Hallo zusammen!

Ich hoffe, Euer Forum kann mir helfen.

Ich habe den Kaspersky Internet Security 2011 installiert, der mir seit neuestem einige Malware-Bedrohungen anzeigt. Zwei davon, es handelt sich um "Trojan.Win32.AntiAV", haben die Bedrohungsstufe "hoch", aber ich kann den Kaspersky nicht dazu bringen, die Dinger zu desinfizieren Ich habe herausbekommen, dass die Datei im "ProgramFiles"-Ordner auf dem Laufwerk C sitzt.

Ein Besuch hier im Forum brachte als Hinweis, ich solle mal das Programm von Malwarebytes installieren und laufen lassen. Das habe ich gemacht.

Hier ein Log von gerade eben (Quick-Scan):
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4747

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

05.10.2010 18:40:13
mbam-log-2010-10-05 (18-40-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151915
Laufzeit: 14 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich finde es ungewöhnlich, daß Malwarebytes gar nichts findet. Ein kompletter Scan ist ebenfalls über den Ordner hinweggerutscht, in dem ich laut Kaspersky die Trojaner haben sollte.
Das Programm SpyHunter habe ich ebenfalls installiert und laufen lassen, der findet 67 Bedrohungen, aber keine mit dem Namen das Trojaners.

Was tun?!

Sorry für Push, aber

hat niemand einen Lösungsansatz für mich?

Braucht Ihr noch mehr Informationen?

Ich habe jetzt außerdem noch den SpyBot laufen lassen und einiger Bedrohungen entfernt. Der Trojaner aber ist nachwievor da.

Hi,

was wird wo gefunden?

Öffne Kapi, rechts oben Berichte, im sich öffnenden Fenster "Erkannte Bedrohungen", aufklappen und dort dann unter "Objekt"... Kannst auch über das Diskettensymbol speichern und dann hier posten...

chris

Ich habe insgesamt sieben Bedrohungen, davon die beiden Trojaner mit Einstufung "hoch".

Einen Bericht von Kaspersky habe ich erstellt und eingefügt.


Gefunden (7)
06.10.2010 09:38:27 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
28.07.2010 23:38:48 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Documents and Settings\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
29.07.2010 20:27:29 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Users\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
07.08.2010 16:59:42 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Dokumente und Einstellungen\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
06.10.2010 09:38:27 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\ProgramData\SEGA Corporation\Alpha Protocol:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
06.10.2010 09:38:27 Gefunden trojanisches Programm Trojan.Win32.AntiAV.had C:\Program Files\Common Files\Vbox\Common\vboxat.dll Hoch
06.10.2010 09:38:27 Gefunden trojanisches Programm Trojan.Win32.AntiAV.haf C:\Program Files\Common Files\Vbox\Common\vboxtb.dll Hoch

Hi,

Bitte folgende Files prüfen (f/p check):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Program Files\Common Files\Vbox\Common\vboxat.dll
C:\Program Files\Common Files\Vbox\Common\vboxtb.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Sehr gut, vielen Dank! Ich werde das gleich durchführen.

Erste frage aber schon: bei der Online-Überprüfung durch Virustotal bekomme ich wahnsinnig viele Ergebnisse, alles User Reports. Sind die mit dem Ergebnis gemeint? Oder wo finde ich das, was Ihr benötigt?

Als Beispiel die ersten fünf Ergebnisse, die Liste ist aber sehr lang:

