Malwarebytes fund windows7

[Engaged]

hab was gefunden mit malwarebytes auf windows 7 64 bit.
ich habe antivir free, und windows defender.
bei windows xp hat das mit firefox mit noscript immer gereicht!
warum finde ich bei dem ach so guten windows 7 denn schon wieder was?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4191

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12.06.2010 18:45:02
mbam-log-2010-06-12 (18-45-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 127741
Laufzeit: 3 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Windows\System32\SYSTEM32 (Trojan.Agent) -> No action taken.
C:\Windows\System32\SYSTEM32\DRIVERS (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\Windows\System32\SYSTEM32\DRIVERS\RTL2832UBDA.sys (Trojan.Agent) -> No action taken.
C:\Windows\System32\SYSTEM32\DRIVERS\RTL2832UUSB.sys (Trojan.Agent) -> No action taken.
C:\Windows\System32\SYSTEM32\DRIVERS\RTL2832U_IRHID.sys (Trojan.Agent) -> No action taken.

system platt machen?
weis nich ob das damit zusammen hängt aber hatte eine email eben:
von ein msn kollege mit ganz vielen email adressen(spam also) und einem russen link drinne

 

[Solipsists]

Poste mal bitte HijackThis logfile...

 

[Engaged]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:22:33, on 13.06.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files (x86)\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/webhp?complete=0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files (x86)\IEPro\iepro.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AdblockIE - {90EFF544-3981-4d46-85C9-C0361D0931D6} - mscoree.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files (x86)\IEPro\IEProRecorder.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files (x86)\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files (x86)\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files (x86)\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files (x86)\IEPro\iepro.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B56E857C-23CA-42D1-966C-E3A06234167B}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: O&O Defrag (OODefragAgent) - O&O Software GmbH - C:\Program Files\OO Software\Defrag\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP1d\RpcAgentSrv.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9863 bytes

Ergänzung (13. Juni 2010)

hatte den trojaner seit gestern drauf weil ich dachte rtl ist was mit realtek^^
abewr mir is eben nach dem aufstehen eingefallen ich hab atheros lan und via sound, dann hab ich es noch platt gemacht und jez läuft ein komplett scann!
antivir findet ja wie immer nichts -.-
langsam kann ich das AV wohl abhaken

 

[1668mib]

"C:\Windows\System32\SYSTEM32\DRIVERS\RTL2832UBDA.sys (Trojan.Agent) -> No action taken.
C:\Windows\System32\SYSTEM32\DRIVERS\RTL2832UUSB.sys (Trojan.Agent) -> No action taken.
C:\Windows\System32\SYSTEM32\DRIVERS\RTL2832U_IRHID.sys (Trojan.Agent) -> No action taken."
Sorry, aber die halte ich schlicht und einfach nur für Realtek-Treiber-Dateien...

Absolut sicher dass es keine regulären Treiber-Dateien sind? Weil in den Dateinahmen steht nicht viel von LAN oder Sound...

 

[Engaged]

ja ich dachte das auch aber ich habe nichts von realtek ausser der msi tv stick hat drinne ein realtek chip?
seit vorgestern hab ich so ein dvbt teil von msi
mom...mal gucken ob der jetzt noch geht.
also tv geht auch noch.
ich lass das erst mal gelöscht, wenn das irgendwo fehlt wird sich das prog ja beim aufrufen melden
amd chipsatz, via sound, atheros lan, was sonst von realtek sein könnte ausser der chip im tv stick welcher aber noch geht -> kein plan^^

also beobachten und nichts platt machen oder?

Auszug vom mb hersteller, da ist kein realtek


• AMD® 770 and SB710 Chipset


On-Board IDE

• One IDE port by AMD® SB710


• 6 SATA II ports by AMD® SB710


Audio

• Chipset integrated by VIA® VT1828S
- Flexible 8-channel audio with jack sensing
- Compliant with Azalia 1.0 Spec


LAN

• Atheros® AR8131M supports Gigabit LAN
- Supports 10Mb/s, 100Mb/s and 1000Mb

 

[noki49]

Diese Dateien "RTL2832UBDA.sys, RTL2832UUSB.sys, RTL2832U_IRHID.sys" sind irgendwelche Treiber von MSI. Mit etwas Googeln hättest du das selbst gefunden!

 

[1668mib]

naja ich meine wenn man sich diese Seiten mal anschaut
http://www.runscanner.net/lib/RTL2832UUSB.sys.html
http://www.runscanner.net/lib/RTL2832UBDA.sys.html
http://www.runscanner.net/lib/RTL2832U_IRHID.sys.html

Dann bezweifle ich stark, dass da ein Trojaner genau diese Dateinamen wählt - vor allem hab ich selten Trojaner gesehen, die sich auf mehrere Dateien aufteilten... Aber man könnte diese Dateien ja auch einfach bei virustotal.com zum Scan hochladen und dann schauen...

Dass viele Programme Fehlalarme liefern ist leider eine sehr unangenehme Sache. Ich denke du hattest gar nichts.

 

[blablub1212]

hast du zufällig eine tv karte? wenn ja würd ich auch mal schwer auf treiber setzen:
RTL2832UBDA.sys -> BDA = Broadcast Driver Architecture http://de.wikipedia.org/wiki/Broadcast_Driver_Architecture
RTL2832UUSB.sys -> USB ... usb halt ^^
RTL2832U_IRHID.sys -> IRHID = infrared human interface device http://de.wikipedia.org/wiki/Human_Interface_Device

 

[1668mib]

@blablub1212: Ja, sind die Treober vom MSI-TV-Stick...

 

[Engaged]

lol hab das gelöscht eber der geht noch
und das lustige ist ich hatte auch 2x bluescreen als ich tv und zb wow gestartet habe.
vieleicht läuft das ja jetzt auch stable

 

[piffpaff]

Ansonsten wenn du mit Antivir nicht unbedingt zufrieden bist, kannste ja mal n Blick auf die Microsoft Security Essentials werfen

 

[AndyMutz]

also ich persönlich habe noch nie einen treiber gesehen, der im unterverzeichnis von system32 noch einen zweiten ordner system32 erstellt und erst da drin das drivers verzeichnis.
ich würde hier wirklich auf malware tippen.

-andy-

 

[1668mib]

@AndyMutz: is mir gar nicht aufgefallen :-)

Aber hälst du es nicht für einen großen Zufall, dass diese Dateien zum Realtek-Treibers seines MSI-Sticks passen?
Das erklärt aber, warum nach dem Löschen nichts weiter passiert ist...

 

[AndyMutz]

tja, ich würde sagen, einfach durchdacht programmierte malware
googlet mal nach "system32\system32\drivers" (die "" sind wichtig) - da findet man eigentlich nur meldungen zu infektionen.

-andy-

 

[Engaged]

hm also der tv stick funktioniert ja.
aber was komisch ist, ich scanne fast jeden tag, und habe erst 2 tage den stick und auch seit zumindest gestern diesen fund.
ich tippe auch auf virus, weil der stick ja geht und das ja der treiber gewesen sein sollte

ich würde mir gerne einen richtigen treiber suchen aber es gibt mein stick den ich von conrad habe nicht bei msi xD
und die cd werde ich wohl nicht noch mal in den pc stecken

edit: ich habe jetzt mal von msi.com den neusten treiber geladen das heist auch was mit rtl
wenn ich den installieren will entfernt er den alten treiber trotzdem, kann das sein das in dem original cd treiber ein virus drinne ist?
also ist ja kein ding ich aktualliesier das jetzt mal und scanne danach und lösche auch bei fund wenn es treiber ist, da ja alles auch ohne die dateien läuft... und fertig so?