Liebes Trojaner-Board Team,
gestern hat meine Avira Free AntiVirus 2012 Edition zwei Viren beim routinemäßigen Suchdurchlauf entdeckt. Ich vermute, dies hat mit einem Update am Samstag morgen zu tun, da der Suchdurchlauf am Donnerstag negativ abgeschlossen wurde und ich seither eigentlich nahezu keine Daten heruntergeladen habe. Zudem wurden beide Funde im Ordner Appdata entdeckt und zwar in jweils ca. 2 Jahre alten Ordnern.
Der Reihe nach:
Einmal wurde in C:\Users\...\AppData\Local\GRAW2Demo\ghost_recon_advanced_warfighter_2_demo_1.01.exe
das Trojanische Pferd TR/Spy.Lpxenur.AB gefunden
Und einmal in C:\Users\...\AppData\Roaming\McLoad\Uninstall-Mcload.exe
das Trojanische Pferd TR/StartPage.eo.1.
Zu letzterem habe ich bei der Recherche gelesen, dass es mglw. etwas mit dem geläufigen Messengerprogramm ICQ zu tun haben könnte?
Zum zweiten Fund ist vlt noch zu sagen, dass ich keine Informationen unter Eigenschaften bezüglich Herausgeber etc. finde, was für eine offizielle Demo verwunderlich ist. Ich bin allerdings sicher, sie über den Mirror einer bekannten Spiele-Review/Magazin Seite geladen zu haben.
Grundsätzlich ist mein PC durchgängig durch die Free Version von Avira geschützt.
Hier einmal der AVIRA Report:
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 25. Februar 2012 11:11
Es wird nach 3498519 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : JR-HOME
Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 18:50:44
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 18:50:44
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 18:50:45
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 18:50:45
AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 18:50:45
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 21:16:00
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 18:56:11
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 18:56:11
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 18:56:11
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 18:56:12
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 18:56:12
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 18:56:12
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 18:56:12
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 18:56:13
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 18:56:14
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 18:56:14
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 18:54:16
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 18:54:43
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 18:50:38
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 18:51:17
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 18:50:44
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 18:50:42
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 18:50:45
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 18:50:58
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 18:50:49
VBASE022.VDF : 7.11.23.225 2048 Bytes 23.02.2012 18:50:49
VBASE023.VDF : 7.11.23.226 2048 Bytes 23.02.2012 18:50:49
VBASE024.VDF : 7.11.23.227 2048 Bytes 23.02.2012 18:50:49
VBASE025.VDF : 7.11.23.228 2048 Bytes 23.02.2012 18:50:49
VBASE026.VDF : 7.11.23.229 2048 Bytes 23.02.2012 18:50:49
VBASE027.VDF : 7.11.23.230 2048 Bytes 23.02.2012 18:50:49
VBASE028.VDF : 7.11.23.231 2048 Bytes 23.02.2012 18:50:49
VBASE029.VDF : 7.11.23.232 2048 Bytes 23.02.2012 18:50:49
VBASE030.VDF : 7.11.23.233 2048 Bytes 23.02.2012 18:50:49
VBASE031.VDF : 7.11.24.6 80384 Bytes 24.02.2012 18:56:11
Engineversion : 8.2.10.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 20.11.2011 10:07:28
AESCRIPT.DLL : 8.1.4.7 442746 Bytes 24.02.2012 18:56:14
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:53:02
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 15:08:45
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.3 799094 Bytes 10.02.2012 18:52:48
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 03.01.2012 21:16:35
AEHEUR.DLL : 8.1.4.0 4436342 Bytes 24.02.2012 18:56:13
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 14:30:52
AEGEN.DLL : 8.1.5.21 409971 Bytes 03.02.2012 18:55:11
AEEXP.DLL : 8.1.0.23 70005 Bytes 24.02.2012 18:56:14
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.4 201079 Bytes 13.02.2012 18:50:48
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 18:50:44
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +JOKE,+SPR,
Beginn des Suchlaufs: Samstag, 25. Februar 2012 11:11
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'MSASCui.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'SteamService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'StumbleUponUpdater.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'PassThruSvr.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'AeroSnap.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNSEMAIN.EXE' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1227' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Users\~ Jonny ~\AppData\Local\GRAW2Demo\ghost_recon_advanced_warfighter_2_demo_1.01.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Lpxenur.AB
C:\Users\~ Jonny ~\AppData\Roaming\McLoad\Uninstall-Mcload.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.eo.1
Beginne mit der Suche in 'D:\' <RECOVER>
Beginne mit der Desinfektion:
C:\Users\~ Jonny ~\AppData\Roaming\McLoad\Uninstall-Mcload.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.eo.1
[WARNUNG] Die Datei wurde ignoriert.