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-20 03:42:13 (UTC)
BugBopper identifies this file as Virus.DOS.Internal.1381 More info: hxxp://BugBopper.com/MalwareInfo/MD5/93/932d8fa318d3e00222553e8df5a22c4e.asp
Tags: internal, 1381, common
d9f90fed7999165ecd1e263a479f9da582836e6c4779eae15019f48718c7bcd6
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-15 17:36:08 (UTC)
BugBopper identifies this file as Virus.BAT.Vr.b More info: hxxp://BugBopper.com/MalwareInfo/MD5/ab/ab76bb00f077a0a09f6a969073fe537e.asp
Tags: common, claud, batvir
0f7c9e1d31831ff8fbb2cb873aca9064eefe44a56cc414a6f0463a288a825f4d
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-15 14:26:00 (UTC)
BugBopper identifies this file as Virus.BAT.Vr.a More info: hxxp://BugBopper.com/MalwareInfo/MD5/fc/fc493b0b4d8a6d4bd80c05a45728491d.asp
Tags: common, a5d1, claud
bc74b0b7dd3d8e0a96abeef5629dbe80a41a90f9b3b4acc847fa75dce738a037
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-11 18:02:25 (UTC)
BugBopper identifies this file as W32/ProAgent More info: hxxp://BugBopper.com/MalwareInfo/MD5/63/6335bdb385ea51c9abb7718c660e0108.asp
Tags: proagent, progent, files
cb974fb42d1320f2e38af6d0356ddaf889bb594d8a54eed9efb801b56669e82a
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-14 19:51:11 (UTC)
BugBopper identifies this file as Trojan.Win32.VB.amd More info: hxxp://BugBopper.com/MalwareInfo/MD5/cd/cd5a8b0ca2c78f052d72ec8b8aa6a1e2.asp
Tags: files, panda, clicker
4db3346ba4596915b37d75206069ec42d79126a2627a8e74cc8a7df2ece96f1d

Hi,

nein, damit sind die Ergebnisse der einzelnen Scanner gemeint...
Hier ein Beispiel:

Code: Alles auswählenAufklappen

ATTFilter

File name:
cinemst2.sys
Submission date:
2010-10-06 09:18:18 (UTC)
Current status:
queued (#1) queued analysing finished
Result:
0/ 43 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.10.06.01	2010.10.06	-
AntiVir	7.10.12.138	2010.10.06	-
Antiy-AVL	2.0.3.7	2010.10.06	-
Authentium	5.2.0.5	2010.10.06	-
Avast	4.8.1351.0	2010.10.05	-
Avast5	5.0.594.0	2010.10.05	-
AVG	9.0.0.851	2010.10.06	-
BitDefender	7.2	2010.10.06	-
CAT-QuickHeal	11.00	2010.10.05	-
ClamAV	0.96.2.0-git	2010.10.06	-
Comodo	6297	2010.10.06	-
DrWeb	5.0.2.03300	2010.10.06	-
Emsisoft	5.0.0.50	2010.10.06	-
eSafe	7.0.17.0	2010.10.05	-
eTrust-Vet	36.1.7893	2010.10.05	-
F-Prot	4.6.2.117	2010.10.05	-
F-Secure	9.0.15370.0	2010.10.06	-
Fortinet	4.2.249.0	2010.10.06	-
GData	21	2010.10.06	-
Ikarus	T3.1.1.90.0	2010.10.06	-
Jiangmin	13.0.900	2010.10.05	-
K7AntiVirus	9.63.2680	2010.10.05	-
Kaspersky	7.0.0.125	2010.10.06	-
McAfee	5.400.0.1158	2010.10.06	-
McAfee-GW-Edition	2010.1C	2010.10.06	-
Microsoft	1.6201	2010.10.06	-
NOD32	5508	2010.10.06	-
Norman	6.06.07	2010.10.05	-
nProtect	2010-10-06.02	2010.10.06	-
Panda	10.0.2.7	2010.10.05	-
PCTools	7.0.3.5	2010.10.02	-
Prevx	3.0	2010.10.06	-
Rising	22.67.02.07	2010.09.30	-
Sophos	4.58.0	2010.10.06	-
Sunbelt	6993	2010.10.06	-
SUPERAntiSpyware	4.40.0.1006	2010.10.06	-
Symantec	20101.2.0.161	2010.10.06	-
TheHacker	6.7.0.1.050	2010.10.06	-
TrendMicro	9.120.0.1004	2010.10.06	-
TrendMicro-HouseCall	9.120.0.1004	2010.10.06	-
VBA32	3.12.14.1	2010.10.05	-
ViRobot	2010.10.4.4074	2010.10.06	-
VirusBuster	12.67.4.0	2010.10.05	-
Additional information
Show all
MD5   : 86780103f4d384bc16e6ad03776529a2
SHA1  : d64c34aae73371d583a700a114f0c3b8456b0bb9
SHA256: 8a083ec446df19944c36c31f14b496c2984089ea10bc12f2bdb43c2a325965d6
ssdeep: 6144:IS58YUB6PJGatl/V8LGGFn1Qy5sBmaFWS4PTZJQA:jiYUIl/V8LkRWZPFJ
File size : 262528 bytes
First seen: 2009-04-11 22:36:16
Last seen : 2010-10-06 09:18:18
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: RAVISENT Technologies Inc.
copyright....: Copyright 1999 RAVISENT Technologies Inc.
product......: CineMaster C 1.2 WDM
description..: CineMaster C 1.2 WDM-Haupttreiber
original name: CINEMST2.SYS
internal name: CINEMST2.SYS
file version.: 5.0.00.0093
comments.....: Erstellt von VIONA Development
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1589E
timedatestamp....: 0x3B7D864A (Fri Aug 17 21:02:02 2001)
machinetype......: 0x14c (I386)

