Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Ransom.EJ.10: [FUND] in \AppData\Local\Temp\ms0cfg32.exe > vollständig entfernt oder nicht? (https://www.trojaner-board.de/109963-tr-ransom-ej-10-fund-appdata-local-temp-ms0cfg32-exe-vollstaendig-entfernt.html)

elFreddo 15.02.2012 09:19
TR/Ransom.EJ.10: [FUND] in \AppData\Local\Temp\ms0cfg32.exe > vollständig entfernt oder nicht?
 
Hallo Board,

...die "Windows ist aus Sicherheitsgründen blockiert//bezahlen"-Meldung kennen hier ja wohl schon einige.
Ich habe folgendes getan:
- Windows 7 im abgesicherten Modus gestartet
- Avira drüberlaufen lassen
- den diagnostizierten Trojaner TR/Ransom.EJ.10 in Quarantäne verschoben
- neugestartet.

Hier das logfile:
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 11. Februar 2012  18:21

Es wird nach 3448049 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : RUSALKA

Versionsinformationen:
BUILD.DAT      : 10.2.0.704    35934 Bytes  28.09.2011 13:14:00
AVSCAN.EXE    : 10.3.0.7      484008 Bytes  30.06.2011 19:17:07
AVSCAN.DLL    : 10.0.5.0      57192 Bytes  30.06.2011 19:17:07
LUKE.DLL      : 10.3.0.5      45416 Bytes  30.06.2011 19:17:13
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  30.06.2011 19:17:15
AVREG.DLL      : 10.3.0.9      88833 Bytes  12.07.2011 18:15:14
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:25:31
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 16:09:42
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 17:59:34
VBASE004.VDF  : 7.11.21.239    2048 Bytes  01.02.2012 17:59:36
VBASE005.VDF  : 7.11.21.240    2048 Bytes  01.02.2012 17:59:37
VBASE006.VDF  : 7.11.21.241    2048 Bytes  01.02.2012 17:59:37
VBASE007.VDF  : 7.11.21.242    2048 Bytes  01.02.2012 17:59:37
VBASE008.VDF  : 7.11.21.243    2048 Bytes  01.02.2012 17:59:37
VBASE009.VDF  : 7.11.21.244    2048 Bytes  01.02.2012 17:59:37
VBASE010.VDF  : 7.11.21.245    2048 Bytes  01.02.2012 17:59:38
VBASE011.VDF  : 7.11.21.246    2048 Bytes  01.02.2012 17:59:38
VBASE012.VDF  : 7.11.21.247    2048 Bytes  01.02.2012 17:59:38
VBASE013.VDF  : 7.11.22.33  1486848 Bytes  03.02.2012 18:15:34
VBASE014.VDF  : 7.11.22.56    687616 Bytes  03.02.2012 18:15:42
VBASE015.VDF  : 7.11.22.92    178176 Bytes  06.02.2012 16:42:56
VBASE016.VDF  : 7.11.22.154  144896 Bytes  08.02.2012 16:42:58
VBASE017.VDF  : 7.11.22.155    2048 Bytes  08.02.2012 16:42:58
VBASE018.VDF  : 7.11.22.156    2048 Bytes  08.02.2012 16:42:58
VBASE019.VDF  : 7.11.22.157    2048 Bytes  08.02.2012 16:42:59
VBASE020.VDF  : 7.11.22.158    2048 Bytes  08.02.2012 16:42:59
VBASE021.VDF  : 7.11.22.159    2048 Bytes  08.02.2012 16:42:59
VBASE022.VDF  : 7.11.22.160    2048 Bytes  08.02.2012 16:42:59
VBASE023.VDF  : 7.11.22.161    2048 Bytes  08.02.2012 16:42:59
VBASE024.VDF  : 7.11.22.162    2048 Bytes  08.02.2012 16:42:59
VBASE025.VDF  : 7.11.22.163    2048 Bytes  08.02.2012 16:42:59
VBASE026.VDF  : 7.11.22.164    2048 Bytes  08.02.2012 16:42:59
VBASE027.VDF  : 7.11.22.165    2048 Bytes  08.02.2012 16:42:59
VBASE028.VDF  : 7.11.22.166    2048 Bytes  08.02.2012 16:43:00
VBASE029.VDF  : 7.11.22.167    2048 Bytes  08.02.2012 16:43:00
VBASE030.VDF  : 7.11.22.168    2048 Bytes  08.02.2012 16:43:00
VBASE031.VDF  : 7.11.22.206  139776 Bytes  10.02.2012 16:43:03
Engineversion  : 8.2.8.54 
AEVDF.DLL      : 8.1.2.2      106868 Bytes  25.10.2011 14:24:12
AESCRIPT.DLL  : 8.1.4.5      442745 Bytes  11.02.2012 16:43:57
AESCN.DLL      : 8.1.8.2      131444 Bytes  29.01.2012 16:53:48
AESBX.DLL      : 8.2.4.5      434549 Bytes  07.12.2011 15:26:52
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 14:07:02
AEPACK.DLL    : 8.2.16.3      799094 Bytes  11.02.2012 16:43:52
AEOFFICE.DLL  : 8.1.2.25      201084 Bytes  31.12.2011 16:36:32
AEHEUR.DLL    : 8.1.3.27    4391285 Bytes  11.02.2012 16:43:44
AEHELP.DLL    : 8.1.19.0      254327 Bytes  20.01.2012 10:21:21
AEGEN.DLL      : 8.1.5.21      409971 Bytes  05.02.2012 18:15:48
AEEMU.DLL      : 8.1.3.0      393589 Bytes  22.11.2010 20:31:54
AECORE.DLL    : 8.1.25.3      201079 Bytes  29.01.2012 16:53:41
AEBB.DLL      : 8.1.1.0        53618 Bytes  06.05.2010 10:03:09
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL    : 10.0.3.2      44904 Bytes  30.06.2011 19:17:07
AVREP.DLL      : 10.0.0.10    174120 Bytes  18.05.2011 19:09:37
AVARKT.DLL    : 10.0.26.1    255336 Bytes  30.06.2011 19:17:06
AVEVTLOG.DLL  : 10.0.0.9      203112 Bytes  30.06.2011 19:17:07
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  30.06.2011 19:17:04
RCTEXT.DLL    : 10.0.64.0      98664 Bytes  30.06.2011 19:17:04

