TR/Ransom.EJ.10: [FUND] in \AppData\Local\Temp\ms0cfg32.exe > vollständig entfernt oder nicht?

elFreddo · 15.02.2012, 09:19

Hallo Board,

...die "Windows ist aus Sicherheitsgründen blockiert//bezahlen"-Meldung kennen hier ja wohl schon einige.
Ich habe folgendes getan:
- Windows 7 im abgesicherten Modus gestartet
- Avira drüberlaufen lassen
- den diagnostizierten Trojaner TR/Ransom.EJ.10 in Quarantäne verschoben
- neugestartet.

Hier das logfile:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 11. Februar 2012  18:21

Es wird nach 3448049 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : RUSALKA

Versionsinformationen:
BUILD.DAT      : 10.2.0.704     35934 Bytes  28.09.2011 13:14:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  30.06.2011 19:17:07
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  30.06.2011 19:17:07
LUKE.DLL       : 10.3.0.5       45416 Bytes  30.06.2011 19:17:13
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  30.06.2011 19:17:15
AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 18:15:14
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:25:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 16:09:42
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 17:59:34
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 17:59:36
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 17:59:37
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 17:59:37
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 17:59:37
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 17:59:37
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 17:59:37
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 17:59:38
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 17:59:38
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 17:59:38
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 18:15:34
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 18:15:42
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 16:42:56
VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 16:42:58
VBASE017.VDF   : 7.11.22.155     2048 Bytes  08.02.2012 16:42:58
VBASE018.VDF   : 7.11.22.156     2048 Bytes  08.02.2012 16:42:58
VBASE019.VDF   : 7.11.22.157     2048 Bytes  08.02.2012 16:42:59
VBASE020.VDF   : 7.11.22.158     2048 Bytes  08.02.2012 16:42:59
VBASE021.VDF   : 7.11.22.159     2048 Bytes  08.02.2012 16:42:59
VBASE022.VDF   : 7.11.22.160     2048 Bytes  08.02.2012 16:42:59
VBASE023.VDF   : 7.11.22.161     2048 Bytes  08.02.2012 16:42:59
VBASE024.VDF   : 7.11.22.162     2048 Bytes  08.02.2012 16:42:59
VBASE025.VDF   : 7.11.22.163     2048 Bytes  08.02.2012 16:42:59
VBASE026.VDF   : 7.11.22.164     2048 Bytes  08.02.2012 16:42:59
VBASE027.VDF   : 7.11.22.165     2048 Bytes  08.02.2012 16:42:59
VBASE028.VDF   : 7.11.22.166     2048 Bytes  08.02.2012 16:43:00
VBASE029.VDF   : 7.11.22.167     2048 Bytes  08.02.2012 16:43:00
VBASE030.VDF   : 7.11.22.168     2048 Bytes  08.02.2012 16:43:00
VBASE031.VDF   : 7.11.22.206   139776 Bytes  10.02.2012 16:43:03
Engineversion  : 8.2.8.54  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  25.10.2011 14:24:12
AESCRIPT.DLL   : 8.1.4.5       442745 Bytes  11.02.2012 16:43:57
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.01.2012 16:53:48
AESBX.DLL      : 8.2.4.5       434549 Bytes  07.12.2011 15:26:52
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 14:07:02
AEPACK.DLL     : 8.2.16.3      799094 Bytes  11.02.2012 16:43:52
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  31.12.2011 16:36:32
AEHEUR.DLL     : 8.1.3.27     4391285 Bytes  11.02.2012 16:43:44
AEHELP.DLL     : 8.1.19.0      254327 Bytes  20.01.2012 10:21:21
AEGEN.DLL      : 8.1.5.21      409971 Bytes  05.02.2012 18:15:48
AEEMU.DLL      : 8.1.3.0       393589 Bytes  22.11.2010 20:31:54
AECORE.DLL     : 8.1.25.3      201079 Bytes  29.01.2012 16:53:41
AEBB.DLL       : 8.1.1.0        53618 Bytes  06.05.2010 10:03:09
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  30.06.2011 19:17:07
AVREP.DLL      : 10.0.0.10     174120 Bytes  18.05.2011 19:09:37
AVARKT.DLL     : 10.0.26.1     255336 Bytes  30.06.2011 19:17:06
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  30.06.2011 19:17:07
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  30.06.2011 19:17:04
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  30.06.2011 19:17:04

