| |
| |||||||
Log-Analyse und Auswertung: Trojaner "TR/Kazy.19411.5" eingefangenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.01.2014, 20:35
| #1 |
 |  Trojaner "TR/Kazy.19411.5" eingefangen Hallo Trojaner-Forum! Auf dem Rechner meiner Frau hat sich ein Trojaner namens "TR/Kazy.19411.5" laut Avira Antivir eingenistet. Der Trojaner wird in zwei Dateien gefunden, jedoch unternahm meine Frau nichts dahingehend, da im Bericht von Antivir angemerkt wurde, dass es sich u.u. um einen Fehler handeln würde und es wäre gar kein Virus. Ich empfahl meiner Frau nun dringend die Datei, wie im Bericht angemerkt, an Avira zu senden, um sie dort untersuchen zu lassen. Von Avira erhielten wir daraufhin flgende Antwort Code:
ATTFilter The file 'ZSHP1600.EXE' has been determined to be 'MALWARE'. Our analysts named the threat TR/Kazy.19411.5. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.17.87.
Eine währenddessen gemachte Virensuche mit MBAM blieb jedoch ohne Funde. Ich bin nun ein bisschen verunsichert, gehe aber davon aus, dass sich besagter Virus eingenistet hat. Es wäre sehr nett, wenn man uns helfen könnte, diesen wieder los zu werde. Leider kann ich keine Angaben machen, seit wann der Virus aktiv ist, er dürfte jedoch schon länger da sein. Meine Frau glaubte naiverweise, dass es sich, schon um nichts schlimmes handeln wird, wenn Avira denkt, es sei eine Fehlermeldung.  Hier auf alle Fälle der letzte Avira-Bericht Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 14. Januar 2014 17:01
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Basic
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : xxx
Versionsinformationen:
BUILD.DAT : 14.0.2.286 55547 Bytes 09.12.2013 11:37:00
AVSCAN.EXE : 14.0.2.254 1032760 Bytes 09.12.2013 10:37:19
AVSCANRC.DLL : 14.0.2.180 62008 Bytes 09.12.2013 10:37:19
LUKE.DLL : 14.0.2.234 65592 Bytes 09.12.2013 10:37:20
AVSCPLR.DLL : 14.0.2.254 124472 Bytes 09.12.2013 10:37:19
AVREG.DLL : 14.0.2.212 250424 Bytes 09.12.2013 10:37:19
avlode.dll : 14.0.2.254 540216 Bytes 09.12.2013 10:37:19
avlode.rdf : 13.0.1.64 56974 Bytes 14.01.2014 15:56:34
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 10:37:22
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 10:37:22
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 10:37:22
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 10:37:22
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 10:37:22
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 10:37:22
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 10:37:22
VBASE007.VDF : 7.11.116.38 5485568 Bytes 28.11.2013 10:37:22
VBASE008.VDF : 7.11.120.140 1154560 Bytes 19.12.2013 11:11:35
VBASE009.VDF : 7.11.120.141 2048 Bytes 19.12.2013 11:11:35
VBASE010.VDF : 7.11.120.142 2048 Bytes 19.12.2013 11:11:35
VBASE011.VDF : 7.11.120.143 2048 Bytes 19.12.2013 11:11:35
VBASE012.VDF : 7.11.120.144 2048 Bytes 19.12.2013 11:11:35
VBASE013.VDF : 7.11.120.145 2048 Bytes 19.12.2013 11:11:36
VBASE014.VDF : 7.11.121.19 126976 Bytes 21.12.2013 11:11:36
VBASE015.VDF : 7.11.121.147 122880 Bytes 24.12.2013 11:11:36
VBASE016.VDF : 7.11.121.233 115712 Bytes 25.12.2013 11:11:37
VBASE017.VDF : 7.11.122.57 325120 Bytes 27.12.2013 11:11:38
VBASE018.VDF : 7.11.122.123 199680 Bytes 28.12.2013 11:11:38
VBASE019.VDF : 7.11.122.219 368640 Bytes 01.01.2014 11:11:39
VBASE020.VDF : 7.11.123.39 182272 Bytes 03.01.2014 11:11:40
VBASE021.VDF : 7.11.123.141 124416 Bytes 05.01.2014 11:11:41
VBASE022.VDF : 7.11.124.11 172032 Bytes 08.01.2014 15:37:38
VBASE023.VDF : 7.11.124.79 144896 Bytes 09.01.2014 13:54:12
VBASE024.VDF : 7.11.124.177 178176 Bytes 11.01.2014 18:32:51
VBASE025.VDF : 7.11.124.178 2048 Bytes 11.01.2014 18:32:51
VBASE026.VDF : 7.11.124.179 2048 Bytes 11.01.2014 18:32:51
VBASE027.VDF : 7.11.124.180 2048 Bytes 11.01.2014 18:32:51
VBASE028.VDF : 7.11.124.181 2048 Bytes 11.01.2014 18:32:52
VBASE029.VDF : 7.11.124.182 2048 Bytes 11.01.2014 18:32:52
VBASE030.VDF : 7.11.124.183 2048 Bytes 11.01.2014 18:32:52
VBASE031.VDF : 7.11.125.26 335872 Bytes 14.01.2014 15:56:29
Engineversion : 8.2.12.170
AEVDF.DLL : 8.1.3.4 102774 Bytes 09.12.2013 10:37:18
AESCRIPT.DLL : 8.1.4.178 520574 Bytes 09.01.2014 19:55:04
AESCN.DLL : 8.1.10.6 131447 Bytes 07.01.2014 11:11:52
AESBX.DLL : 8.2.20.6 1331575 Bytes 14.01.2014 15:56:33
AERDL.DLL : 8.2.0.138 704888 Bytes 09.12.2013 10:37:18
AEPACK.DLL : 8.3.3.8 762232 Bytes 07.01.2014 11:11:52
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 09.12.2013 10:37:18