[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x300, 0x19204, 0x19280, 6.38, 5ef42c118a3d1b00f7859913e04d4e60
.rdata, 0x19580, 0x1AC1, 0x1B00, 4.94, 2f1990d44f2e75636702d1e8bc8a7800
.data, 0x1B080, 0x21FAE, 0x22000, 5.64, 6acc7db408dfaae2e709e29fad51af0f
INIT, 0x3D080, 0x72A, 0x780, 5.31, bebf7cd7067d7ad5782c4d7736128b3d
.rsrc, 0x3D800, 0x500, 0x500, 3.83, 0d135f7273bd9200696782d2c92f4c3f
.reloc, 0x3DD00, 0x2426, 0x2480, 4.85, 81b49c69b655ffaa2dc56e4cd10cb8cc

[[ 2 import(s) ]]
ntoskrnl.exe: MmUnlockPages, MmUnmapLockedPages, MmMapLockedPages, MmProbeAndLockPages, IoAllocateMdl, RtlInitUnicodeString, RtlCompareUnicodeString, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeInitializeMutex, KeReleaseMutex, MmMapIoSpace, MmUnmapIoSpace, ExFreePool, ExAllocatePoolWithTag, IoGetDeviceProperty, IoSetDeviceInterfaceState, IoDeleteDevice, IoRegisterDeviceInterface, IoAttachDeviceToDeviceStack, IoCreateDevice, IofCompleteRequest, InterlockedDecrement, PoStartNextPowerIrp, PoSetPowerState, ExQueueWorkItem, InterlockedIncrement, IoFreeMdl, ObfReferenceObject, IoDetachDevice, IofCallDriver, _aulldiv, _alldiv, PsTerminateSystemThread, ZwCreateKey, ZwClose, KeClearEvent, ZwQueryValueKey, ZwSetValueKey, KeSetPriorityThread, ObReferenceObjectByHandle, DbgPrint, PsCreateSystemThread, ObfDereferenceObject, KeQueryTimeIncrement, KeTickCount, _allmul, KeDelayExecutionThread, KeInsertQueueDpc, IoConnectInterrupt, KeInitializeDpc, IoDisconnectInterrupt, PoUnregisterSystemState, PoRegisterSystemState, IoInvalidateDeviceRelations, _except_handler3, KeGetCurrentThread, KeWaitForSingleObject, KeSetEvent, KeInitializeEvent, IoGetDmaAdapter, KeInitializeSpinLock, PoCallDriver, memmove
HAL.dll: ExReleaseFastMutex, KeQueryPerformanceCounter, KeStallExecutionProcessor, KeGetCurrentIrql, KfReleaseSpinLock, KfAcquireSpinLock, ExAcquireFastMutex
         

chris

Gut, danke. Allerdings sind es wirklich sehr viele Scanner - Du willst alle haben? Dann mal los...