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f55ac35\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 11. Februar 2012  18:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPOWER_DMC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ENMTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StikyNot.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Frik\AppData\Local\Mozilla\Firefox\firefox.exe'
C:\Users\Frik\AppData\Local\Mozilla\Firefox\firefox.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.10

Beginne mit der Desinfektion:
C:\Users\Frik\AppData\Local\Mozilla\Firefox\firefox.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.10
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-418255936-4090942075-1229952663-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ffdwnd> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba91d39.qua' verschoben!


Ende des Suchlaufs: Samstag, 11. Februar 2012  19:53
Benötigte Zeit: 00:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     68 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     67 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Als ich dann den Firefox wieder gestartet habe, kam die Meldung und Blockade zurück, was angesichts der Info von Avira, "Eine Kopie seiner selbst wird im Verzeichnis firefox.exe erstellt" wohl auch logisch war. Das selbe Spiel wie oben also nochmal, diesmal mit diesem Ergebnis:

Code:

ATTFilter

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Frik\AppData\Local\Temp\ms0cfg32.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.10

Beginne mit der Desinfektion:
C:\Users\Frik\AppData\Local\Temp\ms0cfg32.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.10
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a956183.qua' verschoben!

- Ich habe seitdem Firefox nicht mehr verwendet und bin auf den bei mir noch installierten Windows Explorer ausgewichen. Habe seitdem noch 2 Suchläufe mit Avira durchgeführt, der letzte vorhin, beide ohne Fund, mit folgendem Logfile:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 15. Februar 2012  08:25

Es wird nach 3457462 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : RUSALKA

Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  30.06.2011 19:17:07
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  30.06.2011 19:17:07
LUKE.DLL       : 10.3.0.5       45416 Bytes  30.06.2011 19:17:13
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  30.06.2011 19:17:15
AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 18:15:14
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:25:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 16:09:42
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 17:59:34
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 17:59:36
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 17:59:37
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 17:59:37
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 17:59:37
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 17:59:37
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 17:59:37
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 17:59:38
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 17:59:38
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 17:59:38
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 18:15:34
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 18:15:42
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 16:42:56
VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 16:42:58
VBASE017.VDF   : 7.11.22.220   183296 Bytes  13.02.2012 18:36:40
VBASE018.VDF   : 7.11.22.221     2048 Bytes  13.02.2012 18:36:40
VBASE019.VDF   : 7.11.22.222     2048 Bytes  13.02.2012 18:36:40
VBASE020.VDF   : 7.11.22.223     2048 Bytes  13.02.2012 18:36:40
VBASE021.VDF   : 7.11.22.224     2048 Bytes  13.02.2012 18:36:41
VBASE022.VDF   : 7.11.22.225     2048 Bytes  13.02.2012 18:36:41
VBASE023.VDF   : 7.11.22.226     2048 Bytes  13.02.2012 18:36:41
VBASE024.VDF   : 7.11.22.227     2048 Bytes  13.02.2012 18:36:41
VBASE025.VDF   : 7.11.22.228     2048 Bytes  13.02.2012 18:36:41
VBASE026.VDF   : 7.11.22.229     2048 Bytes  13.02.2012 18:36:42
VBASE027.VDF   : 7.11.22.230     2048 Bytes  13.02.2012 18:36:42
VBASE028.VDF   : 7.11.22.231     2048 Bytes  13.02.2012 18:36:42
VBASE029.VDF   : 7.11.22.232     2048 Bytes  13.02.2012 18:36:43
VBASE030.VDF   : 7.11.22.233     2048 Bytes  13.02.2012 18:36:43
VBASE031.VDF   : 7.11.22.248    88064 Bytes  13.02.2012 18:36:45
Engineversion  : 8.2.10.2  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  25.10.2011 14:24:12
AESCRIPT.DLL   : 8.1.4.5       442745 Bytes  11.02.2012 16:43:57
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.01.2012 16:53:48
AESBX.DLL      : 8.2.4.5       434549 Bytes  07.12.2011 15:26:52
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 14:07:02
AEPACK.DLL     : 8.2.16.3      799094 Bytes  11.02.2012 16:43:52
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  31.12.2011 16:36:32
AEHEUR.DLL     : 8.1.3.27     4391285 Bytes  11.02.2012 16:43:44
AEHELP.DLL     : 8.1.19.0      254327 Bytes  20.01.2012 10:21:21
AEGEN.DLL      : 8.1.5.21      409971 Bytes  05.02.2012 18:15:48
AEEXP.DLL      : 8.1.0.20       70004 Bytes  13.02.2012 18:36:48
AEEMU.DLL      : 8.1.3.0       393589 Bytes  22.11.2010 20:31:54
AECORE.DLL     : 8.1.25.4      201079 Bytes  13.02.2012 18:36:47
AEBB.DLL       : 8.1.1.0        53618 Bytes  06.05.2010 10:03:09
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  30.06.2011 19:17:07
AVREP.DLL      : 10.0.0.10     174120 Bytes  18.05.2011 19:09:37
AVARKT.DLL     : 10.0.26.1     255336 Bytes  30.06.2011 19:17:06
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  30.06.2011 19:17:07
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  30.06.2011 19:17:04
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  30.06.2011 19:17:04