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f55ac35\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 11. Februar 2012  18:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPOWER_DMC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ENMTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StikyNot.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Frik\AppData\Local\Mozilla\Firefox\firefox.exe'
C:\Users\Frik\AppData\Local\Mozilla\Firefox\firefox.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.10

Beginne mit der Desinfektion:
C:\Users\Frik\AppData\Local\Mozilla\Firefox\firefox.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.10
  [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-418255936-4090942075-1229952663-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ffdwnd> wurde erfolgreich repariert.
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba91d39.qua' verschoben!


Ende des Suchlaufs: Samstag, 11. Februar 2012  19:53
Benötigte Zeit: 00:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    68 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    67 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
Als ich dann den Firefox wieder gestartet habe, kam die Meldung und Blockade zurück, was angesichts der Info von Avira, "Eine Kopie seiner selbst wird im Verzeichnis firefox.exe erstellt" wohl auch logisch war. Das selbe Spiel wie oben also nochmal, diesmal mit diesem Ergebnis:

Code:
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Frik\AppData\Local\Temp\ms0cfg32.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.10

Beginne mit der Desinfektion:
C:\Users\Frik\AppData\Local\Temp\ms0cfg32.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.10
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a956183.qua' verschoben!
- Ich habe seitdem Firefox nicht mehr verwendet und bin auf den bei mir noch installierten Windows Explorer ausgewichen. Habe seitdem noch 2 Suchläufe mit Avira durchgeführt, der letzte vorhin, beide ohne Fund, mit folgendem Logfile:

Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 15. Februar 2012  08:25

Es wird nach 3457462 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : RUSALKA

Versionsinformationen:
BUILD.DAT      : 10.2.0.707    36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE    : 10.3.0.7      484008 Bytes  30.06.2011 19:17:07
AVSCAN.DLL    : 10.0.5.0      57192 Bytes  30.06.2011 19:17:07
LUKE.DLL      : 10.3.0.5      45416 Bytes  30.06.2011 19:17:13
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  30.06.2011 19:17:15
AVREG.DLL      : 10.3.0.9      88833 Bytes  12.07.2011 18:15:14
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:25:31
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 16:09:42
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 17:59:34
VBASE004.VDF  : 7.11.21.239    2048 Bytes  01.02.2012 17:59:36
VBASE005.VDF  : 7.11.21.240    2048 Bytes  01.02.2012 17:59:37
VBASE006.VDF  : 7.11.21.241    2048 Bytes  01.02.2012 17:59:37
VBASE007.VDF  : 7.11.21.242    2048 Bytes  01.02.2012 17:59:37
VBASE008.VDF  : 7.11.21.243    2048 Bytes  01.02.2012 17:59:37
VBASE009.VDF  : 7.11.21.244    2048 Bytes  01.02.2012 17:59:37
VBASE010.VDF  : 7.11.21.245    2048 Bytes  01.02.2012 17:59:38
VBASE011.VDF  : 7.11.21.246    2048 Bytes  01.02.2012 17:59:38
VBASE012.VDF  : 7.11.21.247    2048 Bytes  01.02.2012 17:59:38
VBASE013.VDF  : 7.11.22.33  1486848 Bytes  03.02.2012 18:15:34
VBASE014.VDF  : 7.11.22.56    687616 Bytes  03.02.2012 18:15:42
VBASE015.VDF  : 7.11.22.92    178176 Bytes  06.02.2012 16:42:56
VBASE016.VDF  : 7.11.22.154  144896 Bytes  08.02.2012 16:42:58
VBASE017.VDF  : 7.11.22.220  183296 Bytes  13.02.2012 18:36:40
VBASE018.VDF  : 7.11.22.221    2048 Bytes  13.02.2012 18:36:40
VBASE019.VDF  : 7.11.22.222    2048 Bytes  13.02.2012 18:36:40
VBASE020.VDF  : 7.11.22.223    2048 Bytes  13.02.2012 18:36:40
VBASE021.VDF  : 7.11.22.224    2048 Bytes  13.02.2012 18:36:41
VBASE022.VDF  : 7.11.22.225    2048 Bytes  13.02.2012 18:36:41
VBASE023.VDF  : 7.11.22.226    2048 Bytes  13.02.2012 18:36:41
VBASE024.VDF  : 7.11.22.227    2048 Bytes  13.02.2012 18:36:41
VBASE025.VDF  : 7.11.22.228    2048 Bytes  13.02.2012 18:36:41
VBASE026.VDF  : 7.11.22.229    2048 Bytes  13.02.2012 18:36:42
VBASE027.VDF  : 7.11.22.230    2048 Bytes  13.02.2012 18:36:42
VBASE028.VDF  : 7.11.22.231    2048 Bytes  13.02.2012 18:36:42
VBASE029.VDF  : 7.11.22.232    2048 Bytes  13.02.2012 18:36:43
VBASE030.VDF  : 7.11.22.233    2048 Bytes  13.02.2012 18:36:43
VBASE031.VDF  : 7.11.22.248    88064 Bytes  13.02.2012 18:36:45
Engineversion  : 8.2.10.2 
AEVDF.DLL      : 8.1.2.2      106868 Bytes  25.10.2011 14:24:12
AESCRIPT.DLL  : 8.1.4.5      442745 Bytes  11.02.2012 16:43:57
AESCN.DLL      : 8.1.8.2      131444 Bytes  29.01.2012 16:53:48
AESBX.DLL      : 8.2.4.5      434549 Bytes  07.12.2011 15:26:52
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 14:07:02
AEPACK.DLL    : 8.2.16.3      799094 Bytes  11.02.2012 16:43:52
AEOFFICE.DLL  : 8.1.2.25      201084 Bytes  31.12.2011 16:36:32
AEHEUR.DLL    : 8.1.3.27    4391285 Bytes  11.02.2012 16:43:44
AEHELP.DLL    : 8.1.19.0      254327 Bytes  20.01.2012 10:21:21
AEGEN.DLL      : 8.1.5.21      409971 Bytes  05.02.2012 18:15:48
AEEXP.DLL      : 8.1.0.20      70004 Bytes  13.02.2012 18:36:48
AEEMU.DLL      : 8.1.3.0      393589 Bytes  22.11.2010 20:31:54
AECORE.DLL    : 8.1.25.4      201079 Bytes  13.02.2012 18:36:47
AEBB.DLL      : 8.1.1.0        53618 Bytes  06.05.2010 10:03:09
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL    : 10.0.3.2      44904 Bytes  30.06.2011 19:17:07
AVREP.DLL      : 10.0.0.10    174120 Bytes  18.05.2011 19:09:37
AVARKT.DLL    : 10.0.26.1    255336 Bytes  30.06.2011 19:17:06
AVEVTLOG.DLL  : 10.0.0.9      203112 Bytes  30.06.2011 19:17:07
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  30.06.2011 19:17:04
RCTEXT.DLL    : 10.0.64.0      98664 Bytes  30.06.2011 19:17:04