Code: Alles auswählenAufklappen

ATTFilter

File name: 1268678594.internal.1381.exe
Submission date: 2010-03-15 19:47:53 (UTC)
Current status: finished
Result: 36 /42 (85.7%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
a-squared	4.5.0.50	2010.03.15	VBS.Internal!IK
AhnLab-V3	5.0.0.2	2010.03.15	Internal.1381
AntiVir	8.2.1.180	2010.03.15	Internal #2
Antiy-AVL	2.0.3.7	2010.03.15	-
Authentium	5.2.0.5	2010.03.15	Internal.1381
Avast	4.8.1351.0	2010.03.15	Internal-1381
Avast5	5.0.332.0	2010.03.15	Internal-1381
AVG	9.0.0.787	2010.03.15	Internal
BitDefender	7.2	2010.03.15	Internal.1381-Common
CAT-QuickHeal	10.00	2010.03.15	Internal
ClamAV	0.96.0.0-git	2010.03.15	Internal.2
Comodo	4275	2010.03.15	Virus.DOS.Internal.1381
DrWeb	5.0.1.12222	2010.03.15	Internal.1381
eSafe	7.0.17.0	2010.03.15	Win32.Internal
eTrust-Vet	35.2.7363	2010.03.15	Internal
F-Prot	4.5.1.85	2010.03.15	Internal.1381
F-Secure	9.0.15370.0	2010.03.15	Internal.1381-Common
Fortinet	4.0.14.0	2010.03.15	Internal.1459
GData	19	2010.03.15	Internal.1381-Common
Ikarus	T3.1.1.80.0	2010.03.15	VBS.Internal
Jiangmin	13.0.900	2010.03.15	Internal.1381
K7AntiVirus	7.10.998	2010.03.15	Virus.DOS.1381
Kaspersky	7.0.0.125	2010.03.15	Virus.DOS.Internal.1381
McAfee	5921	2010.03.15	Internal
McAfee+Artemis	5921	2010.03.15	Internal
McAfee-GW-Edition	6.8.5	2010.03.15	Virus.Internal #2
Microsoft	1.5502	2010.03.12	Virus:DOS/Internal.1381
NOD32	4946	2010.03.15	Internal.1381
Norman	6.04.08	2010.03.15	Internal.1381/1459
nProtect	2009.1.8.0	2010.03.15	-
Panda	10.0.2.2	2010.03.15	-
PCTools	7.0.3.5	2010.03.15	Internal.1381
Prevx	3.0	2010.03.15	-
Rising	22.39.00.04	2010.03.15	Internal.1381
Sophos	4.51.0	2010.03.15	Internal-1381
Sunbelt	5899	2010.03.15	-
Symantec	20091.2.0.41	2010.03.15	Internal.1381
TheHacker	6.5.2.0.233	2010.03.15	Internal.1381
TrendMicro	9.120.0.1004	2010.03.15	BENNY
VBA32	3.12.12.2	2010.03.14	Internal.1381
ViRobot	2010.3.15.2228	2010.03.15	-
VirusBuster	5.0.27.0	2010.03.14	Internal.1381
Additional informationShow all
MD5   : 932d8fa318d3e00222553e8df5a22c4e
SHA1  : 192275736f404e89e142a56c70c9fe0d7bfba48a
SHA256: d9f90fed7999165ecd1e263a479f9da582836e6c4779eae15019f48718c7bcd6

