Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.
berichte in welchem Zustand dein System sich befindet? Ob noch Probleme auftreten? - wenn ja, welche?
Nach einem Tipp eines Kollegen von mir hab ich unter *Rechtsklick auf Festplatte* > Eigenschaften > Tools > Fehlerüberprüfung > *Klick* "Jetzt prüfen..." alle Festplatten überprüft und jeweils vorab beide Häkchen für die Korrekturen gesetzt. Ergebnis war erwartungsgemäß: Die Probleme bereitende externe Festplatte wies Fehler auf, die auf Grund der gesetzten Häkchen direkt korrigiert werden sollten, was erfolgreich geschah. Die beiden Partitionen der internen Festplatte wie auch die zweite externe Datenplatte waren allesamt erwartungsgemäß fehlerfrei.
Seit der Fehlerüberprüfung mit Korrektur laufen alle Festplatten wieder problemlos: Sie werden direkt geladen, verursachen keine Programm- oder Systemabstürze mehr und beeinträchtigen auch sonst die Systemleistung nicht. Problem gelöst.
Weitere Probleme sind nicht mehr aufgetreten. Aber die Kontrolle, ob das System noch irgendwelche Malware hat oder nicht, hatten wir ja noch nicht abgeschlossen:
Zitat:
Zitat von Coverflow
9. Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst. Achtung!: >>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können
Dies hab ich ja letzte Woche nicht durchführen können. Nochmal versuchen? Externe Festplatten funktionieren ja beide wieder, aber das letzte Woche aufgetretene Problem "Lizenz abgelaufen" ("[ERROR: License has expired]") hing damit denke ich nicht zusammen... Oder sehe ich das falsch? Kann ich den Online-Scanner überhaupt nutzen ohne Kasperski Antivirus zuvor gekauft zu haben?
Zitat:
Zitat von Coverflow
poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
Ebenfalls noch nicht geschehen...
Zitat:
Zitat von Edd
Also nicht die Protokollierung der einzelnen Verzeichnisse, sondern hier nur die Vorweg angegebenen Daten und die Funde am Ende:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 22. Januar 2011 17:06
Es wird nach 2413583 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : EVIL-ED
Versionsinformationen:
BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 13.12.2010 07:39:22
AVSCAN.DLL : 10.0.3.0 56168 Bytes 13.12.2010 07:39:38
LUKE.DLL : 10.0.3.2 104296 Bytes 13.12.2010 07:39:28
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:52:49
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 14:52:49
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 14:52:49
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 14:52:49
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 14:52:49
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 14:52:49
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 14:52:50
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 14:52:50
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 14:52:50
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 14:52:50
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 14:52:50
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 14:52:50
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 14:52:50
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 14:52:50
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 14:52:51
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 14:52:51
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 14:52:51
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 14:52:51
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 14:52:51
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 14:52:52
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 14:52:52
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 14:52:52
VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 14:52:52
VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 14:52:53
VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 14:52:53
VBASE026.VDF : 7.11.1.190 2048 Bytes 20.01.2011 14:52:53
VBASE027.VDF : 7.11.1.191 2048 Bytes 20.01.2011 14:52:53
VBASE028.VDF : 7.11.1.192 2048 Bytes 20.01.2011 14:52:53
VBASE029.VDF : 7.11.1.193 2048 Bytes 20.01.2011 14:52:53
VBASE030.VDF : 7.11.1.194 2048 Bytes 20.01.2011 14:52:53
VBASE031.VDF : 7.11.1.216 59392 Bytes 21.01.2011 14:52:53
Engineversion : 8.2.4.150
AEVDF.DLL : 8.1.2.1 106868 Bytes 13.12.2010 07:39:18
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 22.01.2011 14:52:56
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 07:39:18
AESBX.DLL : 8.1.3.2 254324 Bytes 13.12.2010 07:39:18
AERDL.DLL : 8.1.9.2 635252 Bytes 13.12.2010 07:39:18
AEPACK.DLL : 8.2.4.8 512374 Bytes 22.01.2011 14:52:56
AEOFFICE.DLL : 8.1.1.15 205178 Bytes 22.01.2011 14:52:56
AEHEUR.DLL : 8.1.2.68 3178870 Bytes 22.01.2011 14:52:55
AEHELP.DLL : 8.1.16.0 246136 Bytes 13.12.2010 07:39:12
AEGEN.DLL : 8.1.5.2 397683 Bytes 22.01.2011 14:52:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:12
AECORE.DLL : 8.1.19.2 196983 Bytes 22.01.2011 14:52:54
AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:12
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:22
AVPREF.DLL : 10.0.0.0 44904 Bytes 13.12.2010 07:39:20
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:54
AVREG.DLL : 10.0.3.2 53096 Bytes 13.12.2010 07:39:20
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 13.12.2010 07:39:22
AVARKT.DLL : 10.0.22.6 231784 Bytes 13.12.2010 07:39:18
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 13.12.2010 07:39:20
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:04
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:22
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:02
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:10
RCTEXT.DLL : 10.0.58.0 98152 Bytes 13.12.2010 07:39:40
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: mittel
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, L:, M:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Samstag, 22. Januar 2011 17:06
(...)
(...)
(...)
Beginne mit der Desinfektion:
M:\von K\stuff\games\Spackspiele\
M:\von K\stuff\games\Spackspiele\Stress Reducers.exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4920f226.qua' verschoben!
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\DivX52XP2K.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51abdd8e.qua' verschoben!
