| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.01.2011, 01:40
| #25 |
 |  Ergebnisse des ersten Avira Antivir-Komplettscans Hier das Scan-Ergebnis aus dem Protokoll. Das Protokoll listet alle kontrollierten Verzeichnisse auf und gibt somit ein umfangreiches Abbild meiner Festplatten-Verzeichnisse wieder - aus Datenschutz-Gründen kann ich das Protokoll nicht komplett posten, zumal ich bei dieser Menge niemals alle persönlichen Daten rauseditieren könnte. Also nicht die Protokollierung der einzelnen Verzeichnisse, sondern hier nur die Vorweg angegebenen Daten und die Funde am Ende: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 22. Januar 2011 17:06
Es wird nach 2413583 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : EVIL-ED
Versionsinformationen:
BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 13.12.2010 07:39:22
AVSCAN.DLL : 10.0.3.0 56168 Bytes 13.12.2010 07:39:38
LUKE.DLL : 10.0.3.2 104296 Bytes 13.12.2010 07:39:28
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:52:49
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 14:52:49
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 14:52:49
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 14:52:49
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 14:52:49
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 14:52:49
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 14:52:50
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 14:52:50
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 14:52:50
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 14:52:50
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 14:52:50
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 14:52:50
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 14:52:50
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 14:52:50
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 14:52:51
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 14:52:51
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 14:52:51
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 14:52:51
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 14:52:51
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 14:52:52
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 14:52:52
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 14:52:52
VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 14:52:52
VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 14:52:53
VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 14:52:53
VBASE026.VDF : 7.11.1.190 2048 Bytes 20.01.2011 14:52:53
VBASE027.VDF : 7.11.1.191 2048 Bytes 20.01.2011 14:52:53
VBASE028.VDF : 7.11.1.192 2048 Bytes 20.01.2011 14:52:53
VBASE029.VDF : 7.11.1.193 2048 Bytes 20.01.2011 14:52:53
VBASE030.VDF : 7.11.1.194 2048 Bytes 20.01.2011 14:52:53
VBASE031.VDF : 7.11.1.216 59392 Bytes 21.01.2011 14:52:53
Engineversion : 8.2.4.150
AEVDF.DLL : 8.1.2.1 106868 Bytes 13.12.2010 07:39:18
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 22.01.2011 14:52:56
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 07:39:18
AESBX.DLL : 8.1.3.2 254324 Bytes 13.12.2010 07:39:18
AERDL.DLL : 8.1.9.2 635252 Bytes 13.12.2010 07:39:18
AEPACK.DLL : 8.2.4.8 512374 Bytes 22.01.2011 14:52:56
AEOFFICE.DLL : 8.1.1.15 205178 Bytes 22.01.2011 14:52:56
AEHEUR.DLL : 8.1.2.68 3178870 Bytes 22.01.2011 14:52:55
AEHELP.DLL : 8.1.16.0 246136 Bytes 13.12.2010 07:39:12
AEGEN.DLL : 8.1.5.2 397683 Bytes 22.01.2011 14:52:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:12
AECORE.DLL : 8.1.19.2 196983 Bytes 22.01.2011 14:52:54
AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:12
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:22
AVPREF.DLL : 10.0.0.0 44904 Bytes 13.12.2010 07:39:20
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:54
AVREG.DLL : 10.0.3.2 53096 Bytes 13.12.2010 07:39:20
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 13.12.2010 07:39:22
AVARKT.DLL : 10.0.22.6 231784 Bytes 13.12.2010 07:39:18
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 13.12.2010 07:39:20
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:04
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:22
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:02
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:10
RCTEXT.DLL : 10.0.58.0 98152 Bytes 13.12.2010 07:39:40
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: mittel
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, L:, M:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Samstag, 22. Januar 2011 17:06
(...)
(...)
(...)
Beginne mit der Desinfektion:
M:\von K\stuff\games\Spackspiele\
M:\von K\stuff\games\Spackspiele\Stress Reducers.exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4920f226.qua' verschoben!
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\DivX52XP2K.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51abdd8e.qua' verschoben!
M:\von K\all u need\backuped\Internet\FTP\
M:\von K\all u need\backuped\Internet\FTP\susetup.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Serv-U.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03eb876a.qua' verschoben!
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
[WARNUNG] Die Datei wurde ignoriert.