File name: Virus.BAT.Vr.b
Submission date: 2010-04-26 10:39:26 (UTC)
Current status: finished
Result: 35 /40 (87.5%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
a-squared	4.5.0.50	2010.04.26	Virus.BAT.Vr!IK
AhnLab-V3	5.0.0.2	2010.04.26	BAT/Claud.B
AntiVir	8.2.1.224	2010.04.26	BV.Common #2
Antiy-AVL	2.0.3.7	2010.04.26	Virus/BAT.Vr
Authentium	5.2.0.5	2010.04.25	BAT/VR.A
Avast	4.8.1351.0	2010.04.25	Batvir-VR
Avast5	5.0.332.0	2010.04.25	Batvir-VR
AVG	9.0.0.787	2010.04.25	BAT/Vr
BitDefender	7.2	2010.04.26	BAT.Vr.B
CAT-QuickHeal	10.00	2010.04.26	-
ClamAV	0.96.0.3-git	2010.04.26	BV.Common.2
Comodo	4683	2010.04.26	Virus.BAT.Vr.A
DrWeb	5.0.2.03300	2010.04.26	BAT.ComBat.752
eSafe	7.0.17.0	2010.04.25	Win32.Vr.b
eTrust-Vet	35.2.7448	2010.04.24	-
F-Prot	4.5.1.85	2010.04.25	BAT/VR.A
F-Secure	9.0.15370.0	2010.04.26	BAT.Vr.B
Fortinet	4.0.14.0	2010.04.25	PossibleThreat
GData	21	2010.04.26	BAT.Vr.B
Ikarus	T3.1.1.80.0	2010.04.26	Virus.BAT.Vr
Jiangmin	13.0.900	2010.04.26	Intended/BAT.Vr.b
Kaspersky	7.0.0.125	2010.04.26	Virus.BAT.Vr.b
McAfee	5.400.0.1158	2010.04.26	Bat/cmn
McAfee-GW-Edition	6.8.5	2010.04.25	Virus.Common #2
Microsoft	1.5703	2010.04.26	Virus:BAT/VR
NOD32	5061	2010.04.26	BAT/VR.A
Norman	6.04.11	2010.04.26	BAT/Vr.A
nProtect	2010-04-25.01	2010.04.25	BAT.Vr.B
Panda	10.0.2.7	2010.04.25	BAT/126
PCTools	7.0.3.5	2010.04.26	BAT.Vr.B
Prevx	3.0	2010.04.26	-
Rising	22.45.00.04	2010.04.26	Script.Vr.B.BAT
Sophos	4.53.0	2010.04.26	Mal/Generic-B
Sunbelt	6222	2010.04.26	-
Symantec	20091.2.0.41	2010.04.26	BAT.Claud
TheHacker	6.5.2.0.269	2010.04.26	-
TrendMicro	9.120.0.1004	2010.04.26	BAT_VR.B
VBA32	3.12.12.4	2010.04.26	Virus.BAT.Vr.b
ViRobot	2010.4.26.2294	2010.04.26	BAT.Claud.B
VirusBuster	5.0.27.0	2010.04.25	BAT.Vr.B
Additional informationShow all
MD5   : ab76bb00f077a0a09f6a969073fe537e
SHA1  : 60397a1783e967e2c39cf7d2278ef918fda6eb35
SHA256: 0f7c9e1d31831ff8fbb2cb873aca9064eefe44a56cc414a6f0463a288a825f4d

