Hallo Forum,
ich habe gestern die oben genannten Trojaner per Antivir entdeckt. Als Laie habe ich erstmal ganz primitiv versucht, sie durch den Echtzeitscanner zu entfernen (was natürlich nicht geklappt hat) :daumenrunter:
Hier der Report, den Antivir anzeigt:
Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 11. Juni 2012 15:17
Es wird nach 3814688 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TINAA
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 15:39:44
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 15:39:44
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 15:39:44
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 15:39:44
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 19:46:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 15:30:14
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 15:52:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 07:21:51
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 19:45:59
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 19:46:00
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 19:46:00
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 19:46:00
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 19:46:00
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 19:46:00
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 19:46:00
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 19:46:00
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 19:46:00
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 18:34:12
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 10:43:32
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 15:48:32
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 09:52:58
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 16:54:35
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 18:36:55
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 13:36:07
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 17:36:05
VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 17:41:30
VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 17:41:31
VBASE024.VDF : 7.11.32.86 2048 Bytes 08.06.2012 17:41:31
VBASE025.VDF : 7.11.32.87 2048 Bytes 08.06.2012 17:41:31
VBASE026.VDF : 7.11.32.88 2048 Bytes 08.06.2012 17:41:31
VBASE027.VDF : 7.11.32.89 2048 Bytes 08.06.2012 17:41:31
VBASE028.VDF : 7.11.32.90 2048 Bytes 08.06.2012 17:41:32
VBASE029.VDF : 7.11.32.91 2048 Bytes 08.06.2012 17:41:32
VBASE030.VDF : 7.11.32.92 2048 Bytes 08.06.2012 17:41:32
VBASE031.VDF : 7.11.32.116 77824 Bytes 10.06.2012 21:56:01
Engineversion : 8.2.10.80
AEVDF.DLL : 8.1.2.8 106867 Bytes 02.06.2012 13:36:22
AESCRIPT.DLL : 8.1.4.24 450939 Bytes 02.06.2012 13:36:21
AESCN.DLL : 8.1.8.2 131444 Bytes 28.01.2012 20:13:38
AESBX.DLL : 8.2.5.10 606580 Bytes 29.05.2012 16:56:57
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.16 807288 Bytes 29.05.2012 16:56:32
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 02.05.2012 12:48:18
AEHEUR.DLL : 8.1.4.36 4874615 Bytes 02.06.2012 13:36:20
AEHELP.DLL : 8.1.21.0 254326 Bytes 10.05.2012 19:46:03
AEGEN.DLL : 8.1.5.28 422260 Bytes 02.05.2012 12:48:12
AEEXP.DLL : 8.1.0.44 82293 Bytes 29.05.2012 16:57:00
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.10 201080 Bytes 02.06.2012 13:36:10
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 15:39:43
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 15:39:44
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 15:39:44
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 15:39:43
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 15:39:44
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 15:39:44
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 15:39:44
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 15:39:44
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 15:39:43
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 15:39:43
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4fd5ee75\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Montag, 11. Juni 2012 15:17
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSPPSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@'
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/Sirefef.AG.35
Beginne mit der Suche in 'C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@'
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
Beginne mit der Desinfektion:
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/Sirefef.AG.35
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Montag, 11. Juni 2012 15:17
Benötigte Zeit: 00:00 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
53 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
51 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Ich bin dann auf dieses Forum gestoßen und habe gelesen, man solle die Trojaner mit Malwarebytes entfernen. Ich habe also das Programm heruntergeladen, aktualisiert und nach der Anleitung einen Suchlauf gemacht.
Wie erwartet wurden wieder die beiden (und ein Paar andere ???) gefunden, die ich dann ausgewählt und entfernt habe (ich bin mir nicht sicher, ob ich hier evtl. einen Fehler gemacht habe). Nachdem ich den PC neu gestartet habe und einen neuen Suchlauf durchgeführt habe, waren die Trojaner aber wieder da (wenn auch nicht alle).
Hier erstmal der erste Report:
Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.06.11.04
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Tina :: TINAA [Administrator]
11.06.2012 15:00:51
mbam-log-2012-06-11 (15-00-51).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191238
Laufzeit: 6 Minute(n), 26 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\Tina\AppData\Local\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 5
C:\Users\Tina\AppData\Local\Temp\msimg32.dll (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\n (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
Der zweite Suchlauf (nach Neustart) ergab folgendes:
Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.06.11.04
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Tina :: TINAA [Administrator]
11.06.2012 15:34:19
mbam-log-2012-06-11 (15-34-19).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191132
Laufzeit: 5 Minute(n), 31 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
Mir ging dann die Zeit aus, weil ich zur Uni musste. Als ich heute wieder anschaltete, zeigte der Antivir Guard gleich wieder die Trojaner an, sie sind also nach wie vor irgendwo auf dem PC.
Gerade eben habe ich einen weiteren Suchlauf mit Malwarebytes gestartet, damit ihr auf dem neusten Stand seid.
Wie erwatet mit dem gleichen Ergebnis... :schrei:
Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.06.12.05
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Tina :: TINAA [Administrator]
12.06.2012 17:42:59
mbam-log-2012-06-12 (17-42-59).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 302748
Laufzeit: 1 Stunde(n), 2 Minute(n), 41 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
edit: Da steht zwar erfolgreich gelöscht, wenn ich neu gestartet habe, sind sie aber wieder da :-(
Symptome:
- der PC ist ziemlich langsam
- Neustart dauert ewig!!
- Beim Neustart sind die Desktop-Symbole sehr groß
- Programme schließen sich ab und zu, ohne dass ich etwas gemacht hätte
- Adobe Reader und Adobe Flash Player: Es öffnen sich unvermittelt diese Fenster, wo ich als Administrator zustimmen muss, dass Änderungen an der Festplatte durchgeführt werden. Wenn ich die schließe oder auf "nein" klicke, öffnen sie sich automatisch wieder und wieder. Die kann ich dann weder im Task Manager noch irgendwo anders schließen.
Noch etwas: Neulich hatte ich einen sehr garstigen Virus, der ebenfalls durch "Adobe" bzw. als Adobe getarnt rein kam. Damals noch blauäugig ließ ich Adobe die Änderungen vornehmen, sofort öffneten sich an die 100 Fenster auf dem Desktop. Ich konnte nichts tun bis der PC abstürzte und neu startete. Wieder hochgefahren (wenn man das so nennen kann) lud ein gefakter Desktop: Andere Symbole als meine, ein offensichtlich gefaktes Antivir zeigte mir sehr viele (immer unterschiedlich) Virenmeldungen. Wenn ich versuchte dieses Antivir zu beenden (egal wie) wurde ein automatischer Neustart eingeleitet und der Spaß ging von vorn los. Nur durch einen guten Freund konnte ich ein Paar wichtige Daten retten, danach mussten wir den PC komplett formatieren! Kann das noch einen Einfluss haben??
Ich hoffe mein Bericht ist ausführlich genug und ihr könnt mir weiterhelfen!
Danke schonmal im Voraus!
:dankeschoen:
Tina