C:\Users\~ Jonny ~\AppData\Local\GRAW2Demo\ghost_recon_advanced_warfighter_2_demo_1.01.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Lpxenur.AB
[WARNUNG] Die Datei wurde ignoriert.
Ende des Suchlaufs: Samstag, 25. Februar 2012 15:58
Benötigte Zeit: 1:42:25 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
27656 Verzeichnisse wurden überprüft
629598 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
629596 Dateien ohne Befall
8113 Archive wurden durchsucht
2 Warnungen
1 Hinweise
648917 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
|
Zu meiner wohl nicht ganz genialen Vorgehensweise: Zuerst habe ich mir die Pfade anzeigen lassen, habe diese herausgesucht, wobei ich erneut eine Virusmeldung mit akkustischem Signal von Avira bekommen habe. Dabei hat mich das Programm Antivir gefragt, ob ich die Dateien 'Entfernen' möchte. Dem habe ich zugestimmt. Als Check ob hier ein Tracking Code o.Ä. im Spiel war habe ich zwei Suchdurchläufe nach je einem Neustart durchgeführt. Beide mit negativem Ergebnis. Abschließend habe ich den SpywareTerminator der auf CHIP.de erhältlich ist darüber laufen lassen und abschließend die Ordner unter Appdata gelöscht, die befallen waren. Seit einer Stunde läuft auch noch
Malwarebytes Anti Malware drüber, bisher ergebnislos.
Abschließend habe ich noch Super Antspyware geladen, dass ich nach einem Testlauf, zusammen mit den anderen Programmen von der Festplatte löschen würde.
Edit:// hier kommt das Ergebnis von
Malwarebytes AM:
Zitat:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Datenbank Version: v2012.02.26.01
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19190
~ Jonny ~ :: JR-HOME [Administrator]
26.02.2012 15:34:43
mbam-log-2012-02-26 (16-56-04).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 342863
Laufzeit: 1 Stunde(n), 19 Minute(n), 49 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CurrentControlSet\Services\SVKP (Trojan.Agent) -> Keine Aktion durchgeführt.
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 1
C:\Windows\System32\SVKP.sys (Trojan.Agent) -> Keine Aktion durchgeführt.
(Ende)
|
Wie oben erkennbar hat Antivir mir zudem noch eine Meldung gebracht, dass ein verstecktes Programm gefunden wurde ("Der Suchlauf nach versteckten Objekten wird begonnen. Versteckter Treiber: [HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte."). Im mehreren Foren heißt es dazu in der Regel, dass dies unbedenklich ist, allerdings finde ich dass etwas leichtsinnig, da mir nichtmal der Name oder der Ort, an dem die Datei gefunden wurde genannt wird.
Der Grund warum ich vorallem etwas unruhig bin liegt an einem ebenfalls seit gestern auftretenden Problem: Ich habe ich eine Art Eingabe-Lag im Browser (aktuellste Version von Firefox). Im Eingabefeld fehlen trotz gedrückter Taste einzelne Buchstaben. Dies gillt nicht nur im Suchfeld, sondern tlw. auch in HTML Feldern wie in diesem Forum. Allerdings kann das genausogut an der Tastatur liegen. Überprüft habe ich neben dem Sitz des W-LAN Sticks und des Tastatursteckers auch den Router. Dieser wurde neugestartet aber daran scheint es nicht zu liegen. Nun habe ich verständlicherweise etwas Sorge, dass es doch etwas mit den Trojanern zu tun haben könnte. Beispielsweise zwischengeschaltete Übertragung des eingetippten Textes o.ä.
Abschließend noch eine kleine Frage: Auf meinem Laptop habe ich ebenfalls seit dem Update gestern einen Fund namens TR/Refroso.ekhd.3 im Ordner C:\Windows\SoftwareDistribution\Download\2a126cd9... in der Datei BIT523B.tmp... also einer Systemdatei? Auch diese muss schon vor dem Update existiert haben und wurde bisher nicht erkannt. Bietet es sich hierfür an, ein eigenes Thema zu eröffnen? Verwendet wird auch auf hier der Virenschutz Avira Free Antivirus 2012.
Danke im Voraus und VG, langsam habe ich etwas Angst...
26.02.2012, 16:57
Baum-Darstellung