Hallo Zusammen,
auf dem Rechner meiner Freundin ist der Groupon Trojaner aktiv. Ich habe zunächst Antivir durchlaufen lassen und insgesamt 8 Dateien in Quarantäne gepackt. Das Log findet ihr unten.
Auf der Suche nach Antworten zu den einzelnen Trojanern bin ich auf euer Board aufmerksam geworden. Ich habe daher bereits
Malwarebytes installiert durchlaufen lassen und die drei Dateien die dort gefunden wurden gelöscht. Das Log findet ihr hier ebenfalls.
Wie sehen die nächsten Schritte aus? Habe ich alles nötige getan?
Vielen Dank für eure Hilfe !
Antivir Log
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 12. März 2013 12:21
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Kathrin
Computername : KATHRIN-PC
Versionsinformationen:
BUILD.DAT : 13.0.0.3185 Bytes 30.01.2013 10:05:00
AVSCAN.EXE : 13.6.0.584 640224 Bytes 12.02.2013 11:54:45
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 28.11.2012 14:09:15
LUKE.DLL : 13.6.0.602 67808 Bytes 12.02.2013 11:55:22
AVSCPLR.DLL : 13.6.0.628 94432 Bytes 12.02.2013 11:55:51
AVREG.DLL : 13.6.0.600 250592 Bytes 12.02.2013 11:55:50
avlode.dll : 13.6.2.624 434912 Bytes 12.02.2013 11:55:52
avlode.rdf : 13.0.0.38 15231 Bytes 23.02.2013 15:30:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:43:11
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 11:53:24
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 11:53:24
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 11:53:24
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 11:53:24
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 11:53:24
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 11:53:24
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 11:53:24
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 11:53:24
VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 15:30:02
VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 15:30:03
VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 15:30:04
VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 15:30:04
VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 15:30:07
VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 15:30:07
VBASE022.VDF : 7.11.64.106 1510912 Bytes 11.03.2013 11:16:58
VBASE023.VDF : 7.11.64.107 2048 Bytes 11.03.2013 11:16:58
VBASE024.VDF : 7.11.64.108 2048 Bytes 11.03.2013 11:16:58
VBASE025.VDF : 7.11.64.109 2048 Bytes 11.03.2013 11:16:58
VBASE026.VDF : 7.11.64.110 2048 Bytes 11.03.2013 11:16:58
VBASE027.VDF : 7.11.64.111 2048 Bytes 11.03.2013 11:16:58
VBASE028.VDF : 7.11.64.112 2048 Bytes 11.03.2013 11:16:58
VBASE029.VDF : 7.11.64.113 2048 Bytes 11.03.2013 11:16:58
VBASE030.VDF : 7.11.64.114 2048 Bytes 11.03.2013 11:16:58
VBASE031.VDF : 7.11.64.152 107008 Bytes 12.03.2013 11:16:59
Engineversion : 8.2.12.14
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.96 471420 Bytes 12.03.2013 11:17:04
AESCN.DLL : 8.1.10.0 131445 Bytes 17.01.2013 20:08:00
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 17.01.2013 20:08:00
AEPACK.DLL : 8.3.2.0 827767 Bytes 12.03.2013 11:17:04
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 12.03.2013 11:17:03
AEHEUR.DLL : 8.1.4.236 5833081 Bytes 12.03.2013 11:17:02
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 14:52:32
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 17:37:08
AEEXP.DLL : 8.4.0.10 192886 Bytes 12.03.2013 11:17:04
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.31.2 201080 Bytes 23.02.2013 15:30:10
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 14:00:38
AVWINLL.DLL : 13.6.0.480 26480 Bytes 12.02.2013 11:53:24
AVPREF.DLL : 13.6.0.480 51056 Bytes 12.02.2013 11:54:42
AVREP.DLL : 13.6.0.480 178544 Bytes 12.02.2013 11:55:50
AVARKT.DLL : 13.6.0.624 260832 Bytes 12.02.2013 11:54:21
AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 12.02.2013 11:54:36
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.6.0.480 62832 Bytes 12.02.2013 11:54:46
NETNT.DLL : 13.6.0.480 16240 Bytes 12.02.2013 11:55:23
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 28.11.2012 14:09:40
RCTEXT.DLL : 13.6.0.480 68976 Bytes 12.02.2013 11:53:24
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\Kathrin\AppData\Local\Temp\e7a62ca4.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Dienstag, 12. März 2013 12:21
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\Kathrin\AppData\Roaming'
C:\Users\Kathrin\AppData\Roaming\Bwmwdgobkpt\wmzlpblioj.exe
[FUND] Ist das Trojanische Pferd TR/Kryptik.lfa.4
C:\Users\Kathrin\AppData\Roaming\Ciafku\yrvuu.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.jmlw.1
C:\Users\Kathrin\AppData\Roaming\Nwpvxe\pkpyuncbz.exe
[FUND] Ist das Trojanische Pferd TR/Yakes.cnnh
Beginne mit der Suche in 'C:\Users\Kathrin\AppData\Local'
