|
Plagegeister aller Art und deren Bekämpfung: W32/Murofet.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.05.2011, 20:43 | #1 |
| W32/Murofet.A Hallo, ich habe laut Avira seit einigen Tagen W32/Murofet.A auf dem Rechner, der laut 17 Avira-Berichten 27 exe-Dateien besetzt hat. Z.B. C:\Users\Chrissie\AppData\Roaming\Microsoft\Windows\Templates\G\USBAutoRun.exe Ich habe hier auch schon von einigen gelesen, die das selbe Problem haben/hatten, doch bin ich mir nicht sicher, welcher/welche Reports hier am besten helfen, womit man mir helfen kann. Auf dem Rechner ist jedenfalls Vista 32 bit. Ich habe bereits versucht einen älteren Systemwiederherstellungspunkt aufzuspielen, doch klappt das irgendwie nicht richtig. Woran das liegt, kann ich mir nicht erklären. Ich hoffe, Ihr könnt/mögt mir helfen. Gruß Chrissie |
11.05.2011, 21:39 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | W32/Murofet.AZitat:
__________________ |
11.05.2011, 22:17 | #3 |
| W32/Murofet.A Z.B. folgende:
__________________Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 11. Mai 2011 19:57 Es wird nach 2707717 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : SCHWEINCHEN-PC Versionsinformationen: BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00 AVSCAN.EXE : 10.0.4.2 442024 Bytes 09.05.2011 21:07:38 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 18:43:48 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:39:48 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 15:04:31 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 11:46:21 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 17:42:38 VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 17:42:39 VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 17:42:40 VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 17:42:40 VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 17:42:41 VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 17:42:41 VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 17:42:41 VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 17:42:41 VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 17:42:41 VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 17:42:42 VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 17:42:42 VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 17:42:43 VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 17:42:44 VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 06:29:49 VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 06:29:50 VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 06:29:51 VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 21:07:38 VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 21:07:38 VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 21:07:38 VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 21:07:38 VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 21:07:38 VBASE024.VDF : 7.11.7.184 2048 Bytes 09.05.2011 21:07:38 VBASE025.VDF : 7.11.7.185 2048 Bytes 09.05.2011 21:07:38 VBASE026.VDF : 7.11.7.186 2048 Bytes 09.05.2011 21:07:38 VBASE027.VDF : 7.11.7.187 2048 Bytes 09.05.2011 21:07:38 VBASE028.VDF : 7.11.7.188 2048 Bytes 09.05.2011 21:07:38 VBASE029.VDF : 7.11.7.189 2048 Bytes 09.05.2011 21:07:38 VBASE030.VDF : 7.11.7.190 2048 Bytes 09.05.2011 21:07:38 VBASE031.VDF : 7.11.7.214 112128 Bytes 10.05.2011 17:56:58 Engineversion : 8.2.4.228 AEVDF.DLL : 8.1.2.1 106868 Bytes 16.11.2010 19:01:12 AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 09.05.2011 21:07:38 AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 18:46:51 AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 18:46:55 AERDL.DLL : 8.1.9.9 639347 Bytes 17.04.2011 17:43:02 AEPACK.DLL : 8.2.6.0 549237 Bytes 17.04.2011 17:42:59 AEOFFICE.DLL : 8.1.1.22 205178 Bytes 09.05.2011 21:07:38 AEHEUR.DLL : 8.1.2.113 3494263 Bytes 09.05.2011 21:07:38 AEHELP.DLL : 8.1.16.1 246134 Bytes 07.02.2011 15:05:10 AEGEN.DLL : 8.1.5.4 397684 Bytes 17.04.2011 17:42:50 AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 18:46:36 AECORE.DLL : 8.1.20.2 196982 Bytes 17.04.2011 17:42:49 AEBB.DLL : 8.1.1.0 53618 Bytes 16.11.2010 19:01:12 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.9 174120 Bytes 09.05.2011 21:07:38 AVREG.DLL : 10.0.3.2 53096 Bytes 16.11.2010 19:01:12 AVSCPLR.DLL : 10.0.4.2 84840 Bytes 09.05.2011 21:07:38 AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 18:43:44 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 16.11.2010 19:01:11 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4eaaff65\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO, Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Mittwoch, 11. Mai 2011 19:57 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSwMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWLan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TCrdMain.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TPwrMain.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Toshiba.Tempo.UI.TrayApplication.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'xaudio.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TosIPCSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TosCoSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TODDSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TNaviSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TempoSVC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Chrissie\AppData\Roaming\Microsoft\Windows\Templates\G\USBAutoRun.exe' C:\Users\Chrissie\AppData\Roaming\Microsoft\Windows\Templates\G\USBAutoRun.exe [FUND] Enthält Code des Windows-Virus W32/Murofet.A Beginne mit der Desinfektion: C:\Users\Chrissie\AppData\Roaming\Microsoft\Windows\Templates\G\USBAutoRun.exe [FUND] Enthält Code des Windows-Virus W32/Murofet.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af56adf.qua' verschoben! Ende des Suchlaufs: Mittwoch, 11. Mai 2011 19:58 Benötigte Zeit: 00:01 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 75 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 74 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. |
11.05.2011, 22:24 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | W32/Murofet.A Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu W32/Murofet.A |
appdata, avira, bereits, besetzt, beste, besten, exe-dateien, hoffe, microsoft, nicht sicher, problem, rechner, reports, roaming, tagen, users, versuch, versucht, vista, vista 32, w32/murofet.a, windows, womit, woran, ältere |