Windows Essencials Codec Pack mit Trojaner?
 

Es geht um das unter w*w.mediacodec.org angebotene Windows Essencials Codec Pack 2.d.

Ich bin gerade dabei ein Notebook neu mit Win7_RC aufzusetzen. Klappt auch alles soweit einwandfrei, bis auf die Tatsache, dass Antivir immer wieder einen Trojaner meldet. Also hab ich mal alles schön langsam nach und nach installiert und ich vermute, dass besagtes Pack der Verursacher ist.

Antivir meldet direkt nach der Installation des Packs(nur win7 und Antivir installiert): TR/VB.Downloader.Gen
c:\windows\System32\bTjunghu.dll

Beim 1. Versuch hieß die Datei paplasma.dll
Beim 2. ****pagy.dll (den Teil mit den Sternchen habe ich leider vergessen)
Beim 3. Versuch bTjunghu.dll

In allen drei Fällen wird die Datei von Antivir als TR/VB.Downloader.Gen erkannt.

Klicke ich auf „Ignorieren“ findet Hijackthis diesen verdächtigen Eintrag und Antivir meckert in regelmäßigen Abständen.

O22 - SharedTaskScheduler: BtjunghuKbd - {386F7FF1-F7C7-4E2E-963D-E115761DC369} - C:\Windows\system32\bTjunghu.dll

Ähm, nunja, ich habe das CodecPack von Softpedia heruntergeladen. Ich dachte eigentlich, dass sei sicher, bzw. die Dateien würden entsprechend geprüft. Ein Fehlalarm kann ich eigentlich auch ausschließen, die Datei nennt sich jedesmal anders, versteckt sich, macht so einen verdächtigen O22 Eintrag in der Registry und wenn man die Datei mit einem Editor öffnet ist in Klartext h**p://update.microsoft.com und w*w.google.com zu lesen. Die Datei ist also meiner Meinung nach hochgradig verdächtig.

Nur was jetzt? Ich finde im Netz keinerlei Hinweise darauf, dass in dem WESCP ein Trojaner steckt. Doch Fehlalarm? Google findet auf der Suche nach bTjunghu.dll genau garnichts und auch sonst gibt es im Netz keinen Hinweis darauf, dass hier irgendwas im Busch ist.
Ich werde das System jetzt erstmal neu aufsetzen, sorgen bereitet mir nur, dass ich das WESCP bereits (allerdings in Vorgängerversionen) auf weiteren Rechnern installiert habe. ANTIVIR hat dabei aber nicht gemeckert...

Ich hoffe ja, dass die Ursache nicht im WESCP liegt sondern wo anders...
Vielleicht kann das ja jemand aufklären?

Ratlose Grüße

Gerd :confused:

Hallo Gerd76, willkommen im Forum!
Du weißt aber, dass der Release Candidate von Windows 7 nur bis zum 1. März uneingeschränkt lauffähig ist (und ab Juni gar nicht mehr), oder?

Hallo,

Ja. Beim Notebook selber ist win7 ebenfalls mit bei, allerdings bereits vorinstalliert mit etlichen tools, treibern etc. Und wegen besagter Trojanermeldung wollte ich mal ein "nacktes" win7 draufspielen um zu sehen, woher/wann die Meldung von Antivir kommt.

Gruß

Das Codec Pack sollte aber sauber sein, siehe hier:
http://www.virustotal.com/de/analisis/742826b5ff7f95a4f6cbada97135b27c73d1bc78bacbacfb03bbc305caedfe40-1266492327

Aus welcher Quelle hast du den RC?

Ja, das Pack selber wird nirgends beanstandet. Nur ist es so, dass ich das Pack installiert habe und noch bevor ich auf "Finish" klicken konnte hat Antivir gemeckert. Und umittelbar danach befand sich dieser 022 Eintrag in der Registry.


Direkt von Microsoft mit ProduktKey über Windows Live, also zu der Zeit als man den RC offiziel runterladen konnte.

Ehrlich gesagt kann ich mir absolut nicht erklären woher das kommt...aber anscheinend bin ich nicht der einzige mit dem Problem(siehe hier, UserReview vom 14.Feb 2010):

h**p://download.cnet.com/Windows-Essentials-Media-Codec-Pack/3000-13632_4-10662709.html

"uieupagy.dll" ja, so hieß die Datei auch bei mir beim 2. Versuch. Exakt gleiche Meldung von Antivir.

Möglicherweise tritt das Problem nur bei Win7 auf und deswegen gibt es dazu im Netz (noch) so gut wie keine Infos diesbezüglich?


Mhhh:confused:

So, ich hab jetzt noch ein wenig rummgespielt und hab folgendes herausgefunden, vielleicht kann ja jemand damit was anfangen...

"Nacktes" Win7 Hijackthislog:

---Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:03, on 19.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0ADCFC4-D0D0-4A3F-A927-CFB2E5E1115A}: NameServer = 192.168.0.XXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{E0ADCFC4-D0D0-4A3F-A927-CFB2E5E1115A}: NameServer = 192.168.0.XXX

--
End of file - 2140 bytes


Hijackthislog direkt nach Installation des Codec Packs (nach einem Reboot selbiges Bild):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:07:05, on 19.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{280DA9C2-3183-4205-9308-883D0F8358BF}: NameServer = 192.168.0.XXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{280DA9C2-3183-4205-9308-883D0F8358BF}: NameServer = 192.168.0.XXX
O17 - HKLM\System\CS2\Services\Tcpip\..\{280DA9C2-3183-4205-9308-883D0F8358BF}: NameServer = 192.168.0.XXX
O22 - SharedTaskScheduler: IainsitiNvw - {A3127205-87D4-4653-8875-384D12DA87C8} - C:\Windows\system32\iainsiti.dll
--
End of file - 2272 bytes


Wirft man die Datei iainsiti.dll bei Virustotal ein, ergibt das folgendes:

http://www.virustotal.com/de/analisis/7c2952c46bcaace0eff875c2172faba6c5d7bf5d507393b0d4dfb8173a23b1bc-1266574138

Komischerweise wird der O22 Eintrag nur erstellt (bzw. die Datei) wenn während der Installation des Packs eine Verbindung ins Internet besteht.

Nunja, des Rätsels Lösung: Offenbar lädt der UpdateClient am Ende der Installation des Packs die Datei: mm10.MSI runter und führt sie auch gleich aus. Diese Datei bei Virustotal eingworfen, ergibt das:

http://www.virustotal.com/de/analisis/dbaf3e9064758ec9168662756dfdc85b5e5b951f6bef8c4e56402971fd8fb46e-1266585368

Ahaaaa!

Tja, ob das jetzt problematisch ist oder nicht (also Fehlalarm) weiß ich leider immer noch nicht :-(

Lade sie mal hier hoch:

http://www.trojaner-board.de/54791-a...ner-board.html

Sie wird dann an die einschlägigen AV-Hersteller weitergeleitet.

[QUOTE=Gerd76;504311]Es geht um das unter w*w.mediacodec.org angebotene Windows Essencials Codec Pack 2.d.

Ich bin gerade dabei ein Notebook neu mit Win7_RC ......

Es tut mir leid, aber mein Deutsch ist nicht gut. Ich habe das gleiche Problem mit der Datei btjunghu.dll. Es ist wie ein identifiziert Virus / Trojaner. Ich benutze Comodo Internet Security und es findet auch diese Datei. Ich verwende Windows 7 Ultimate 32bit. Ich finde keine Informationen über das Internet, außer deinem Beitrag ein. Ich hoffe, es ist eine falsche positiv.