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\Gens32_Surreal_v1_86_HD.rar
[FUND] Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65dbc858.qua' verschoben!
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\AT32_MoonWalker.zip
[FUND] Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2098e575.qua' verschoben!
Ende des Suchlaufs: Samstag, 22. Januar 2011 23:11
Benötigte Zeit: 5:30:36 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
288615 Verzeichnisse wurden überprüft
4392685 Dateien wurden geprüft
32 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
100 Dateien konnten nicht durchsucht werden
4392553 Dateien ohne Befall
33633 Archive wurden durchsucht
2011 Warnungen
1168 Hinweise
458341 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
(0) 32 Stück ist Quatsch in so fern, dass die selbe Datei im selben Archiv mit selbem Pfad ettliche Male gezählt wurde - warum auch immer. Finde ich irreführend, denn ich war reichlich irritiert 32 Virenfunde als Ziffer zu sehen und dann nur bei 6 Funden gefragt zu werden, was damit passieren soll. Nun, es waren nur die 6 - ich bin das vollständige Protokoll durchgegangen und habe die Funde abgeglichen. (1) Stress Reducers.exe ist in der Tat ein Spaßprogramm, bzw. genauer ein Spaßspiel, birgt aber kein Risiko meiner Ansicht nach - ich hab es ich glaub bereits seit Ende der 90er Jahre, damals auch ein paar Mal gespielt. Letztlich aber auch unnötig, von daher kann es wegen mir weg.  (2) Die DivX-Datei, naja installationsdatei unter Windows 2000, meinem früheren Betriebssystem, halt... "mit einem ungewöhnlichen Laufzeitpacker komprimiert" - ok... Risiko? Die Datei hat mir noch nie ein Virenscanner aufgezeigt und ich hab sie schon lange. Sei's drum. Brauchen tue ich sie nicht mehr, von daher... (3) susetup.exe - FTP-Programm, früher unter Windows 2000 genutzt, brauche ich eh nicht mehr, kann weg. Aber Risiko? Fraglich... (4) Java-Virus JAVA/ClassLoader.BO - ohne zu wissen auf welche Datei innerhalb des Systemabbilds es sich bezieht kann ich das schwer beurteilen, aber September 2010?? Und danach nicht mehr?? Zudem war als Begründung im Anschluss an den Scan bei der Rückfrage, wie ich mit den gefundenen Objekten verfahren möchte, die vorgeschlagene Handlung die Datei zu ignorieren, angegeben, es handle sich um ein eMail-Postfach und um die eMails nicht zu beeinträchtigen sei der Virus zu ignorieren. Nicht etwa um eine anhängende Datei, sondern um ein Postfach. Seltsame Sache. Hier der Protokoll-Auszug: Code:
ATTFilter L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
--> C/Users/edDy/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/63/3c290e7f-2c23f1fb
[1] Archivtyp: ZIP
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.GS
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
(6) AT32_MoonWalker.zip: ReadMe.txt zu der zip-Datei besagt, sie sei ein Patch - wohl für den Emulator, macht aber inhaltlich nicht ar zu viel Sinn, denn es ist von Michael Jackson Songs die Rede, die durch das Patch eingebunden werden sollen - wozu auch immer, seine Musik hat mit den Spielen nichts zu tun. Klingt in der Tat nicht vertrauenswürdig, ich hab das Patch aber bislang weder im Verzeichnis bemerkt noch ausgeführt. Vom Emulator scheint es auch nicht ausgeführt zu werden, oder jedenfalls nicht benötigt, denn er funktoiniert auch nachdem ihm die Datei geraubt wurde noch, hab's eben kurz getestet. Also keine Ahnung was es mit dem Patch auf sich hat, aber es ist inhaltlich fragwürdig und somit gewiss nicht vertrauenswürdig... Alle Funde mit Ausnahme des ignorierten WHS-Inhaltes sind zur Zeit in Quarantäne. Soll ich sie löschen? Und wie geht's dann weiter? Gruß, Edd |
| Themen zu TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe |
| anleitung, comodo, desktop, einstellungen, erstellt, exe-dateien, fehlermeldung, festgestellt, file, folge, geliefert, google, installation, internet, klick, leer, load.exe, opera, problem, programmstart, quarantäne, rechner, scan, security, seite, trojware.win32.trojan.agent.gen, virus, warum |
Baum-Darstellung