ile name: Virus.BAT.Vr.a
Submission date: 2010-04-26 10:38:29 (UTC)
Current status: finished
Result: 28 /39 (71.8%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
a-squared	4.5.0.50	2010.04.26	Virus.BAT.Vr!IK
AhnLab-V3	5.0.0.2	2010.04.26	BAT/Claud
AntiVir	8.2.1.224	2010.04.26	BV.Common #2
Antiy-AVL	2.0.3.7	2010.04.26	Virus/BAT.Vr
Authentium	5.2.0.5	2010.04.25	Intended_Virus!a5d1
Avast	4.8.1351.0	2010.04.25	Batvir-VR
Avast5	5.0.332.0	2010.04.25	Batvir-VR
AVG	9.0.0.787	2010.04.25	-
BitDefender	7.2	2010.04.26	BAT.Vr.A
CAT-QuickHeal	10.00	2010.04.26	-
ClamAV	0.96.0.3-git	2010.04.26	BV.Common.2
Comodo	4683	2010.04.26	UnclassifiedMalware
DrWeb	5.0.2.03300	2010.04.26	-
eSafe	7.0.17.0	2010.04.25	-
eTrust-Vet	35.2.7448	2010.04.24	-
F-Prot	4.5.1.85	2010.04.25	Intended_Virus!a5d1
F-Secure	9.0.15370.0	2010.04.26	BAT.Vr.A
Fortinet	4.0.14.0	2010.04.25	BAT/Vr.A
GData	21	2010.04.26	BAT.Vr.A
Ikarus	T3.1.1.80.0	2010.04.26	Virus.BAT.Vr
Jiangmin	13.0.900	2010.04.26	Intended/BAT.Vr
Kaspersky	7.0.0.125	2010.04.26	Virus.BAT.Vr.a
McAfee	5.400.0.1158	2010.04.26	Bat/cmn
McAfee-GW-Edition	6.8.5	2010.04.25	Virus.Common #2
Microsoft	1.5703	2010.04.26	Virus:BAT/VR
NOD32	5060	2010.04.26	Bat.112
Norman	6.04.11	2010.04.26	-
nProtect	2010-04-25.01	2010.04.25	BAT.Vr.A
Panda	10.0.2.7	2010.04.25	BAT/126
PCTools	7.0.3.5	2010.04.26	BAT.Vr.B
Rising	22.45.00.04	2010.04.26	-
Sophos	4.53.0	2010.04.26	-
Sunbelt	6222	2010.04.26	-
Symantec	20091.2.0.41	2010.04.26	-
TheHacker	6.5.2.0.269	2010.04.26	-
TrendMicro	9.120.0.1004	2010.04.26	BAT_INTEND.VR
VBA32	3.12.12.4	2010.04.26	Virus.BAT.Vr.a
ViRobot	2010.4.26.2294	2010.04.26	BAT.Claud.A
VirusBuster	5.0.27.0	2010.04.25	BAT.Vr.B
Additional informationShow all
MD5   : fc493b0b4d8a6d4bd80c05a45728491d
SHA1  : 4bc71eb2f70484cbf31679bf75d5852405014d89
SHA256: bc74b0b7dd3d8e0a96abeef5629dbe80a41a90f9b3b4acc847fa75dce738a037

File name: Not available, prior to VT database update
Submission date: 2007-02-12 13:23:22 (UTC)
Current status: finished
Result: 28 /30 (93.3%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
AntiVir	-	-	TR/Spy.ProAg.21.3.A
Authentium	-	-	W32/ProAgent.F
Avast	-	-	Win32:Tibs-AHV
AVG	-	-	PSW.Generic.VZA
BitDefender	-	-	Generic.Malware.BE!g.E7F84714
CAT-QuickHeal	-	-	TrojanSpy.ProAgent.21
ClamAV	-	-	Trojan.ProAgent-21-1
DrWeb	-	-	Trojan.ProAgent.21
eSafe	-	-	suspicious Trojan/Worm
eTrust-Vet	-	-	Win32/Progent.C
Ewido	-	-	Logger.ProAgent.21
F-Prot	-	-	W32/ProAgent.F
F-Secure	-	-	Trojan-Spy.Win32.ProAgent.21
Fortinet	-	-	W32/ProAgent.V21!tr
Ikarus	-	-	Trojan-Spy.Win32.ProAgent.21
Kaspersky	-	-	Trojan-Spy.Win32.ProAgent.21
McAfee	-	-	PWS-Progent
Microsoft	-	-	PWS:Win32/Progent.A
NOD32v2	-	-	Win32/Spy.ProAgent
Norman	-	-	W32/ProAgent.1_4
Panda	-	-	Trj/Proagent.S
PandaBeta	-	-	Trj/Proagent.S Panda CommandLineSecure 9.04.03 (c)
Panda Software 2007 Time employed for scan ......
.......: 00:00:02Number of files scanned .........
...: 18Number of files infected ...........: 2Numb
er of files disinfected ........: 0Number of files
renamed ............: 0Number of files deleted ..
..........: 0 Copyright Panda Software 2007
Prevx1	-	-	-
SAVMail	-	-	Troyano W32.PROAGENT.21; reporte a Segurmatica
Sophos	-	-	Troj/Progent-P
Sunbelt	-	-	-
Symantec	-	-	Trojan.Progent
TheHacker	-	-	Trojan/Spy.ProAgent.21
UNA	-	-	Trojan.Spy.Win32.ProAgent.21.29B1
VBA32	-	-	Trojan.Win32.Spy.ProAgent
VirusBuster	-	-	TrojanSpy.ProAgent.I
Additional informationShow all
MD5   : 6335bdb385ea51c9abb7718c660e0108
SHA1  : 1c82fcf8d6f1c81e0205665f0edd79820c504c37
SHA256: cb974fb42d1320f2e38af6d0356ddaf889bb594d8a54eed9efb801b56669e82a

