Zip-Datei geöffnet, Trojaner TR/Agent.131072.V eingefangen

lem61

Hallo,

ich habe heute eine E-Mail mit einer Mahnung erhalten und die angehängte Zip-Datei geöffnet. Nach einem Scan mit Avira hat sich herausgestellt, dass ich mir den Trojaner TR/Agent.131072.V eingefangen habe. Ich habe schon den ersten und zweiten Schritt eurer Anleitung befolgt, was zu tun ist, wenn ich Hilfe brauche, und einen Scan mit OTL durchgeführt. Die Dateien OTL.txt und Extras.txt seht ihr unten angehängt. Der Report von Avira lautet:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 14. Mai 2013 11:41


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Ultimate
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : JULIA-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.3640 54852 Bytes 18.04.2013 13:29:00
AVSCAN.EXE : 13.6.0.1262 636984 Bytes 02.05.2013 09:32:58
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 13:46:10
LUKE.DLL : 13.6.0.1262 65080 Bytes 02.05.2013 09:33:09
AVSCPLR.DLL : 13.6.0.1262 92216 Bytes 02.05.2013 09:32:58
AVREG.DLL : 13.6.0.1262 247864 Bytes 02.05.2013 09:32:57
avlode.dll : 13.6.2.1262 432184 Bytes 02.05.2013 09:32:57
avlode.rdf : 13.0.0.46 15591 Bytes 29.03.2013 20:56:15
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 20:27:57
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 08:26:18
VBASE002.VDF : 7.11.74.227 2048 Bytes 30.04.2013 08:26:18
VBASE003.VDF : 7.11.74.228 2048 Bytes 30.04.2013 08:26:19
VBASE004.VDF : 7.11.74.229 2048 Bytes 30.04.2013 08:26:19
VBASE005.VDF : 7.11.74.230 2048 Bytes 30.04.2013 08:26:19
VBASE006.VDF : 7.11.74.231 2048 Bytes 30.04.2013 08:26:19
VBASE007.VDF : 7.11.74.232 2048 Bytes 30.04.2013 08:26:19
VBASE008.VDF : 7.11.74.233 2048 Bytes 30.04.2013 08:26:19
VBASE009.VDF : 7.11.74.234 2048 Bytes 30.04.2013 08:26:19
VBASE010.VDF : 7.11.74.235 2048 Bytes 30.04.2013 08:26:19
VBASE011.VDF : 7.11.74.236 2048 Bytes 30.04.2013 08:26:19
VBASE012.VDF : 7.11.74.237 2048 Bytes 30.04.2013 08:26:19
VBASE013.VDF : 7.11.74.238 2048 Bytes 30.04.2013 08:26:19
VBASE014.VDF : 7.11.75.97 181248 Bytes 02.05.2013 09:32:53
VBASE015.VDF : 7.11.75.183 217600 Bytes 03.05.2013 16:21:30
VBASE016.VDF : 7.11.76.27 183808 Bytes 04.05.2013 09:36:19
VBASE017.VDF : 7.11.76.101 194048 Bytes 06.05.2013 16:45:25
VBASE018.VDF : 7.11.76.213 163328 Bytes 07.05.2013 09:28:42
VBASE019.VDF : 7.11.77.41 134656 Bytes 08.05.2013 21:28:52
VBASE020.VDF : 7.11.77.145 141312 Bytes 10.05.2013 06:41:43
VBASE021.VDF : 7.11.77.225 155648 Bytes 12.05.2013 13:55:04
VBASE022.VDF : 7.11.78.21 202752 Bytes 13.05.2013 20:09:05
VBASE023.VDF : 7.11.78.71 140800 Bytes 13.05.2013 08:49:14
VBASE024.VDF : 7.11.78.72 2048 Bytes 13.05.2013 08:49:14
VBASE025.VDF : 7.11.78.73 2048 Bytes 13.05.2013 08:49:14
VBASE026.VDF : 7.11.78.74 2048 Bytes 13.05.2013 08:49:14
VBASE027.VDF : 7.11.78.75 2048 Bytes 13.05.2013 08:49:14
VBASE028.VDF : 7.11.78.76 2048 Bytes 13.05.2013 08:49:14
VBASE029.VDF : 7.11.78.77 2048 Bytes 13.05.2013 08:49:14
VBASE030.VDF : 7.11.78.78 2048 Bytes 13.05.2013 08:49:14
VBASE031.VDF : 7.11.78.118 46592 Bytes 14.05.2013 08:49:14
Engineversion : 8.2.12.42
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.114 483709 Bytes 10.05.2013 17:46:34
AESCN.DLL : 8.1.10.4 131446 Bytes 29.03.2013 20:55:25
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 20:17:45
AEPACK.DLL : 8.3.2.12 754040 Bytes 08.05.2013 09:28:48
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 13:34:29
AEHEUR.DLL : 8.1.4.358 5898617 Bytes 13.05.2013 20:09:10
AEHELP.DLL : 8.1.25.10 258425 Bytes 08.05.2013 09:28:43
AEGEN.DLL : 8.1.7.4 442741 Bytes 08.05.2013 09:28:43
AEEXP.DLL : 8.4.0.28 201078 Bytes 10.05.2013 17:46:34
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 23:37:43
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 16:23:15
AVWINLL.DLL : 13.6.0.480 26480 Bytes 12.02.2013 17:56:06
AVPREF.DLL : 13.6.0.480 51056 Bytes 12.02.2013 17:56:10
AVREP.DLL : 13.6.0.480 178544 Bytes 07.02.2013 17:12:50
AVARKT.DLL : 13.6.0.1262 258104 Bytes 02.05.2013 09:32:55
AVEVTLOG.DLL : 13.6.0.1262 164920 Bytes 02.05.2013 09:32:56
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.6.0.480 62832 Bytes 12.02.2013 17:56:12
NETNT.DLL : 13.6.0.480 16240 Bytes 12.02.2013 17:56:31
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 13:46:05
RCTEXT.DLL : 13.6.0.976 69344 Bytes 29.03.2013 20:55:24

