Hallo liebes Trojanerboard-Team,

mein Avira Antivir Programm hat heute ein und den selben Trojaner zwei Mal auf meinem System gefunden: es handelt sich um den Trojaner TR/Click.Yabector.262830.

Ich habe beide Trojaner durch Avira unter Quarantäne gestellt, aber noch nicht gelöscht.

Danach habe ich Eure Liste abgearbeitet:
1) CCleaner - dabei konnte ich einen Registry-Schlüssel trotz mehrmaliger Versuche nicht löschen:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Die Registry-Fehlerbehebung habe ich wie immer vorher gesichert - ich hoffe, das war kein Fehler??

Danach habe ich mit Malwarebytes' Anti-malware gescannt, der aber nichs mehr gefunden hat (wahrscheinlich, weil die zwei Trojaner in Quarantäne sind, oder?).
Hier das logfile:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3610
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

21.01.2010 23:36:07
mbam-log-2010-01-21 (23-36-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 182215
Laufzeit: 43 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dann habe ich mir gemäß Eurer Anleitung RSIT heruntergeladen, die beiden log-Dateien habe ich hier hochgeladen:

http://w*w.file-upload.net/download-.../info.txt.html

und

http://w*w.file-upload.net/download-...0/log.txt.html

Ich hoffe, ich habe soweit alles richtig gemacht, und wäre Euch furchtbar dankbar, wenn Ihr mir helfen könntet, meine Festplatte wieder ganz sauber zu bekommen, ohne den Computer neu aufsetzen zu müssen.

Ach ja, eines noch: ich bin von Haus aus NIE als Administrator angemeldet. Wenn ich also einen Test unbedingt als Admin ausführen soll, gebt mir bitte einen kurzen Hinweis ;-)
Die beiden Scans hier habe ich natürlich als Admin ausgeführt.

Vielen Dank schon mal!!

PS: bin morgen, bzw. heute erst wieder abends da - wenn also dann erst Antwort von mir kommt, ist das kein Desinteresse ;-)

sorry, der zweite Link muss heißen:
http://w*w.file-upload.net/download-2183703/log2.txt.html

(Datei wurde von mir in log2.txt umbenannt, ist aber die log.txt - Datei, nur dieses Mal ohne private Namen ;-) ).

Hi nochmal!

Inzwischen hat mir Avira - entgegen der ersten Auskunft - gemailt, dass es sich um eine "False Positive"-Datei handle, also eine ungefährliche Datei, die zu Unrecht von Avira als gefährlich erkannt würde.
Das neue Virenupdate würde dieses "Falscherkennung" beheben.

Mittlerweile ist das neue Update da, und eine nochmalige Überprüfung der Datein in Quarantäne hatte als Ergebnis, dass Avira die Dateien zwar nicht mehr als Trojaner (rote Kennzeichnung), wohl aber noch als "Verdächtige Dateien" (gelbe Kennzeichnung) einstuft.
Ich kannte bisher nur, dass Fehlalarme nach nochmaliger Überprüfung mit upgedateter Virendefinition als "grün" und damit sauber gekennzeichnet wurden, was ich nach der Email von Avira auch erwartet hätte.

Deshalb nun meine Frage:

kann ich mich mit "Verdächtige Datei" zufrieden geben und die Dateien wiederherstellen? Es handelt sich um die Datei updater2.exe vom Phonostar-Player.
Die zweite Datei in Quarantäne ist lediglich der Fund in der Systemwiederherstellung - diesen Fund zu löschen, wäre für mich kein Problem. Da ich aber den Phonostar-Player doch ab und zu benötige, würde ich die updater2.exe-Datei ungern löschen (außer, jemand kann mir einen gleichwertigen Player benennen, mit dem ich aus dem Internet-Radio aufnehmen kann ).

Und wenn ich löschen sollte - muss ich dann noch etwas tun?
Ich bin einfach nur am Zweifeln, weil Avira einerseits mailt, die Datei sei "nicht gefährlich", andrerseits aber nach erneuter Überprüfung die Datei immer noch als "verdächtig" eingestuft wird.

Wäre Euch für eine Antwort dankbar.

mittlerweile habe ich mit aktualisiertem MB nochmals gescannt, woraufhin wiederum zwei neue infizierte Objekte gefunden wurden.

Eines davon war die RSIT.exe-Datei, die ich gemäß Eurer Anleitung heruntergeladen habe. Das kann ich nun überhaupt nicht verstehen...

Hier das logfile:


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3626
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

24.01.2010 16:59:07
mbam-log-2010-01-24 (16-59-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 178853
Laufzeit: 33 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\l+PbWeh_.exe.part (Trojan.AutoIt) -> Quarantined and deleted successfully.
D:\Eigene Dateien\RSIT.exe (Trojan.AutoIt) -> Quarantined and deleted successfully.


