|
Plagegeister aller Art und deren Bekämpfung: TR/Spy.Banker.RS und EXP/JAVA.Ivinest.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.07.2012, 11:46 | #1 |
| TR/Spy.Banker.RS und EXP/JAVA.Ivinest.Gen Hallo zusammen, AntiVir hat mir die beiden Funde TR/Spy.Banker.RS und EXP/JAVA.Ivinest.Gen ausgespuckt (habe alles in Quarantäne verschoben). Funde lagen in C:\Users\***\AppData\Local\Temp\. Die neuste Java-Version habe ich eigentlich immer installiert, habe ich vorhin nachgeholt. Malwarebytes (lief nach Antivir) hat nichts gefunden. Nach dem Bearbeiten der Checkliste hoffe auch ich hier auf eure Hilfe. AntiVir und Malwarebytes Logfiles: AntiVir: Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Samstag, 14. Juli 2012 10:18 Es wird nach 3868938 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Professional Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ***-PC Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 09.05.2012 08:42:43 AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 08:42:43 LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 08:42:43 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 08:42:43 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 10:30:54 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 18:44:36 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 18:44:41 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 19:32:41 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 20:21:52 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 20:21:52 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 20:21:52 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 20:21:52 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 20:21:52 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 20:21:52 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 20:21:52 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 20:21:52 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 20:21:52 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 20:21:51 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:21:54 VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 20:21:58 VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 17:41:25 VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 17:41:25 VBASE019.VDF : 7.11.35.236 2048 Bytes 12.07.2012 17:41:26 VBASE020.VDF : 7.11.35.237 2048 Bytes 12.07.2012 17:41:26 VBASE021.VDF : 7.11.35.238 2048 Bytes 12.07.2012 17:41:26 VBASE022.VDF : 7.11.35.239 2048 Bytes 12.07.2012 17:41:26 VBASE023.VDF : 7.11.35.240 2048 Bytes 12.07.2012 17:41:27 VBASE024.VDF : 7.11.35.241 2048 Bytes 12.07.2012 17:41:27 VBASE025.VDF : 7.11.35.242 2048 Bytes 12.07.2012 17:41:27 VBASE026.VDF : 7.11.35.243 2048 Bytes 12.07.2012 17:41:27 VBASE027.VDF : 7.11.35.244 2048 Bytes 12.07.2012 17:41:27 VBASE028.VDF : 7.11.35.245 2048 Bytes 12.07.2012 17:41:27 VBASE029.VDF : 7.11.35.246 2048 Bytes 12.07.2012 17:41:28 VBASE030.VDF : 7.11.35.247 2048 Bytes 12.07.2012 17:41:28 VBASE031.VDF : 7.11.36.36 101376 Bytes 13.07.2012 17:41:28 Engineversion : 8.2.10.114 AEVDF.DLL : 8.1.2.10 102772 Bytes 13.07.2012 17:41:35 AESCRIPT.DLL : 8.1.4.32 455034 Bytes 05.07.2012 20:22:29 AESCN.DLL : 8.1.8.2 131444 Bytes 11.02.2012 18:45:03 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 20:41:07 AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02 AEPACK.DLL : 8.3.0.14 807287 Bytes 13.07.2012 17:41:34 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 20:21:44 AEHEUR.DLL : 8.1.4.72 5038455 Bytes 13.07.2012 17:41:33 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 20:21:41 AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 20:21:59 AEEXP.DLL : 8.1.0.62 86389 Bytes 13.07.2012 17:41:35 AEEMU.DLL : 8.1.3.2 393587 Bytes 13.07.2012 17:41:29 AECORE.DLL : 8.1.27.2 201078 Bytes 13.07.2012 17:41:29 AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58 AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 08:42:43 AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 08:42:43 AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 08:42:43 AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 08:42:43 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 08:42:43 SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 08:42:43 AVSMTP.DLL : 12.3.0.15 63440 Bytes 09.05.2012 08:42:43 NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 08:42:43 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 09.05.2012 08:42:43 RCTEXT.DLL : 12.3.0.15 98512 Bytes 09.05.2012 08:42:43 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Samstag, 14. Juli 2012 10:18 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\system32\drivers\mbamswissarmy.sys c:\windows\system32\drivers\mbamswissarmy.sys [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'notepad.