Hallo,
habe mir vor einigen Tagen durch ein unvorsichtiges Öffenen einer Mail folgenden Trojaner eingefangen (laut Avira AntiVir): BDS/Ursap.A.762
Das Programm hat allerdings bisher keinen (zumindest sichtbaren) Schaden auf meinen Rechner angestellt, vmtl. weil es gleich von Avira entdeckt und in Quarantäne gestellt wurde.
Bin dann auf eure Hilfeseiten gestoßen und habe nach euren Anleitungen mit Malwarebytes mein System scannen lassen und bin nun hoffentlich den Plagegeist los.

Hier der Bericht:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.06.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19272
***:: ***-PC [Administrator]

06.07.2012 10:50:33
mbam-log-2012-07-06 (10-50-33).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223265
Laufzeit: 11 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\***\Downloads\SoftonicDownloader_fuer_free-pdf-compressor.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\Downloads\SoftonicDownloader_fuer_pdf-editor.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Danke schon einmal im voraus!
Berlinski

Zitat:

eingefangen (laut Avira AntiVir): BDS/Ursap.A.762

Ohne Avira Log bringt diese Angabe nichts

Hier der Avira Bericht:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 5. Juli 2012 10:52

Es wird nach 3837370 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.707 36070 Bytes 25.01.2012 12:53:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 10:08:11
AVSCAN.DLL : 10.0.5.0 57192 Bytes 21.07.2011 10:10:57
LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 10:09:32
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 12:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 10:08:11
AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 10:08:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 05:52:59
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 12:34:49
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:39:46
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 07:36:20
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 08:40:15
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 08:40:16
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 08:40:16
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 08:40:16
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 08:40:16
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 08:40:16
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 08:40:17
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 08:40:17
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 08:40:17
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 08:40:17
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 19:39:51
VBASE016.VDF : 7.11.35.20 2048 Bytes 04.07.2012 19:39:51
VBASE017.VDF : 7.11.35.21 2048 Bytes 04.07.2012 19:39:51
VBASE018.VDF : 7.11.35.22 2048 Bytes 04.07.2012 19:39:51
VBASE019.VDF : 7.11.35.23 2048 Bytes 04.07.2012 19:39:51
VBASE020.VDF : 7.11.35.24 2048 Bytes 04.07.2012 19:39:51
VBASE021.VDF : 7.11.35.25 2048 Bytes 04.07.2012 19:39:51
VBASE022.VDF : 7.11.35.26 2048 Bytes 04.07.2012 19:39:51
VBASE023.VDF : 7.11.35.27 2048 Bytes 04.07.2012 19:39:51
VBASE024.VDF : 7.11.35.28 2048 Bytes 04.07.2012 19:39:52
VBASE025.VDF : 7.11.35.29 2048 Bytes 04.07.2012 19:39:52
VBASE026.VDF : 7.11.35.30 2048 Bytes 04.07.2012 19:39:52
VBASE027.VDF : 7.11.35.31 2048 Bytes 04.07.2012 19:39:52
VBASE028.VDF : 7.11.35.32 2048 Bytes 04.07.2012 19:39:52
VBASE029.VDF : 7.11.35.33 2048 Bytes 04.07.2012 19:39:52
VBASE030.VDF : 7.11.35.34 2048 Bytes 04.07.2012 19:39:52
VBASE031.VDF : 7.11.35.52 34304 Bytes 05.07.2012 08:45:08
Engineversion : 8.2.10.102
AEVDF.DLL : 8.1.2.8 106867 Bytes 04.06.2012 17:24:46
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 22.06.2012 08:14:56
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 09:45:33
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 07:51:54
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 06:57:41
AEPACK.DLL : 8.2.16.22 807288 Bytes 22.06.2012 08:14:50
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 03.07.2012 08:40:22
AEHEUR.DLL : 8.1.4.58 4993399 Bytes 03.07.2012 08:40:22
AEHELP.DLL : 8.1.23.2 258422 Bytes 03.07.2012 08:40:20
AEGEN.DLL : 8.1.5.30 422261 Bytes 15.06.2012 07:51:05
AEEXP.DLL : 8.1.0.58 82292 Bytes 03.07.2012 08:40:23
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 05:52:17
AECORE.DLL : 8.1.25.10 201080 Bytes 01.06.2012 12:29:08
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 05:52:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 05:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 10:08:05
AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 10:08:06
AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 10:07:41
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 10:07:59
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 13:12:30
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 05:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 05:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 10:11:03
RCTEXT.DLL : 10.0.64.0 98664 Bytes 21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50d38d07\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 5. Juli 2012 10:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWMUIAux.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SvcGuiHlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cssauth.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'starter4g.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LFKA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCONTROL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'service4g.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvttcsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWMDBSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsNcService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcPrfMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lpksetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LFKAS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'upeksvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\***\Downloads\Setup_ForteFree.EXE'
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\***\Downloads\Setup_ForteFree.EXE
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Ursap.A.762
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5467fae4.qua' verschoben!

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\***\Downloads\Setup_ForteFree.EXE
         

Ja witzig, das ist eine Datei die du selbst heruntergeladen hast
Was das genau sein soll und aus welcher Quelle das ist musst du auch schon posten!

ForteFree ist ein freeware Notenprogramm, dass ich schon seit etlichen Jahren nutze, aber in letzter Zeit nicht angewendet oder runtergeladen habe.
Die Angabe von Avira widerspricht auch dem Logbericht von Malwarebytes:

Infizierte Dateien: 2
C:\Users\***\Downloads\SoftonicDownloader_fuer_free-pdf-compressor.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\Downloads\SoftonicDownloader_fuer_pdf-editor.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Vermutlich durch infizierten Mail-Link runtergeladen.

Zitat:

Die Angabe von Avira widerspricht auch dem Logbericht von Malwarebytes:

Ist das irgendwie nicht logische, dass verschiedene Virenscanner unterschiedliche Ergebnisse liefern?
Warum lädst du dir Software von dieser Schrottseite Softonic runter?!