M:\von K\all u need\backuped\Internet\FTP\
M:\von K\all u need\backuped\Internet\FTP\susetup.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Serv-U.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03eb876a.qua' verschoben!
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
[WARNUNG] Die Datei wurde ignoriert.
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\Gens32_Surreal_v1_86_HD.rar
[FUND] Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65dbc858.qua' verschoben!
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\AT32_MoonWalker.zip
[FUND] Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2098e575.qua' verschoben!
Ende des Suchlaufs: Samstag, 22. Januar 2011 23:11
Benötigte Zeit: 5:30:36 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
288615 Verzeichnisse wurden überprüft
4392685 Dateien wurden geprüft
32 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
100 Dateien konnten nicht durchsucht werden
4392553 Dateien ohne Befall
33633 Archive wurden durchsucht
2011 Warnungen
1168 Hinweise
458341 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Zu den Virenfunden:
(0) 32 Stück ist Quatsch in so fern, dass die selbe Datei im selben Archiv mit selbem Pfad ettliche Male gezählt wurde - warum auch immer. Finde ich irreführend, denn ich war reichlich irritiert 32 Virenfunde als Ziffer zu sehen und dann nur bei 6 Funden gefragt zu werden, was damit passieren soll. Nun, es waren nur die 6 - ich bin das vollständige Protokoll durchgegangen und habe die Funde abgeglichen.
(1) Stress Reducers.exe ist in der Tat ein Spaßprogramm, bzw. genauer ein Spaßspiel, birgt aber kein Risiko meiner Ansicht nach - ich hab es ich glaub bereits seit Ende der 90er Jahre, damals auch ein paar Mal gespielt. Letztlich aber auch unnötig, von daher kann es wegen mir weg.
(2) Die DivX-Datei, naja installationsdatei unter Windows 2000, meinem früheren Betriebssystem, halt... "mit einem ungewöhnlichen Laufzeitpacker komprimiert" - ok... Risiko? Die Datei hat mir noch nie ein Virenscanner aufgezeigt und ich hab sie schon lange. Sei's drum. Brauchen tue ich sie nicht mehr, von daher...
(3) susetup.exe - FTP-Programm, früher unter Windows 2000 genutzt, brauche ich eh nicht mehr, kann weg. Aber Risiko? Fraglich...
(4) Java-Virus JAVA/ClassLoader.BO - ohne zu wissen auf welche Datei innerhalb des Systemabbilds es sich bezieht kann ich das schwer beurteilen, aber September 2010?? Und danach nicht mehr?? Zudem war als Begründung im Anschluss an den Scan bei der Rückfrage, wie ich mit den gefundenen Objekten verfahren möchte, die vorgeschlagene Handlung die Datei zu ignorieren, angegeben, es handle sich um ein eMail-Postfach und um die eMails nicht zu beeinträchtigen sei der Virus zu ignorieren. Nicht etwa um eine anhängende Datei, sondern um ein Postfach. Seltsame Sache.
Hier der Protokoll-Auszug:
Code:
ATTFilter
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
--> C/Users/edDy/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/63/3c290e7f-2c23f1fb
[1] Archivtyp: ZIP
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.GS
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
(5) Gens32_Surreal_v1_86_HD.rar: funktionsfähiger Spiele-Emulator. Vor kurzem (Januar 2011) von nem Kumpel von mir gemailt bekommen, der sagte, es sei aus vertrauenswürdiger Quelle. Auch bereits genutzt und lief problemlos. Die rar-Datei beinhaltet allerdings die sechste gefundene Bedrohung und wurde wohl wegen dieser mitaufgezählt:
(6) AT32_MoonWalker.zip: ReadMe.txt zu der zip-Datei besagt, sie sei ein Patch - wohl für den Emulator, macht aber inhaltlich nicht ar zu viel Sinn, denn es ist von Michael Jackson Songs die Rede, die durch das Patch eingebunden werden sollen - wozu auch immer, seine Musik hat mit den Spielen nichts zu tun. Klingt in der Tat nicht vertrauenswürdig, ich hab das Patch aber bislang weder im Verzeichnis bemerkt noch ausgeführt. Vom Emulator scheint es auch nicht ausgeführt zu werden, oder jedenfalls nicht benötigt, denn er funktoiniert auch nachdem ihm die Datei geraubt wurde noch, hab's eben kurz getestet. Also keine Ahnung was es mit dem Patch auf sich hat, aber es ist inhaltlich fragwürdig und somit gewiss nicht vertrauenswürdig...
Alle Funde mit Ausnahme des ignorierten WHS-Inhaltes sind zur Zeit in Quarantäne. Soll ich sie löschen?
Auch noch offen: Hab noch nichts gelöscht, da ich nicht eigenmächtig handeln wollte, sondern erst nach deiner Bestätigung löschen wollte... Soll ich die in Avira Antivir-Quarantäne befindlichen Funde löschen?
...wie soll ich nun vorgehen? Keine aktuell bemerkten Probleme mehr bedeutet ja noch nicht, dass das System nun Malware-frei und vertrauenswürdig ist...
Danke für deine Hilfe.
Gruß,
Edd
Themen zu TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe
Zum Thema TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe - Zitat:
Zitat von Coverflow
berichte in welchem Zustand dein System sich befindet? Ob noch Probleme auftreten? - wenn ja, welche?
Nach einem Tipp eines Kollegen von mir hab ich unter - TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe...
27.01.2011, 01:37
Baum-Darstellung