Aktueller Stand ist also: zwei von Avira als "False positives", aber trotzdem nach erneutem Scan als "Verdächtige Datei" eingestufte Dateien in der Avira-Quarantäne (noch nicht gelöscht), und zwei von MB als infiziert erkannte Dateien.

Könntet Ihr Euch meines Problems bitte bitte mal annehmen - ich würde, wenn es irgendwie möglich ist, gerne das Neuaufsetzen des Computers umgehen.

Vielen Dank!

Hallo,

Zitat:

Deshalb nun meine Frage:
kann ich mich mit "Verdächtige Datei" zufrieden geben und die Dateien wiederherstellen? Es handelt sich um die Datei updater2.exe vom Phonostar-Player.

wenns ein Fehlalarm ist, ist kein virulenter Code in der Datei und Dein Rechner ist sauber.

Hallo Cosinus,

vielen Dank für Deine Antwort.

Aber was ist mit den zwei neuen Trojanern, die MB gefunden hat (einer davon die RSIT.exe - Datei)? Die hatten ja mit den False Positives von Avira nichts zu tun. Könntest Du Dir nochmal das letzte MB-Logfile vom 21. Jan. anschauen?

Muss ich hier noch was machen? Möchte nichts zurückbehalten auf dem Rechner.

Danke im Voraus!

Das dürften auch Fehlalarme sein.

Hm, also irgendwie ist das schon ein bisschen komisch:

Ihr weist einen hier an allen Ecken und Enden in riesigen farbigen, fettgedruckten Lettern darauf hin, was man ja alles zu beachten hat, bevor man sich überhaupt trauen darf, einen Thread zu eröffnen, und wenn man das dann alles macht und hier postet, bekommt man als Antwort einen Vermutungs-Konjunktiv - beim Thema "Trojaner" natürlich extrem hilfreich

Also vielleicht ist's ein Fehlalarm, vielleicht aber auch nicht...
Vielen Dank für diese genaue Aussage.

Und damit hier keine Missverständnisse entstehen: ich nehme so ein Forum nicht for granted - ich hätte selbstverständlich für aktive Hilfe was an Euch überwiesen!

Zitat:

Zitat von illu2

...bekommt man als Antwort einen Vermutungs-Konjunktiv - beim Thema "Trojaner" natürlich extrem hilfreich

1.) Absolute Sicherheit gibt es nicht!
2.) Soll ich zu jeder Zeile im Log ein Kommentar posten oder was hättest Du gern?
3.) Was willst Du noch hören, wenn Dir selbst der Hersteller den Fehlalarm bestätigt?

Zitat:

Also vielleicht ist's ein Fehlalarm, vielleicht aber auch nicht...
Vielen Dank für diese genaue Aussage.

Willkommen in der Welt der Sicherheit
Wenn Du absolute 100%ige Sicherheit, also garantiert ein sauberes System haben willst, führt garnichts an einer Neuinstallation vorbei!


BTW: Prüf mal Deine Updates, Paranoia und Schlampigkeit (bzgl. dem Einspielen von Updates) passen irgendwie nicht zusammen. Nur mal so zur Anregung

- nur SP2 statt SP3 für WinXP
- Adobe Reader 8 statt 9.x

Zitat:

Soll ich zu jeder Zeile im Log ein Kommentar posten oder was hättest Du gern?

ganz sicher nicht, aber es wäre schön, wenn Du auf meine Frage eingehen würdest:
ich rede die ganze Zeit von den Trojaner-Meldungen, die MB gefunden hat; die haben nichts mit den False Positives von Avira zu tun!!

Ansonsten: ich habe SP3 bewusst nicht installiert - schau mal im Netz, was für Probleme SP3 verursachen kann! Außerdem habe ich ansonsten alle Updates immer gemacht und somit ca 90% von SP3 ohnehin auf dem Rechner.

Beim Adobe Reader hast Du Recht - den werde ich jetzt gleich updaten; das hat nichts mit Schlampigkeit zu tun, sondern liegt daran, dass ich (aus Sicherheitsgründen!!!) fast nie als Admin eingeloggt bin und daher auch nicht immer gleich die neusten Updates mitbekomme.

Allgemein: es ist einfach etwas nervig, wenn man hier sofort eins auf die Mütze bekommt, weil man sich nicht exaktamang an Eure Anweisungen hält (so gelesen in vielen, vielen Threads), aber im umgekehrten Fall genau merkt, dass Ihr den Thread überhaupt nicht richtig durchlest.

