Trojaner-Board - Fund: BIT523B.tmp ist das Trojanische Pferd TR/Refroso.ekhd.3

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Fund: BIT523B.tmp ist das Trojanische Pferd TR/Refroso.ekhd.3 (https://www.trojaner-board.de/110573-fund-bit523b-tmp-trojanische-pferd-tr-refroso-ekhd-3-a.html)

Fund: BIT523B.tmp ist das Trojanische Pferd TR/Refroso.ekhd.3

Hallo TB-Team,

Mein Virenscanner (AVIRA FREE ANTIVIRUS 2012) hat nach dem Update am Samstag und anschließender Systemüberprüfung diesen Fund gemeldet:

Zitat:

Beginne mit der Suche in 'C:\' <Packard Bell>
C:\Windows\SoftwareDistribution\Download\2a126cd9b589f78768b01dcff6e2ab71\BIT523B.tmp
[FUND] Ist das Trojanische Pferd TR/Refroso.ekhd.3

Beginne mit der Desinfektion:
C:\Windows\SoftwareDistribution\Download\2a126cd9b589f78768b01dcff6e2ab71\BIT523B.tmp
[FUND] Ist das Trojanische Pferd TR/Refroso.ekhd.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48bfe8d6.qua' verschoben!

Anbei der vollständige AVIRA Free Antivirus 2012 Report:

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 26. Februar 2012 14:18

Es wird nach 3498519 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : JR-HP

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 15:02:17
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 15:02:16
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 15:02:17
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 15:02:18
AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 15:02:18
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:06:54
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 18:53:14
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 18:53:15
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 18:53:15
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 18:53:15
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 18:53:15
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 18:53:15
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 18:53:15
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 18:53:15
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 18:53:15
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 18:53:15
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 19:08:04
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 19:08:05
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 11:29:55
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 19:24:22
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 15:02:43
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 15:02:16
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 15:02:22
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 15:02:23
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 18:48:42
VBASE022.VDF : 7.11.23.225 2048 Bytes 23.02.2012 18:48:42
VBASE023.VDF : 7.11.23.226 2048 Bytes 23.02.2012 18:48:42
VBASE024.VDF : 7.11.23.227 2048 Bytes 23.02.2012 18:48:42
VBASE025.VDF : 7.11.23.228 2048 Bytes 23.02.2012 18:48:42
VBASE026.VDF : 7.11.23.229 2048 Bytes 23.02.2012 18:48:42
VBASE027.VDF : 7.11.23.230 2048 Bytes 23.02.2012 18:48:42
VBASE028.VDF : 7.11.23.231 2048 Bytes 23.02.2012 18:48:43
VBASE029.VDF : 7.11.23.232 2048 Bytes 23.02.2012 18:48:43
VBASE030.VDF : 7.11.23.233 2048 Bytes 23.02.2012 18:48:43
VBASE031.VDF : 7.11.24.6 80384 Bytes 24.02.2012 21:41:52
Engineversion : 8.2.10.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 14:11:22
AESCRIPT.DLL : 8.1.4.7 442746 Bytes 24.02.2012 21:41:54
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:49:43
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 09:11:30
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.3 799094 Bytes 11.02.2012 06:26:57
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 01.01.2012 14:26:17
AEHEUR.DLL : 8.1.4.0 4436342 Bytes 24.02.2012 21:41:54
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 15:26:29
AEGEN.DLL : 8.1.5.21 409971 Bytes 03.02.2012 19:08:06
AEEXP.DLL : 8.1.0.23 70005 Bytes 24.02.2012 21:41:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.4 201079 Bytes 13.02.2012 12:11:29
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 15:02:16
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +JOKE,+SPR,

Beginn des Suchlaufs: Sonntag, 26. Februar 2012 14:18

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD8Serv.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'VideoWebCamera.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'GameXNGO.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1310' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Packard Bell>
C:\Windows\SoftwareDistribution\Download\2a126cd9b589f78768b01dcff6e2ab71\BIT523B.tmp
[FUND] Ist das Trojanische Pferd TR/Refroso.ekhd.3

Beginne mit der Desinfektion:
C:\Windows\SoftwareDistribution\Download\2a126cd9b589f78768b01dcff6e2ab71\BIT523B.tmp
[FUND] Ist das Trojanische Pferd TR/Refroso.ekhd.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48bfe8d6.qua' verschoben!