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20130514-113712-8EEDC5EC.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 14. Mai 2013 11:41

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchProtocolHost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'CameraHelperShell.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtProc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hotkey.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'keyman.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtMon.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'PowerBiosServer.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '16486' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\$Recycle.Bin\S-1-5-21-1888991017-3608874820-1006119345-1000\$R71VVSX.com
[FUND] Ist das Trojanische Pferd TR/Agent.131072.V
[0] Archivtyp: RSRC
--> C:\Users\julia\AppData\Roaming\Dropbox\bin\Dropbox.exe
[1] Archivtyp: RSRC
--> C:\Users\julia\AppData\Roaming\Dropbox\bin\Dropbox.exe
[2] Archivtyp: RSRC
--> C:\Users\julia\AppData\Roaming\Dropbox\bin\Dropbox.exe
[3] Archivtyp: RSRC
--> C:\$Recycle.Bin\S-1-5-21-1888991017-3608874820-1006119345-1000\$RUOI621.zip
[4] Archivtyp: ZIP
--> Vertragliche Mahnung vom 13.05.2013 Inkasso.zip
[5] Archivtyp: ZIP
--> Vertragliche Mahnung vom 13.05.2013 Inkasso.com
[FUND] Ist das Trojanische Pferd TR/Agent.131072.V
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\$Recycle.Bin\S-1-5-21-1888991017-3608874820-1006119345-1000\$RUOI621.zip
[FUND] Ist das Trojanische Pferd TR/Agent.131072.V
--> C:\$Recycle.Bin\S-1-5-21-1888991017-3608874820-1006119345-1000\$RUYS83J.zip
[4] Archivtyp: ZIP
--> Vertragliche Mahnung vom 13.05.2013 Inkasso.com
[FUND] Ist das Trojanische Pferd TR/Agent.131072.V
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\$Recycle.Bin\S-1-5-21-1888991017-3608874820-1006119345-1000\$RUYS83J.zip
[FUND] Ist das Trojanische Pferd TR/Agent.131072.V
Beginne mit der Suche in 'D:\' <daten>
Beginne mit der Suche in 'E:\' <musik/filme>

Beginne mit der Desinfektion:
C:\$Recycle.Bin\S-1-5-21-1888991017-3608874820-1006119345-1000\$RUYS83J.zip
[FUND] Ist das Trojanische Pferd TR/Agent.131072.V
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59048929.qua' verschoben!
C:\$Recycle.Bin\S-1-5-21-1888991017-3608874820-1006119345-1000\$RUOI621.zip
[FUND] Ist das Trojanische Pferd TR/Agent.131072.V
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4193a68e.qua' verschoben!
C:\$Recycle.Bin\S-1-5-21-1888991017-3608874820-1006119345-1000\$R71VVSX.com
[FUND] Ist das Trojanische Pferd TR/Agent.131072.V
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '13e2fc66.qua' verschoben!


Ende des Suchlaufs: Dienstag, 14. Mai 2013 13:46
Benötigte Zeit: 2:04:19 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

17077 Verzeichnisse wurden überprüft
411327 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
411322 Dateien ohne Befall
15303 Archive wurden durchsucht
2 Warnungen
4 Hinweise
477415 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden


Ich würde mich sehr freuen, wenn mir einer von euch sagen könnte, wie ich weiter vorgehen soll.

Beste Grüße
lem61