Immer wieder Verzeichnis und Reg-Eintrag

14/07/2010 - 10:45 von Ahmed Martens | Report spam
Hallo Leute,

ich habe hier ein merkwürdiges Verhalten.

Irgendetwas erstellt immer beim Systemstart einen Registry-Eintrag
=> HKEY_CURRENT_USER\Software\bisoft

und ein Verzeichnis unter
=> C:\Users\66\AppData\Roaming\drivers\downld

Malewarebytes analysiert diese Eintràge immer als infiziert.

Hier einmal den Logeintrag:

Datenbank Version: 4311

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.07.2010 09:10:30
mbam-log-2010-07-14 (09-10-30).txt

Art des Suchlaufs: Vollstàndiger Suchlauf (C:\|)
Durchsuchte Objekte: 289029
Laufzeit: 31 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\bisoft (Worm.Bagle) -> Quarantined and
deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\66\AppData\Roaming\drivers\downld (Worm.Bagle) -> Quarantined
and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


In dem Ordner und dem Reg-Eintrag befindet sich absolut nichts.

Nun habe ich folgende Fragen:

1. Kann ein Ordner infiziert sein (0 Byte-Größe)?
2. Wie kann ich feststellen, welches Programm immer die Eintràge
vornimmt?

Wenn ich mit höchster Sicherheitsstufe starte, werden die Eintràge nicht
vorgenommen.

Ich habe diesen Ordner jetzt einfach einmal komplett per
Sicherheitseinstellung gesperrt. Jetzt wird auch kein Unterordner mehr
erstellt. Ich erhalte aber auch keine Fehlermeldung.

Übrigens, MS Essentials erkennt den Eintrag/Ordner nicht als Virus.

Kann mir einer vielleicht einen Tipp geben?

Danke schon einmal im voraus.

Gruß Ahmed
Antworten bitte nur in der Newsgroup.
 

Lesen sie die antworten

#1 Christoph Schmees
14/07/2010 - 11:47 | Warnen spam
Ahmed Martens schrieb:
Hallo Leute,

ich habe hier ein merkwürdiges Verhalten.

Irgendetwas erstellt immer beim Systemstart einen Registry-Eintrag
=> HKEY_CURRENT_USER\Software\bisoft

und ein Verzeichnis unter
=> C:\Users\66\AppData\Roaming\drivers\downld

Malewarebytes analysiert diese Eintràge immer als infiziert.

...

In dem Ordner und dem Reg-Eintrag befindet sich absolut nichts.



ersetze "befindet sich nichts" durch "wird nichts angezeigt".
Mach mal so viele verschiedene Scans wie möglich nach rootkits.
Dafür gibt es etliche Werkzeuge, siehe
http://www.metager2.de/search/index...;q=rootkit


Nun habe ich folgende Fragen:

1. Kann ein Ordner infiziert sein (0 Byte-Größe)?



klare Antwort: Ja.
Habe selbst so einen Fall gehabt. Da befand sich die Saat für den
Schàdling im Ordnereintrag. Das war ein vom Benutzer angelegter
Unterordner für seine Dokumente. Sobald man den Ordner öffnete,
wurde der Schàdling wieder aktiviert - nachdem man ihn vorher
mühsam entfernt hatte ...
Deshalb lautet ja die von Experten oft wiederholte Empfehlung:
Wer ein infizierten System hat, sollte nicht lange fackeln,
sondern es komplett löschen (Partition, am besten ganze Platte,
formatieren!).
Vorher die Nutzdaten auf ein externes Medium sichern und zwar auf
FAT32! Dabei werden die "Fàhigkeiten" von NTFS (Schàdlingen
Verstecke zu liefern), sicher abgestreift. It's not a bug, it's a
feature :-( Natürlich die gesicherten Daten auch gründlich
scannen, ob nicht infektiöse Dokumente (PDF, DOC, PPT, XLS, JPG,
Videos, Playlists, ...) darunter sind.

2. Wie kann ich feststellen, welches Programm immer die Eintràge
vornimmt?



Wenn dich das wirklich interessiert: Auch hierfür gibt es etliche
Werkzeuge. Als Startpunkt empfehle ich procmon aus der
Sysinternals Suite, siehe
http://technet.microsoft.com/de-de/...fault.aspx
Ansonsten ist metager.de oder metager2.de dein Freund.


Wenn ich mit höchster Sicherheitsstufe starte, werden die Eintràge nicht
vorgenommen.

Ich habe diesen Ordner jetzt einfach einmal komplett per
Sicherheitseinstellung gesperrt. Jetzt wird auch kein Unterordner mehr
erstellt. Ich erhalte aber auch keine Fehlermeldung.

Übrigens, MS Essentials erkennt den Eintrag/Ordner nicht als Virus.



Das ist kein Wunder - Spielkram.


Kann mir einer vielleicht einen Tipp geben?




mehrere, siehe oben.

hth. Christoph

email:
nurfuerspam -> gmx
de -> net

Ähnliche fragen