| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Spy.468480.9 und TR/Crypt.CFI.Gen von Antivir entdecktWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.11.2010, 20:20
| #1 |
| |  Trojaner TR/Spy.468480.9 und TR/Crypt.CFI.Gen von Antivir entdeckt Guten Abend, ich konnte es mir nie vorstellen, aber das Laptop meiner Frau hat es offenbar erwischt. Sie beschwerte sich seit einiger Zeit, dass immer wieder mal z.B. Word, Firefox oder auch einfach nur der Windows Explorer langsam bis gar nicht reagrierten. An anderen Tagen lief alles problemlos (zumindest hat sie nichts gesagt). Schließlich habe ich am WE einen Systemscan mit Avira Antivir (ist installiert seitdem sie das Laptop hat) gemacht und dabei sind folgende Meldungen aufgetaucht: Die Datei 'C:\Programme\WinLernen\Biologie Klasse 7 und 8\Umrechner.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.CFI.Gen' [trojan]. Durchgeführte Aktion(en): Eine Sicherungskopie wurde unter dem Namen 4d645cf9.qua erstellt ( QUARANTÄNE ). Die Datei wurde ignoriert. Die Datei 'C:\Programme\WinLernen\Biologie Klasse 7 und 8\Notiz.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.468480.9' [trojan]. Durchgeführte Aktion(en): Eine Sicherungskopie wurde unter dem Namen 4d665cfb.qua erstellt ( QUARANTÄNE ). Die Datei wurde ignoriert. Ergebnis des Scans mit HijackThis: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 17:14:44, on 29.11.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16945) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Activ Software\ActivDriver\ActivControl2.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Desktop Sidebar\dsidebar.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Activ Software\ActivDriver\activmgr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\Dokumente und Einstellungen\Claudi\Desktop\HiJackThis204.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://notifier.avira.com/stats.php?id_not=18&url=https%3A%2F%2Fwww.cleverbridge.com%2F30%2Fcookie%3Fx%2Dorigin%3Dnotifier%26x%2Dnotifier%3DSHADOWMA_DE%26expiry%3D28%26redirect to%3Dhttps%253A%252F%252Favira.cleverbridge.com%252F30%252F%253Fscope%253Dcheckout%2526cart%253D13929%2526x%252Dorigin%253Dnotifier%2526x%252Dnotifier %253DSHADOWMA_DE%2526enablecoupon%253Dfalse R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ScanSoft OmniPage 16-reminder] "C:\Programme\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\OmniPage 16\Ereg\Ereg.ini" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ActivControl] C:\Programme\Activ Software\ActivDriver\ActivControl2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [OpAgent] "OpAgent.exe" /agent O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk.disabled O4 - Global Startup: phase-6 Reminder.lnk = C:\Programme\phase-6\phase-6\reminder\reminder.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: Retrospect Helper - EMC Corporation - C:\Programme\Retrospect\Retrospect 7.5\rthlpsvc.exe -- End of file - 8689 bytes Log von mwb Anti-Malware: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5214 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 29.11.2010 20:13:40 mbam-log-2010-11-29 (20-13-40).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 363125 Laufzeit: 2 Stunde(n), 42 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Während des mwb scans tauchten dann nochmal diese Meldungen auf: In der Datei 'C:\Programme\WinLernen\Biologie Klasse 7 und 8\Notiz.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.468480.9' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\System Volume Information\_restore{040B289C-8242-4081-8624-9C2A573321AB}\RP297\A0075669.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.468480.9' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Meine Fragen nun: 1. Kennt einer die Trojaner? Muss ich etwas beachten (PWs ändern oder so)? 2. Wie werd ich die wieder los? 3. Wieso hat Antivir eigentlich nicht verhindert, dass die sich einnisten?  Danke schonmal für eure Hilfe. TryHard |
|
29.11.2010, 22:17
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojaner TR/Spy.468480.9 und TR/Crypt.CFI.Gen von Antivir entdecktZitat:
 Wieauch immer, das klingt nach Fehlalarm. 
__________________ |
|
30.11.2010, 17:14
| #3 |
| | Trojaner TR/Spy.468480.9 und TR/Crypt.CFI.Gen von Antivir entdeckt Nee, sind nicht selbst kreiert. Das ist ne Lernsoftware für Kinder. Gab es, glaub ich, mal bei Aldi oder Lidl zum kleinen Preis.
__________________Hmmm, Fehlalarm meinst du? Gibt es Hinweise darauf, außer, dass mwb nichts gefunden hat? Das HijackThis Log ist daher clean, oder? Macht es Sinn, noch einmal z.B. Housecall o.ä. auf die betreffenden Datein loszulassen? Oder bei Virustotal hochzuladen? Wäre ja schön, wenn nix wäre. Aber wie woher kann es dann kommen, dass da einige Fenster oder Programme manchmal nur sehr träge bis gar nicht reagieren?  |
|
30.11.2010, 20:12
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Spy.468480.9 und TR/Crypt.CFI.Gen von Antivir entdecktZitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
02.12.2010, 20:27
| #5 |
| | Trojaner TR/Spy.468480.9 und TR/Crypt.CFI.Gen von Antivir entdeckt OK, dann werd ich das am WE mal alles machen und hoffen, dass du recht hast... Auf jeden Fall schon mal vielen Dank.  |
|
| Themen zu Trojaner TR/Spy.468480.9 und TR/Crypt.CFI.Gen von Antivir entdeckt |
| adobe, antivir, antivir guard, avira, bho, bonjour, desktop, einstellungen, explorer, firefox, frage, hijack, hijackthis, internet, internet explorer, langsam, photoshop, senden, software, tr/crypt.cfi.gen, tr/spy., tr/spy.468480.9, trojan, trojaner, trojaner?, virus, windows, windows xp, ändern |
Linear-Darstellung
