| Henner83 | 01.12.2011 17:53 |
TR/Jorik.IRCbot - Facebookvirus
Hallo zusammen.
Ich habe mir vorgestern bei Facebook diverse Viren eingefangen. Der Link lautete:
h**p://offisense.co.il/lang/images.php?facebookimage=...1679
Heute stellte mein Avira nun drei Trojaner fest. Ich sendete diese dann an Avira und bekam bei allen drei die Bestätigung, dass es sich um Malware handelt.
Bei den Trojanern handelt es sich um: TR/Jorik.IRCbot.eax
TR/Jorik.IRCbot.ecd (2x)
Die beiden Dateianhänge " eax.txt" und " ecd.txt" sind von Avira, genauso wie der komplette Bericht unter " AVSCAN-20111201-120001-635A7488.txt". Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 1. Dezember 2011 12:00
Es wird nach 3496031 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***
Beginn des Suchlaufs: Donnerstag, 1. Dezember 2011 12:00
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'OffSpon.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXCELC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cdsupdclient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OfficeVirt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil11e_ActiveX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PmmUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwlDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\***\AppData\Roaming\Ebuous.exe
[FUND] Ist das Trojanische Pferd TR/Jorik.IRCbot.ecd
Die Registry wurde durchsucht ( '1335' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <ACER>
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MJXPN3JV\b[1].exe
[FUND] Ist das Trojanische Pferd TR/Jorik.IRCbot.ecd
C:\Users\***\AppData\Roaming\C97E.exe
[FUND] Ist das Trojanische Pferd TR/Jorik.IRCbot.eax
C:\Users\***\AppData\Roaming\Ebuous.exe
[FUND] Ist das Trojanische Pferd TR/Jorik.IRCbot.ecd
Beginne mit der Suche in 'E:\' <data>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert
Beginne mit der Desinfektion:
C:\Users\***\AppData\Roaming\C97E.exe
[FUND] Ist das Trojanische Pferd TR/Jorik.IRCbot.eax
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bbcf9c.qua' verschoben!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MJXPN3JV\b[1].exe
[FUND] Ist das Trojanische Pferd TR/Jorik.IRCbot.ecd
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '512ae015.qua' verschoben!
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2769216631-3716989042-2205999024-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ebuous> wurde erfolgreich entfernt.
C:\Users\***\AppData\Roaming\Ebuous.exe
[FUND] Ist das Trojanische Pferd TR/Jorik.IRCbot.ecd
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0331bae4.qua' verschoben!
[WARNUNG] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2769216631-3716989042-2205999024-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ebuous> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Ende des Suchlaufs: Donnerstag, 1. Dezember 2011 13:04
Benötigte Zeit: 1:04:04 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
| Ich habe die betroffenen Dateien daraufhin in die Avira-Quarantäne verschoben und danach CCleaner laufen lassen.
Malwarebytes fand daraufhin vier andere Dateien - der Scan-Bericht ist im Anhang unter " mbam-log-2011-12-01 (16-20-24).txt" zu finden.
Um das Ganze dann zu komplettieren habe ich OTL von Oldtimer darüber laufen lassen und Euch die Dateien " OTL.txt" und " Extras.txt" ebenfalls im Anhang gepostet.
Bisher kann ich keine Veränderungen im Umgang mit meinem Laptop feststellen. Online-Banking führe ich nicht über diesen durch.
Wie kann ich weiterverfahren und vorallem wie sollte ich ... eine Formatierung würde ich gern, wenn möglich umgehen.
Vielen Dank im Voraus für Eure Antwort ... Ich hoffe sachdienliche Hinweise gegeben zu haben :dankeschoen: | 