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 15. Februar 2012  08:25

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\bind
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\route
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\export
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\bind
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\route
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\export
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\bind
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\route
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\export
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\bind
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\route
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\export
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\bind
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\route
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\export
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\bind
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\route
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\export
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\bind
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\route
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\export
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'consent.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil10e.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPOWER_DMC.EXE' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'ENMTRAY.EXE' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'StikyNot.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '171' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '509' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Mittwoch, 15. Februar 2012  09:14
Benötigte Zeit: 48:51 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  18465 Verzeichnisse wurden überprüft
 345823 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 345823 Dateien ohne Befall
  3347 Archive wurden durchsucht
      0 Warnungen
    21 Hinweise
 354668 Objekte wurden beim Rootkitscan durchsucht
    21 Versteckte Objekte wurden gefunden


Meine Frage ist nun: Ist mein PC wieder sauber, oder versteckt sich der Trojaner einfach und wird über kurz oder lang erneut aktiv? Falls ja, was muss ich tun, um ihn endgültig zu entfernen? Würde es reichen, Firefox zu löschen und neu zu installieren?

Ich danke euch für eure Hilfe.

cosinus 15.02.2012 13:48
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

elFreddo 16.02.2012 01:46
Hey Arne,

danke erstmal für deine schnelle Antwort! Ich hab Malwarebytes und ESET nach deinen Anweisungen laufen lassen, beide haben nichts gefunden. Hier die Logs, zuerst das von Malwarebytes:

Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.15.03

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Frik :: RUSALKA [Administrator]

15.02.2012 20:46:37
mbam-log-2012-02-15 (20-46-37).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 259832
Laufzeit: 54 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

...und hier ESET's Meldung:

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
...ich hoffe, das heißt, dass tatsächlich alles frei ist - bin aber gespannt auf deine Antwort.
Eine inhaltliche Frage zu Trojanern an dieser Stelle - du kannst mich aber gerne auf einen anderen Thread verweisen, wenn das hier den Rahmen sprengt - sitzen die "auf der Lauer" an bestimmten Stellen des befallenen Systems und werden nur bei bestmmten Abläufen aktiv? Und könnte das heißen, dass trotz der scheinbaren Sauberkeit alles von vorn losgeht, falls ich den Firefox wieder starte?

Vielen Dank, bis bald

cosinus 16.02.2012 13:24
Anleitung nicht gelesen...

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131