File name: Not available, prior to VT database update
Submission date: 2007-02-12 13:23:22 (UTC)
Current status: finished
Result: 28 /30 (93.3%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
AntiVir	-	-	TR/Spy.ProAg.21.3.A
Authentium	-	-	W32/ProAgent.F
Avast	-	-	Win32:Tibs-AHV
AVG	-	-	PSW.Generic.VZA
BitDefender	-	-	Generic.Malware.BE!g.E7F84714
CAT-QuickHeal	-	-	TrojanSpy.ProAgent.21
ClamAV	-	-	Trojan.ProAgent-21-1
DrWeb	-	-	Trojan.ProAgent.21
eSafe	-	-	suspicious Trojan/Worm
eTrust-Vet	-	-	Win32/Progent.C
Ewido	-	-	Logger.ProAgent.21
F-Prot	-	-	W32/ProAgent.F
F-Secure	-	-	Trojan-Spy.Win32.ProAgent.21
Fortinet	-	-	W32/ProAgent.V21!tr
Ikarus	-	-	Trojan-Spy.Win32.ProAgent.21
Kaspersky	-	-	Trojan-Spy.Win32.ProAgent.21
McAfee	-	-	PWS-Progent
Microsoft	-	-	PWS:Win32/Progent.A
NOD32v2	-	-	Win32/Spy.ProAgent
Norman	-	-	W32/ProAgent.1_4
Panda	-	-	Trj/Proagent.S
PandaBeta	-	-	Trj/Proagent.S Panda CommandLineSecure 9.04.03 (c)
Panda Software 2007 Time employed for scan ......
.......: 00:00:02Number of files scanned .........
...: 18Number of files infected ...........: 2Numb
er of files disinfected ........: 0Number of files
renamed ............: 0Number of files deleted ..
..........: 0 Copyright Panda Software 2007
Prevx1	-	-	-
SAVMail	-	-	Troyano W32.PROAGENT.21; reporte a Segurmatica
Sophos	-	-	Troj/Progent-P
Sunbelt	-	-	-
Symantec	-	-	Trojan.Progent
TheHacker	-	-	Trojan/Spy.ProAgent.21
UNA	-	-	Trojan.Spy.Win32.ProAgent.21.29B1
VBA32	-	-	Trojan.Win32.Spy.ProAgent
VirusBuster	-	-	TrojanSpy.ProAgent.I
Additional informationShow all
MD5   : 6335bdb385ea51c9abb7718c660e0108
SHA1  : 1c82fcf8d6f1c81e0205665f0edd79820c504c37
SHA256: cb974fb42d1320f2e38af6d0356ddaf889bb594d8a54eed9efb801b56669e82a