AEHEUR.DLL : 8.1.4.860 6439290 Bytes 14.01.2014 15:56:33
AEHELP.DLL : 8.1.27.10 266618 Bytes 09.12.2013 10:37:18
AEGEN.DLL : 8.1.7.20 446839 Bytes 09.12.2013 10:37:18
AEEXP.DLL : 8.4.1.164 409976 Bytes 09.01.2014 19:55:05
AEEMU.DLL : 8.1.3.2 393587 Bytes 09.12.2013 10:37:18
AECORE.DLL : 8.1.33.0 225657 Bytes 07.01.2014 11:11:44
AEBB.DLL : 8.1.1.4 53619 Bytes 09.12.2013 10:37:18
AVWINLL.DLL : 14.0.2.180 23608 Bytes 09.12.2013 10:37:19
AVPREF.DLL : 14.0.2.180 48696 Bytes 09.12.2013 10:37:19
AVREP.DLL : 14.0.2.180 175672 Bytes 09.12.2013 10:37:19
AVARKT.DLL : 14.0.2.254 256056 Bytes 09.12.2013 10:37:18
AVEVTLOG.DLL : 14.0.2.180 165944 Bytes 09.12.2013 10:37:18
SQLITE3.DLL : 3.7.0.1 394808 Bytes 09.12.2013 10:37:21
AVSMTP.DLL : 14.0.2.180 60472 Bytes 09.12.2013 10:37:19
NETNT.DLL : 14.0.2.180 13368 Bytes 09.12.2013 10:37:20
RCIMAGE.DLL : 14.0.2.180 4786744 Bytes 09.12.2013 10:37:21
RCTEXT.DLL : 14.0.2.270 73272 Bytes 09.12.2013 10:37:21
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Dienstag, 14. Januar 2014 17:01
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:, D:)'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.EXE' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'vntldr.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBNotifier.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSDCtrl.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'apnmcp.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'AccVSSvc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2279' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Windows\System32\DriverStore\FileRepository\clj1600.inf_dcee9014\ZSHP1600.EXE
[FUND] Ist das Trojanische Pferd TR/Kazy.19411.5
[WARNUNG] 'Ist das Trojanische Pferd TR/Kazy.19411.5'. Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.
C:\Windows\System32\spool\drivers\w32x86\3\ZSHP1600.EXE
[FUND] Ist das Trojanische Pferd TR/Kazy.19411.5
[WARNUNG] 'Ist das Trojanische Pferd TR/Kazy.19411.5'. Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.
[0] Archivtyp: RSRC
--> C:\Program Files\Common Files\DVDVideoSoft\TB\CondPlug.exe
[1] Archivtyp: RSRC
--> C:\Program Files\Picasa2\setup.exe
[2] Archivtyp: RSRC
--> C:\Users\xxx\AppData\Local\Temp\jre-6u19-windows-i586-iftw-rv.exe
[3] Archivtyp: Runtime Packed
--> C:\Users\xxx\AppData\Local\Temp\jre-6u20-windows-i586-iftw-rv.exe
[4] Archivtyp: Runtime Packed
--> C:\Users\xxx\AppData\Local\Temp\Oz8_0hpu.exe.part
[5] Archivtyp: Runtime Packed
--> C:\Users\Public\Downloads\jre-7u21-windows-i586-iftw.exe
[6] Archivtyp: Runtime Packed
--> C:\Users\Public\Downloads\jxpiinstall.exe
[7] Archivtyp: Runtime Packed
--> C:\Windows\System32\spool\drivers\w32x86\PCC\clj1600.inf_dcee9014.cab
[8] Archivtyp: CAB (Microsoft)
--> ZSHP1600.EXE
[FUND] Ist das Trojanische Pferd TR/Kazy.19411.5
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Windows\System32\spool\drivers\w32x86\PCC\clj1600.inf_dcee9014.cab
[FUND] Ist das Trojanische Pferd TR/Kazy.19411.5
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Desinfektion:
C:\Windows\System32\spool\drivers\w32x86\PCC\clj1600.inf_dcee9014.cab
[FUND] Ist das Trojanische Pferd TR/Kazy.19411.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e01d825.qua' verschoben!
Ende des Suchlaufs: Dienstag, 14. Januar 2014 18:34
Benötigte Zeit: 1:32:27 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
26735 Verzeichnisse wurden überprüft
411724 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
411722 Dateien ohne Befall
4889 Archive wurden durchsucht
3 Warnungen
1 Hinweise
537210 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
...sowie der Bericht von MBAM Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.21.04 Windows Vista x86 NTFS Internet Explorer 7.0.6000.17037 xxx [Administrator] Schutz: Aktiviert 21.02.2012 20:06:45 mbam-log-2012-02-21 (20-06-45).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 188092 Laufzeit: 17 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\$Recycle.Bin\S-1-5-21-1726018224-939813872-1138147305-1000\$RXNBX5P.exe (PUP.UltraReach) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Temp\TMP0000004249A373ADFD38BCF1 (PUP.UltraReach) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
| Themen zu Trojaner "TR/Kazy.19411.5" eingefangen |
| administrator, antivir, desktop, dringend, hdd0(c:, infizierte, malware, mdm.exe, microsoft, modul, programm, prozesse, pup.ultrareach, registry, senden, services.exe, svchost.exe, trojaner, vista, warnung, windows, winlogon.exe |
Baum-Darstellung