Hallo zusammen,

AntiVir hat mir die beiden Funde TR/Spy.Banker.RS und EXP/JAVA.Ivinest.Gen ausgespuckt (habe alles in Quarantäne verschoben).
Funde lagen in C:\Users\***\AppData\Local\Temp\.
Die neuste Java-Version habe ich eigentlich immer installiert, habe ich vorhin nachgeholt.

Malwarebytes (lief nach Antivir) hat nichts gefunden.

Nach dem Bearbeiten der Checkliste hoffe auch ich hier auf eure Hilfe.

AntiVir und Malwarebytes Logfiles:

AntiVir:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 14. Juli 2012  10:18

Es wird nach 3868938 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  09.05.2012 08:42:43
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  09.05.2012 08:42:43
LUKE.DLL       : 12.3.0.15      68304 Bytes  09.05.2012 08:42:43
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 08:42:43
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 10:30:54
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:31:49
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 18:44:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 18:44:41
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 19:32:41
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 20:21:52
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 20:21:52
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 20:21:52
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 20:21:52
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 20:21:52
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 20:21:52
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 20:21:52
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 20:21:52
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 20:21:52
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 20:21:51
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 20:21:54
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 20:21:58
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 17:41:25
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 17:41:25
VBASE019.VDF   : 7.11.35.236     2048 Bytes  12.07.2012 17:41:26
VBASE020.VDF   : 7.11.35.237     2048 Bytes  12.07.2012 17:41:26
VBASE021.VDF   : 7.11.35.238     2048 Bytes  12.07.2012 17:41:26
VBASE022.VDF   : 7.11.35.239     2048 Bytes  12.07.2012 17:41:26
VBASE023.VDF   : 7.11.35.240     2048 Bytes  12.07.2012 17:41:27
VBASE024.VDF   : 7.11.35.241     2048 Bytes  12.07.2012 17:41:27
VBASE025.VDF   : 7.11.35.242     2048 Bytes  12.07.2012 17:41:27
VBASE026.VDF   : 7.11.35.243     2048 Bytes  12.07.2012 17:41:27
VBASE027.VDF   : 7.11.35.244     2048 Bytes  12.07.2012 17:41:27
VBASE028.VDF   : 7.11.35.245     2048 Bytes  12.07.2012 17:41:27
VBASE029.VDF   : 7.11.35.246     2048 Bytes  12.07.2012 17:41:28
VBASE030.VDF   : 7.11.35.247     2048 Bytes  12.07.2012 17:41:28
VBASE031.VDF   : 7.11.36.36    101376 Bytes  13.07.2012 17:41:28
Engineversion  : 8.2.10.114
AEVDF.DLL      : 8.1.2.10      102772 Bytes  13.07.2012 17:41:35
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  05.07.2012 20:22:29
AESCN.DLL      : 8.1.8.2       131444 Bytes  11.02.2012 18:45:03
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 20:41:07
AERDL.DLL      : 8.1.9.15      639348 Bytes  14.12.2011 23:31:02
AEPACK.DLL     : 8.3.0.14      807287 Bytes  13.07.2012 17:41:34
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  28.06.2012 20:21:44
AEHEUR.DLL     : 8.1.4.72     5038455 Bytes  13.07.2012 17:41:33
AEHELP.DLL     : 8.1.23.2      258422 Bytes  28.06.2012 20:21:41
AEGEN.DLL      : 8.1.5.32      434548 Bytes  06.07.2012 20:21:59
AEEXP.DLL      : 8.1.0.62       86389 Bytes  13.07.2012 17:41:35
AEEMU.DLL      : 8.1.3.2       393587 Bytes  13.07.2012 17:41:29
AECORE.DLL     : 8.1.27.2      201078 Bytes  13.07.2012 17:41:29
AEBB.DLL       : 8.1.1.0        53618 Bytes  14.12.2011 23:30:58
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  09.05.2012 08:42:43
AVPREF.DLL     : 12.3.0.15      51920 Bytes  09.05.2012 08:42:43
AVREP.DLL      : 12.3.0.15     179208 Bytes  09.05.2012 08:42:43
AVARKT.DLL     : 12.3.0.15     211408 Bytes  09.05.2012 08:42:43
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  09.05.2012 08:42:43
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  09.05.2012 08:42:43
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  09.05.2012 08:42:43
NETNT.DLL      : 12.3.0.15      17104 Bytes  09.05.2012 08:42:43
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  09.05.2012 08:42:43
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  09.05.2012 08:42:43

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 14. Juli 2012  10:18

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\drivers\mbamswissarmy.sys
c:\windows\system32\drivers\mbamswissarmy.sys
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'notepad.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Blizzard Launcher.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'Agent.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SteamService.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'steam.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wsnm_usbctrl.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wsnm.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2293' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Program Files\WinRAR\rarnew.dat
  [WARNUNG]   Das Archiv ist unbekannt oder defekt
C:\Users\***\AppData\Local\Temp\jar_cache1417166855135934939.tmp
  [0] Archivtyp: ZIP
  --> web/firefox.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
C:\Users\***\AppData\Local\Temp\jar_cache7547883628421949257.tmp
  [0] Archivtyp: ZIP
  --> web/firefox.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
C:\Users\***\AppData\Local\Temp\mor.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Banker.RS
Beginne mit der Suche in 'D:\'
D:\PRG\PRG_Office\PROOFING.DE-DE\PROOF.DE\PROOF.CAB.syn
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\PRG\PRG_Outlook_2007\OUTLOOKR.WW\OWOW64WW.CAB.syn
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Beginne mit der Desinfektion:
C:\Users\***\AppData\Local\Temp\mor.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Banker.RS
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55b899c2.qua' verschoben!
C:\Users\***\AppData\Local\Temp\jar_cache7547883628421949257.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d2fb677.qua' verschoben!
C:\Users\***\AppData\Local\Temp\jar_cache1417166855135934939.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f70ec9f.qua' verschoben!


Ende des Suchlaufs: Samstag, 14. Juli 2012  11:34
Benötigte Zeit:  1:16:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  30329 Verzeichnisse wurden überprüft
 385080 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 385077 Dateien ohne Befall
   3094 Archive wurden durchsucht
    115 Warnungen
      4 Hinweise
 368884 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.14.03

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
*** :: ***-PC [Administrator]

14.07.2012 10:36:58
mbam-log-2012-07-14 (10-36-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 325359
Laufzeit: 1 Stunde(n), 33 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

1) Defogger habe ich ausgeführt, keine Fehlermeldung, keine Neustartaufforderung.
2) OLT-Scan --> Anhang
3) Gmer --> Anhang

Vielen Dank im Voraus!

hi
nutzt du deinen pc für onlinebanking, zum einkaufen, für sonstigezahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Hey,

nutze ihn hin und wieder zum online Banking.
Dort ist aber alles unverändert. Da ich mir nicht sicher bin, ob der Trojaner nun durch Antivir beseitigt wurde, wollte ich trotzdem sicher gehen -
Bisher gab es keine weiteren Probleme mit dem Pc.

Gruß,
Chasey

lass onlinebanking sperren bitte.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.