Ende des Suchlaufs: Sonntag, 26. Februar 2012 15:50
Benötigte Zeit: 1:24:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

30926 Verzeichnisse wurden überprüft
938174 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
938173 Dateien ohne Befall
8203 Archive wurden durchsucht
0 Warnungen
1 Hinweise
693416 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Für Hilfe bei der Beseitigung und eine Einschätzung des Schadenspotentials wäre ich sehr dankbar, zumal der Rechner auch für Online Banking genutzt wird.

Ich lass jetzt erst einmal noch MBAM drüber laufen und poste den log im Anschluss.

Bis zu einer weiteren Lösung bleibt der Fund in Quarantäne.

Danke im Voraus, mfG

Zitat:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.28.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Jonathan Rupp :: JR-HP [Administrator]

28.02.2012 16:40:29
mbam-log-2012-02-28 (16-40-29).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 355173
Laufzeit: 1 Stunde(n), 15 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

hier noch das Ergebnis eines vollständigen MBAM Scans der keine weiteren Bedrohungen identifiziert hat. Die betroffene Datei bleibt in Quarantäne.

Wie soll ich weiter fortfahren?

Hier zudem der ESET Log auf dem Windows 7 System, 64-Bit-Version nach diesen Einstellungen:

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Haken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=384e8e1cd9edba4a954271780e96da54
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-29 05:42:35
# local_time=2012-02-29 06:42:35 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 61797820 61797820 0 0
# compatibility_mode=5893 16776573 100 94 111616 82161433 0 0
# compatibility_mode=8192 67108863 100 0 3718 3718 0 0
# scanned=181834
# found=0
# cleaned=0
# scan_time=5772

Soll ich den Fund aus der Avira Quarantäne löschen?

Ich wollte noch einmal nachfragen, ob derzeit einfach zu viele Anfragen kommen, oder ob dieser Thread doch untergegangen ist?

Mit freundlichen Grüßen

ich poste dann mal in den Erinnerungsthread...

Zitat:

C:\Windows\SoftwareDistribution\Download\2a126cd9b589f78768b01dcff6e2ab71\BIT523B.tmp

Das sieht mir nach einem Fehlalarm aus. MBAM und ESET haben ja auch nichts gefunden

Ist das hier in diesem Strang dein Zweitrechner? Im anderen hattest du nämlich einen Vista-PC => http://www.trojaner-board.de/110469-...-entdeckt.html

Hallo cosinus,

das ist mein Zweitrechner mit Windows 7, daher auch die 64bit Eingabe bei ESET. Bist du dir sicher mit einem Fehlalarm? Die Datei befindet sich ja wie gesagt jetzt in Quarantäne bei AVIRA und kann, wenn ich das richtig verstehe ja jetzt gelöscht werden?

Vielen Dank und schön, dass es doch noch geklappt hat.
mfG

Natürlich gibt es KEINE 100% Sicherheit aber die anderen Scanner wurden ja nicht fündig!
Sind denn überhaupt Probleme an diesem Rechner erkennbar außer dieser Funde?

Probleme gab es keine, aber ich wollte sichergehen. Den Fund selbst würden die anderen Scanner deiner Meinung nach auch finden, wenn er bereits in Quarantäne ist?

Danke

Überleg doch mal was QUARANTÄNE bedeutet!
Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Verstehe mich nicht falsch, was eine Quarantäne in medizinischer wie auch technischer Hinsicht bedeutet ist mir schon bewusst. Um den Schaden, der ja nicht mehr angerichtet werden kann mache ich mir auch keine Sorgen. Ich war nur nicht sicher, wo dieser Quarantäne Ordner sich letzlich auf der Festplatte befindet, und ob die Suchsoftware ihn dort dann noch erfasst.

Generell bin ich nur etwas verwundert, dass AVIRA in alten Dateien auf einmal und nach zig problemfreien Durchläufen etwas entdeckt, zumal du auch bei dem anderen Thread angedeutet hattest, dass es ggf. ein Fehlalarm ist.

Gerade die Benennung in Trojaner XY sorgt nicht gerade dafür, dass man eine Datei als Fund mit Merkmalen eines Trojanischen Pferdes begreift, und dies nicht zwangsläufig heißt, dass es wirklich Schadsoftware ist.

Danke aber soweit :)
Ich werde bei künftigen Updates immer mal wieder den Scanner über die datei laufen lassen und den Fund bei Entwarnung wiederherstellen.