Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542

pcFragender

Hallo Leute,

der HP Laptop meiner Bekannten hatte ca. 4 Trojaner, 2 Java-Viren und zahlreiche Adware.
Ein paar Tage zuvor war der Desktop nach dem Vista-Start leer. Keine Anzeige von Icons, Startleiste etc.
Das ging wohl wieder, nach diversen Updates von Vista und AntiVir, laut ihrer Schilderung.

Nun habe ich den Laptop mitgenommen und habe versucht alles auffällige zu eliminieren.

Meine eingesetzte Software ist/war:
- Windows Defender
- Spybot -> Fund: Win32.Agent.fbx; OriginalSolitaire, Virtumonde.prx
- Superantispyware
- Malwarebytes Anti-Malware
- Emsisoft Anti-Malware
- und das Haupt-Antiviren Programm Avira (free) Funde siehe weiter unten.

Fund: Navipromo wurde mittels Navilog1 entfernt (nach Eurer Anleitung "Entfernung von Navipromo").


----------------

Avira meldete:

Mittwoch, 11. Mai 2011 10:52
Beginne mit der Suche in 'C:\Users\Christine\AppData\Local\srevco.dll'
C:\Users\***\AppData\Local\srevco.dll
[FUND] Ist das Trojanische Pferd TR/Hiloti.D.2542

Beginne mit der Desinfektion:
C:\Users\***\AppData\Local\srevco.dll
[FUND] Ist das Trojanische Pferd TR/Hiloti.D.2542
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.

Ende des Suchlaufs: Mittwoch, 11. Mai 2011 10:52

-------------

Mittwoch, 11. Mai 2011 13:07

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\***\AppData\Roaming\Adobe\plugs\mmc163.exe
[FUND] Ist das Trojanische Pferd TR/Hiloti.D.2542

Die Registry wurde durchsucht ( '392' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\Local\Temp\0.07484915661248404.exe
[FUND] Ist das Trojanische Pferd TR/Frill.B.2
C:\Users\***\AppData\Local\Temp\jar_cache2232447790830509676.tmp
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BC
--> google/lighmap.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BC
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\628f1262-7a9a355a
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
C:\Users\***\AppData\Roaming\Adobe\plugs\mmc163.exe
[FUND] Ist das Trojanische Pferd TR/Hiloti.D.2542
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'F:\' <HP_TOOLS>

Beginne mit der Desinfektion:
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\628f1262-7a9a355a
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488acabf.qua' verschoben!
C:\Users\***\AppData\Local\Temp\jar_cache2232447790830509676.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5023e54f.qua' verschoben!
C:\Users\***\AppData\Local\Temp\0.07484915661248404.exe
[FUND] Ist das Trojanische Pferd TR/Frill.B.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01babff4.qua' verschoben!
C:\Users\***\AppData\Roaming\Adobe\plugs\mmc163.exe
[FUND] Ist das Trojanische Pferd TR/Hiloti.D.2542
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '645af076.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 11. Mai 2011 13:07

--------------

Sonntag, 15. Mai 2011 23:18

Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\Roaming\Adobe\plugs\mmc270412.txt
[FUND] Ist das Trojanische Pferd TR/Spy.Spyeye.avi
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <HP_TOOLS>

Beginne mit der Desinfektion:
C:\Users\***\AppData\Roaming\Adobe\plugs\mmc270412.txt
[FUND] Ist das Trojanische Pferd TR/Spy.Spyeye.avi
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '482de705.qua' verschoben!


Ende des Suchlaufs: Sonntag, 15. Mai 2011 23:18

---------------


Leider habe ich keine weiteren alten Log-Dateien der anderen Programme.

Von Spybot könnte ich noch einen Screen mit den Funden schicken. Die Logs existieren nicht (keine Ahnung warum, der Ordner ist zumindest leer).



Nach mehreren Duchläufen aller Programme (auch im abgesicherten Modus) wurde von keinem Programm mehr etwas Verdächtiges gefunden.
Ich trau' der Sache aber nicht ganz.
Könntet Ihr bitte auch 'mal schauen ...?

Hinweis:
Ich habe allerdings auch schon Dateien gelöscht, Programme deinstalliert, neue Programme installiert, die Registry von auffäligen Werten befreit.
Also diverse Änderungen seit dem 15.5. vorgenommen.


Vielen Dank schonmal im Voraus!


Hier die aktuellen Logs von OTL und Malwarebytes.