C:\Users\Kathrin\AppData\Local\Temp\Goupon_Rechnung_für_Hans-Peter_Girten_06.03.2013-1.zip
[0] Archivtyp: ZIP
--> Rechnung Groupon GmbH 06.03.2013.zip
[1] Archivtyp: ZIP
--> Rechnung Groupon GmbH 06.03.2013.com
[FUND] Ist das Trojanische Pferd TR/Injector.aqa
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kathrin\AppData\Local\Temp\Goupon_Rechnung_für_Hans-Peter_Girten_06.03.2013.zip
[0] Archivtyp: ZIP
--> Rechnung Groupon GmbH 06.03.2013.zip
[1] Archivtyp: ZIP
--> Rechnung Groupon GmbH 06.03.2013.com
[FUND] Ist das Trojanische Pferd TR/Injector.aqa
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kathrin\AppData\Local\Temp\hzilzirhhn.pre
[FUND] Ist das Trojanische Pferd TR/Injector.aqa
C:\Users\Kathrin\AppData\Local\Temp\{1839B-7BF7EC-7BFBEC}
[FUND] Ist das Trojanische Pferd TR/Bublik.B.16
Beginne mit der Suche in 'C:\Users\Kathrin\AppData\LocalLow'
Beginne mit der Desinfektion:
C:\Users\Kathrin\AppData\Local\Temp\{1839B-7BF7EC-7BFBEC}
[FUND] Ist das Trojanische Pferd TR/Bublik.B.16
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '577fbd94.qua' verschoben!
C:\Users\Kathrin\AppData\Local\Temp\hzilzirhhn.pre
[FUND] Ist das Trojanische Pferd TR/Injector.aqa
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f37927c.qua' verschoben!
C:\Users\Kathrin\AppData\Local\Temp\Goupon_Rechnung_für_Hans-Peter_Girten_06.03.2013.zip
[FUND] Ist das Trojanische Pferd TR/Injector.aqa
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d74c899.qua' verschoben!
C:\Users\Kathrin\AppData\Local\Temp\Goupon_Rechnung_für_Hans-Peter_Girten_06.03.2013-1.zip
[FUND] Ist das Trojanische Pferd TR/Injector.aqa
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7b43875b.qua' verschoben!
C:\Users\Kathrin\AppData\Roaming\Nwpvxe\pkpyuncbz.exe
[FUND] Ist das Trojanische Pferd TR/Yakes.cnnh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3edcaa19.qua' verschoben!
C:\Users\Kathrin\AppData\Roaming\Ciafku\yrvuu.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.jmlw.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '41dd9801.qua' verschoben!
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaiilioj> konnte nicht entfernt werden.
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaiilioj> konnte nicht entfernt werden.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-38081441-1030896884-401107152-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaiilioj> konnte nicht entfernt werden.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-38081441-1030896884-401107152-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaiilioj> wurde erfolgreich entfernt.
C:\Users\Kathrin\AppData\Roaming\Bwmwdgobkpt\wmzlpblioj.exe
[FUND] Ist das Trojanische Pferd TR/Kryptik.lfa.4
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[WARNUNG] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaiilioj> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[WARNUNG] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaiilioj> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[WARNUNG] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-38081441-1030896884-401107152-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaiilioj> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-38081441-1030896884-401107152-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaiilioj> wurde erfolgreich repariert.
Ende des Suchlaufs: Dienstag, 12. März 2013 12:28
Benötigte Zeit: 03:51 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
1512 Verzeichnisse wurden überprüft
32861 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
32854 Dateien ohne Befall
345 Archive wurden durchsucht
3 Warnungen
7 Hinweise
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.
|
Hier das LogFile von Malwarebytes
Zitat:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Datenbank Version: v2013.03.12.04
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Kathrin :: KATHRIN-PC [Administrator]
12.03.2013 13:37:47
mbam-log-2013-03-12 (13-37-47).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 203879
Laufzeit: 4 Minute(n), 30 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\Users\Kathrin\AppData\Roaming\userw.exe (Trojan.FakeMS.PRGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kathrin\AppData\Roaming\Wodaeq\uxbo.exe (Trojan.Agent.MU) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Kathrin\AppData\Roaming\KB00554163.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
|
Vielen Dank noch mal
Als Ergänzung noch:
Ich habe den Autorun über MSconfig zunächst geprüft und die unbekannten Programme rausgenommen. Deswegen habe ich die Prüfung mit Antivir auch auf den AppData Ordner durchgeführt. Ein komplett Prüfung danach ergab mit Antivir keine Funde mehr.
12.03.2013, 14:08
Baum-Darstellung