Hallo Gerd76, willkommen im Forum!

Zitat:

Zitat von Gerd76

Ich bin gerade dabei ein Notebook neu mit Win7_RC aufzusetzen.

Du weißt aber, dass der Release Candidate von Windows 7 nur bis zum 1. März uneingeschränkt lauffähig ist (und ab Juni gar nicht mehr), oder?

Hallo,

Zitat:

Zitat von Franz1968

Du weißt aber, dass der Release Candidate von Windows 7 nur bis zum 1. März uneingeschränkt lauffähig ist (und ab Juni gar nicht mehr), oder?

Ja. Beim Notebook selber ist win7 ebenfalls mit bei, allerdings bereits vorinstalliert mit etlichen tools, treibern etc. Und wegen besagter Trojanermeldung wollte ich mal ein "nacktes" win7 draufspielen um zu sehen, woher/wann die Meldung von Antivir kommt.

Gruß

Das Codec Pack sollte aber sauber sein, siehe hier:
http://www.virustotal.com/de/analisis/742826b5ff7f95a4f6cbada97135b27c73d1bc78bacbacfb03bbc305caedfe40-1266492327

Aus welcher Quelle hast du den RC?

Zitat:

Zitat von Franz1968

Das Codec Pack sollte aber sauber sein, siehe hier:
http://www.virustotal.com/de/analisi...e40-1266492327

Ja, das Pack selber wird nirgends beanstandet. Nur ist es so, dass ich das Pack installiert habe und noch bevor ich auf "Finish" klicken konnte hat Antivir gemeckert. Und umittelbar danach befand sich dieser 022 Eintrag in der Registry.

Zitat:

Zitat von Franz1968

Aus welcher Quelle hast du den RC?

Direkt von Microsoft mit ProduktKey über Windows Live, also zu der Zeit als man den RC offiziel runterladen konnte.

Ehrlich gesagt kann ich mir absolut nicht erklären woher das kommt...aber anscheinend bin ich nicht der einzige mit dem Problem(siehe hier, UserReview vom 14.Feb 2010):

h**p://download.cnet.com/Windows-Essentials-Media-Codec-Pack/3000-13632_4-10662709.html

"uieupagy.dll" ja, so hieß die Datei auch bei mir beim 2. Versuch. Exakt gleiche Meldung von Antivir.

Möglicherweise tritt das Problem nur bei Win7 auf und deswegen gibt es dazu im Netz (noch) so gut wie keine Infos diesbezüglich?


Mhhh

So, ich hab jetzt noch ein wenig rummgespielt und hab folgendes herausgefunden, vielleicht kann ja jemand damit was anfangen...

"Nacktes" Win7 Hijackthislog:

---Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:03, on 19.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0ADCFC4-D0D0-4A3F-A927-CFB2E5E1115A}: NameServer = 192.168.0.XXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{E0ADCFC4-D0D0-4A3F-A927-CFB2E5E1115A}: NameServer = 192.168.0.XXX

--
End of file - 2140 bytes


Hijackthislog direkt nach Installation des Codec Packs (nach einem Reboot selbiges Bild):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:07:05, on 19.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{280DA9C2-3183-4205-9308-883D0F8358BF}: NameServer = 192.168.0.XXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{280DA9C2-3183-4205-9308-883D0F8358BF}: NameServer = 192.168.0.XXX
O17 - HKLM\System\CS2\Services\Tcpip\..\{280DA9C2-3183-4205-9308-883D0F8358BF}: NameServer = 192.168.0.XXX
O22 - SharedTaskScheduler: IainsitiNvw - {A3127205-87D4-4653-8875-384D12DA87C8} - C:\Windows\system32\iainsiti.dll
--
End of file - 2272 bytes


Wirft man die Datei iainsiti.dll bei Virustotal ein, ergibt das folgendes:

http://www.virustotal.com/de/analisis/7c2952c46bcaace0eff875c2172faba6c5d7bf5d507393b0d4dfb8173a23b1bc-1266574138

Komischerweise wird der O22 Eintrag nur erstellt (bzw. die Datei) wenn während der Installation des Packs eine Verbindung ins Internet besteht.

Nunja, des Rätsels Lösung: Offenbar lädt der UpdateClient am Ende der Installation des Packs die Datei: mm10.MSI runter und führt sie auch gleich aus. Diese Datei bei Virustotal eingworfen, ergibt das:

http://www.virustotal.com/de/analisis/dbaf3e9064758ec9168662756dfdc85b5e5b951f6bef8c4e56402971fd8fb46e-1266585368

Ahaaaa!

Tja, ob das jetzt problematisch ist oder nicht (also Fehlalarm) weiß ich leider immer noch nicht :-(

Lade sie mal hier hoch:

http://www.trojaner-board.de/54791-a...ner-board.html

Sie wird dann an die einschlägigen AV-Hersteller weitergeleitet.