File name: Not available, prior to VT database update
Submission date: 2007-02-13 15:15:26 (UTC)
Current status: finished
Result: 2 /29 (6.9%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
AntiVir	-	-	HEUR/Crypted
Authentium	-	-	-
Avast	-	-	-
AVG	-	-	-
BitDefender	-	-	-
CAT-QuickHeal	-	-	-
ClamAV	-	-	-
DrWeb	-	-	-
eTrust-InoculateIT	-	-	-
eTrust-Vet	-	-	-
Ewido	-	-	-
F-Prot	-	-	-
F-Prot4	-	-	-
Fortinet	-	-	suspicious
Ikarus	-	-	-
Kaspersky	-	-	-
McAfee	-	-	-
Microsoft	-	-	-
NOD32v2	-	-	-
Norman	-	-	-
Panda	-	-	-
Sophos	-	-	-
Symantec	-	-	-
T3	-	-	-
TheHacker	-	-	-
TrendMicro	-	-	-
UNA	-	-	-
VBA32	-	-	-
VirusBuster	-	-	-
Additional informationShow all
MD5   : cd5a8b0ca2c78f052d72ec8b8aa6a1e2
SHA1  : 8e5fff0e072b2dfae7dcff92213edc94a4a423f9
SHA256: 4db3346ba4596915b37d75206069ec42d79126a2627a8e74cc8a7df2ece96f1d
         

Das erscheint mir doch seltsam, deshalb habe ich nur die ersten fünf Ergebnisse kopiert. Ich hoffe, dass das reicht

Den Fullscan vom Malwarebytes-Programm muss ich heute abend machen und dann morgen früh eventuell posten, ich muss gleich weg und will den PC nicht an lassen.

Danke Euch aber schon mal für die Hilfe

Hi,

äh, was für Files hast du prüfen lassen?
1268678594.internal.1381.exe
Eigentlich solltest Du die von Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\Program Files\Common Files\Vbox\Common\vboxat.dll
C:\Program Files\Common Files\Vbox\Common\vboxtb.dll
         

Die Du hast posten lassen und erkannt wurden löschen...

Lass unbedingt MAM laufen und poste das OTL-Log...

chris

Huch! Hm, dann erschließt sich Virustotal mir nicht so ganz.

Ich habe auf deren Website "Search" angeklickt und die Datei per copy/paste... aber jetzt sehe ich wohl, wo der Fehler lag

Allerdings habe ich durchaus nach den Dateien per Durchsuchen gefahndet, aber nichts gefunden im angegebenen Verzeichnis

Hi,

werden die Dateien von Kapi beim suchen noch gefunden?

Welche Version von KIS ist das (11.0.1.400 (a.b))?
Ältere haben in der Richtung etwas "gesponnen", daher müssen wir die Dateien bevor wir was unternehmen, erst prüfen lassen!

chris

KIS-Version ist 11.0.0.232 (a,b,c), die Datenbanken sind aktuell.

Als Auffindedatum der Trojaner zeigt mir KIS immer das aktuelle Datum (also 6.10.) an. Malwarebyes ist auch jetzt beim vollständigen Scan wieder über den Ordner, in dem die infizierte Datei liegt, ohne Murren rübergegangen.

Hi,

neuste Version installieren von Kapi...

Poste unbedingt das OTL-Log...

Ich kann die Malware aus dem Verkehr ziehen (wenn es denn welche ist)...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Program Files\Common Files\Vbox\Common\vboxat.dll
C:\Program Files\Common Files\Vbox\Common\vboxtb.dll

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Damit werde sie in die Quarantäne von OTL verschoben...

chris

Habe ich durchgeführt. Hier sind die Ergebnisse:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== FILES ==========
File\Folder C:\Program Files\Common Files\Vbox\Common\vboxat.dll not found.
File\Folder C:\Program Files\Common Files\Vbox\Common\vboxtb.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Henning
->Temp folder emptied: 18431970 bytes
->Temporary Internet Files folder emptied: 7935957 bytes
->Java cache emptied: 73180382 bytes
->Google Chrome cache emptied: 10681369 bytes
->Flash cache emptied: 1970013 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 250868066 bytes
%systemroot%\System32 .tmp files removed: 86016 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 323352 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 347,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10062010_132225

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\klsDC01.tmp not found!

Registry entries deleted on Reboot...
         

Hi,

auch OTL findet die Files nicht...
Installiere mal die neuste Version von Kapi...
Poste das normale OTL log...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

Sonst müssen wir von "aussen" suchen...

chris