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '101' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'Blizzard Launcher.exe' - '88' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '102' Modul(e) wurden durchsucht Durchsuche Prozess 'Agent.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'SteamService.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'steam.exe' - '121' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '161' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'wsnm_usbctrl.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wsnm.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'TrustedInstaller.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '137' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '2293' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Program Files\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\Users\***\AppData\Local\Temp\jar_cache1417166855135934939.tmp [0] Archivtyp: ZIP --> web/firefox.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen C:\Users\***\AppData\Local\Temp\jar_cache7547883628421949257.tmp [0] Archivtyp: ZIP --> web/firefox.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen C:\Users\***\AppData\Local\Temp\mor.exe [FUND] Ist das Trojanische Pferd TR/Spy.Banker.RS Beginne mit der Suche in 'D:\' D:\PRG\PRG_Office\PROOFING.DE-DE\PROOF.DE\PROOF.CAB.syn [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\PRG\PRG_Outlook_2007\OUTLOOKR.WW\OWOW64WW.CAB.syn [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Beginne mit der Desinfektion: C:\Users\***\AppData\Local\Temp\mor.exe [FUND] Ist das Trojanische Pferd TR/Spy.Banker.RS [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55b899c2.qua' verschoben! C:\Users\***\AppData\Local\Temp\jar_cache7547883628421949257.tmp [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d2fb677.qua' verschoben! C:\Users\***\AppData\Local\Temp\jar_cache1417166855135934939.tmp [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f70ec9f.qua' verschoben! Ende des Suchlaufs: Samstag, 14. Juli 2012 11:34 Benötigte Zeit: 1:16:14 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 30329 Verzeichnisse wurden überprüft 385080 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 385077 Dateien ohne Befall 3094 Archive wurden durchsucht 115 Warnungen 4 Hinweise 368884 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.14.03 Windows 7 x86 NTFS Internet Explorer 8.0.7600.16385 *** :: ***-PC [Administrator] 14.07.2012 10:36:58 mbam-log-2012-07-14 (10-36-58).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 325359 Laufzeit: 1 Stunde(n), 33 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) 2) OLT-Scan --> Anhang 3) Gmer --> Anhang Vielen Dank im Voraus! |
15.07.2012, 19:47 | #2 |
/// Malware-holic | TR/Spy.Banker.RS und EXP/JAVA.Ivinest.Gen hi
__________________nutzt du deinen pc für onlinebanking, zum einkaufen, für sonstigezahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________ |
15.07.2012, 23:31 | #3 |
| TR/Spy.Banker.RS und EXP/JAVA.Ivinest.Gen Hey,
__________________nutze ihn hin und wieder zum online Banking. Dort ist aber alles unverändert. Da ich mir nicht sicher bin, ob der Trojaner nun durch Antivir beseitigt wurde, wollte ich trotzdem sicher gehen - Bisher gab es keine weiteren Probleme mit dem Pc. Gruß, Chasey |
17.07.2012, 21:49 | #4 |
/// Malware-holic | TR/Spy.Banker.RS und EXP/JAVA.Ivinest.Gen lass onlinebanking sperren bitte. der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu TR/Spy.Banker.RS und EXP/JAVA.Ivinest.Gen |
.dll, administrator, autostart, avg, checkliste, csrss.exe, desktop, exp/java.ivinest.gen, explorer.exe, fehlermeldung, free, heuristiks/extra, heuristiks/shuriken, java-version, juli 2012, logfiles, lsass.exe, modul, namen, nt.dll, programm, prozesse, registry, services.exe, spoolsv.exe, svchost.exe, system32, taskhost.exe, temp, verweise, warnung, windows, winlogon.exe, wuauclt.exe |