Fortinet        3.117.0.0        2009.06.01        -
GData        19        2009.06.01        -
Ikarus        T3.1.1.57.0        2009.06.01        -
K7AntiVirus        7.10.749        2009.05.29        -
Kaspersky        7.0.0.125        2009.06.01        -
McAfee        5633        2009.06.01        -
McAfee+Artemis        5633        2009.06.01        -
McAfee-GW-Edition        6.7.6        2009.05.29        -
Microsoft        1.4701        2009.06.01        -
NOD32        4120        2009.06.01        -
Norman        6.01.05        2009.06.01        -
nProtect        2009.1.8.0        2009.06.01        -
Panda        10.0.0.14        2009.06.01        -
PCTools        4.4.2.0        2009.06.01        -
Prevx        3.0        2009.06.01        -
Rising        21.32.04.00        2009.06.01        -
Sophos        4.42.0        2009.06.01        -
Sunbelt        3.2.1858.2        2009.05.31        -
Symantec        1.4.4.12        2009.06.01        -
TheHacker        6.3.4.3.335        2009.06.01        Backdoor/Small.hzg
TrendMicro        8.950.0.1092        2009.06.01        -
VBA32        3.12.10.6        2009.05.31        -
ViRobot        2009.6.1.1763        2009.06.01        -
VirusBuster        4.6.5.0        2009.05.31        -

Muss ich mir jetzt sorgen machen? Ist es besser, das System neu aufzusetzen?

Ich habe HiJackThis und Malwarebytes' Anti-Malware durchlaufen lassen.
Malwarebytes' Anti-Malware hat 6 "infizierte" Dateien gefunden.
2x Registry Einträge, die aber damit zusammen hängen könnten, dass ich z.B. Win Auto Updates bei den Diensten ausgestellt habe, um eine niedrige Prozessanzahl zu erreichen.
Dann eine Datei, die ein Patch ist (für IRC, damit wenn man sich das Programm nicht gekauft hat, man nicht bei jedme Start auf "continue" drücken muss). Der greift bestimmt in die Registry ein und wird daher als Virus / Trojaner o.ä. erkannt.
Die restlichen 3 Dateien beziehen sich auf IRC. (ich habe bereits gepatched)

Hat die Software, die bei 2 Virenscannerengines als Backdoor eingestuft wurde, nun nichts gemacht, sprich war eine Fehlmeldung? Oder hat sie die 2 Registry-Einträge geändert?

Oder sind die "infizierten" Dateien vom IRC wirklich Trojaner o.ä.?

HiJackThis:
Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:06:29, on 01.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
E:\Security\Avira\AntiVir Desktop\sched.exe
E:\Security\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
E:\Security\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
E:\Messaging\QIP\qip.exe
E:\Browser\Firefox\firefox.exe
E:\Messaging\Gamers.IRC\mirc.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Security\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1243819926156
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6CACCFA-0F4C-47BA-8C49-D4743719CEE2}: NameServer = 192.168.1.1,213.191.74.18
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Security\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Security\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4108 bytes

Malwarebytes':
Code:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2209
Windows 5.1.2600 Service Pack 3

01.06.2009 22:34:43
mbam-log-2009-06-01 (22-34-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 222139
Laufzeit: 22 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
E:\Messaging\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> No action taken.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\Messaging\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> No action taken.
e:\messaging\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> No action taken.
h:\programme\mirc_6.35_inc.patch\mirc_6.35_inc.patch\Mirc\mirc.6.3-patch-Fawkess.exe (Spyware.OnlineGames) -> No action taken.

Hoffe ihr könnt mir helfen.

Tyria Thor 02.06.2009 13:18

Ich habe jetzt die 2 Dateien von IRC (SysTray.dll , dmu.dll) bei Virustotal hochgeladen und die eine erzielte 0/40 Treffer, die ander 1/40 (Medium Risk Malware)...

Scheint also nichts schlimmes dran zu sein, oder sehe ich das falsch?

Mal ganz allgemein. Ich habe ein Backup (Systemwiederherstellungspunkt) direkt nach dem Installieren aller Treiber gemacht. Die Datei ist ca. 2GB groß und befindet sich auf der Festplatte; eine Diskette habe ich nicht eingelegt, als ich dazu aufgefordert wurde.

Wenn mein System jetzt kommitiert wäre, würde ich dann einfach das Backup laden können oder macht dann nur eine Komplettformatierung Sinn?

Tyria Thor 02.06.2009 21:44

ThreatExpert - Scan sagt folgendes.

Könnte mir mal einer Entwarnung geben / dazu raten, zu formatieren bzw. einfach mal einer, der Ahnung hat, Stellung nehmen? Danke. :)

Tyria Thor 03.06.2009 06:21

Wenn mein PC hochfährt, braucht er auch ca. 20-30 Sekunden bei "Windows wird gestartet" (kurz vor "Willkommen"). Sind ca. 30 Prozese an, wenn er hochgefahren ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131