Ich sag's gern nochmal - die False Positives sind für mich erledigt. Aber wenn mir MB, das ich auf Eure Anweisung hin runtergeladen habe, 2 Funde meldet, einen davon bei einer exe-Datei, die ich ebenfalls auf Eure Anweisung hin runtergeladen habe, und einen, der mir völlig neu ist und auch nichts sagt, dann finde ich, könnte die Antwort doch etwas länger ausfallen als "dürften auch Fehlalarme sein".

Ich bin weder schlampig, noch paranoid, sondern denke mir bei allem, was ich tue, etwas - sei mal ein bisschen vorsichtiger mit Deinen Worten.
Ich schreib' ja auch nicht, dass Du schlampig meinen Thread durchgelesen hast (obwohl es schwer danach aussieht ).

In diesem Sinne...

Zitat:

die MB gefunden hat; die haben nichts mit den False Positives von Avira zu tun!!

RSIT.exe soll also ein Trojaner sein?
Die andere Datei stufe ich auch als Fehlalarm ein...und das hab ich auch geschrieben, bezugnehmend auf Malwarebytes!

Zitat:

Ansonsten: ich habe SP3 bewusst nicht installiert - schau mal im Netz, was für Probleme SP3 verursachen kann!
Außerdem habe ich ansonsten alle Updates immer gemacht und somit ca 90% von SP3 ohnehin auf dem Rechner.

Betonung liegt auf kann. Du hast das SP3 wahrscheinlich nicht mal selbst ausprobiert. Ich habs auf schätzungsweise 75 Rechnern schon installiert und keine Probleme festgestellt, es ist mittlerweile ein Pflichtupdate, weil der Support für WinXP mit SP2 ausläuft!

Zitat:

könnte die Antwort doch etwas länger ausfallen als "dürften auch Fehlalarme sein".

Ich sags ja, die Antwort gefällt Dir nicht. Was willst Du hören? Soll ich mir die Dateien von Dir zuschicken lassen und jedes Bit kontrollieren und kommentieren?
Wenn ich "dicke" Sachen in den Logs finde äußere ich mich schon dazu.

Ich versteh jetzt nicht so ganz was Du meinst
Hol die Datei einfach aus der Quarantäne raus, werte die bei Virustotal aus und poste den Ergebnislink. Danach kannst Du einfach MBAM deinstallieren und die Datei löschen.

Zitat:

Zitat von cosinus

Ich versteh jetzt nicht so ganz was Du meinst
Hol die Datei einfach aus der Quarantäne raus, werte die bei Virustotal aus und poste den Ergebnislink. Danach kannst Du einfach MBAM deinstallieren und die Datei löschen.

also MBAM will ich gar nicht deinstallieren - bis auf ein paar Fehlermeldungen hier und da gefällt mir das Programm sehr gut

Nein, was ich meinte ist: wenn ich die Datei wiederherstelle, danach ganz normal lösche, also über Papierkorb, dann ist sie doch trotzdem noch auf meiner Festplatte, bis sie irgendwann mal durch Zufall überschrieben wird. Das will ich gern vermeiden, falls sie halt doch irgendwie nicht ganz sauber ist.
Wenn ich sie dagegen durch MBAM löschen lasse, ist sie komplett vom System weg, oder seh' ich das falsch? Deshalb möchte ich sie ungern aus der Quarantäne rausholen, denn wenn MBAM sie dann nicht mehr als Malware erkennt, krieg' ich sie in die Qurantäne nicht mehr rein (und kann sie dann nicht mehr durch MBAM komplett löschen lassen, was ich aber gern täte, unabhängig vom Ergebnis).
Hm, war das jetzt verständlicher, oder hab' ich eine falsche Vorstellung vom Löschen?

Zitat:

bis sie irgendwann mal durch Zufall überschrieben wird. Das will ich gern vermeiden, falls sie halt doch irgendwie nicht ganz sauber ist.

Das "sichere" löschen ist eiegntlich nur relevant, wenn Du vermeiden willst, dass sensible Daten wiederhergestellt werden können. Das brauchst Du aber nicht bei virulenten Dateien machen, man stellt nicht mal eben durch Zufall aus dem Dateisystem unsichtbare Daten wieder her

Wenn Du es aber doch möchtest bzw. mal allgemein "aufräumen" willst, dann besorg Dir für den Windows den Eraser und "lösche" (eigentlich "überschreibe") freien Speicherplatz.

okay, danke für die Erklärung und den Tipp, wieder was gelernt

Ansonsten hab' ich grad etwas Schwierigkeiten bei Virustotal - dauert noch kurz....