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 15. Februar 2012  08:25

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\bind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\route
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\export
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\bind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\route
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\export
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\bind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\route
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\export
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\bind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\route
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\export
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\bind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\route
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\export
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\bind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\route
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\export
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\bind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\route
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\export
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'consent.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil10e.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPOWER_DMC.EXE' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'ENMTRAY.EXE' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'StikyNot.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '171' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '509' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Mittwoch, 15. Februar 2012  09:14
Benötigte Zeit: 48:51 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  18465 Verzeichnisse wurden überprüft
 345823 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 345823 Dateien ohne Befall
   3347 Archive wurden durchsucht
      0 Warnungen
     21 Hinweise
 354668 Objekte wurden beim Rootkitscan durchsucht
     21 Versteckte Objekte wurden gefunden

Meine Frage ist nun: Ist mein PC wieder sauber, oder versteckt sich der Trojaner einfach und wird über kurz oder lang erneut aktiv? Falls ja, was muss ich tun, um ihn endgültig zu entfernen? Würde es reichen, Firefox zu löschen und neu zu installieren?

Ich danke euch für eure Hilfe.

cosinus · 15.02.2012, 13:48

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

elFreddo · 16.02.2012, 01:46

Hey Arne,

danke erstmal für deine schnelle Antwort! Ich hab Malwarebytes und ESET nach deinen Anweisungen laufen lassen, beide haben nichts gefunden. Hier die Logs, zuerst das von Malwarebytes:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.15.03

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Frik :: RUSALKA [Administrator]

15.02.2012 20:46:37
mbam-log-2012-02-15 (20-46-37).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 259832
Laufzeit: 54 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

...und hier ESET's Meldung:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK

...ich hoffe, das heißt, dass tatsächlich alles frei ist - bin aber gespannt auf deine Antwort.
Eine inhaltliche Frage zu Trojanern an dieser Stelle - du kannst mich aber gerne auf einen anderen Thread verweisen, wenn das hier den Rahmen sprengt - sitzen die "auf der Lauer" an bestimmten Stellen des befallenen Systems und werden nur bei bestmmten Abläufen aktiv? Und könnte das heißen, dass trotz der scheinbaren Sauberkeit alles von vorn losgeht, falls ich den Firefox wieder starte?

Vielen Dank, bis bald

cosinus · 16.02.2012, 13:24

Anleitung nicht gelesen...

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

TR/Ransom.EJ.10: [FUND] in \AppData\Local\Temp\ms0cfg32.exe > vollständig entfernt oder nicht?

Log-Analyse und Auswertung: TR/Ransom.EJ.10: [FUND] in \AppData\Local\Temp\ms0cfg32.exe > vollständig entfernt oder nicht?