| bitshift | 23.07.2012 17:17 |
TR/Agent.AOXU und RKIT/Agent.depg.1
Avira Antivir meldete heute Morgen 2 Funde, ohne dass ich vorher einen Suchlauf gemacht habe.
TR/Agent.AOXU
AcroIEHelpe172.dll in dieser Datei befindet sich der Virus: RKIT/Agent.depg.1
Hab mit Malwarebytes Anti-Malware sofort den Ordner "Roaming" durchsucht in dem sich die 2 Viren befunden haben und die drei Dateien entfernt:
appconf32.exe (File) Backdoor.Agent
Run|Userinit (Registry Value) Backdoor.Agent
loaupdt.jpg (File) Extension.Mismatch Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.23.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
USER :: USER-PC [Administrator]
23.07.2012 07:00:48
mbam-log-2012-07-23 (07-00-48).txt
Art des Suchlaufs: Benutzerdefinierter Suchlauf (C:\Users\User\AppData\LocalLow|C:\Users\User\AppData\Roaming|C:\Users\User\AppData\Local|)
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 5914
Laufzeit: 6 Minute(n), 39 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Backdoor.Agent) -> Daten: C:\Users\User\AppData\Roaming\appconf32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 2
C:\Users\User\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Löschen bei Neustart.
C:\Users\User\AppData\Roaming\loaupdt.jpg (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
Im Ordner C:\Users\User\AppData\Roaming befinden sich immernoch verdächtige Dateien, die Malwarebytes nicht als Virus identifiziert hat:
AcroIEHelpe.txt (Änderungsdatum 23.07.2012)
appconf32.exe (Änderungsdatum 09.12.2008) so lange habe ich den Computer noch nicht
BAcroIEHelpe172.dll (Änderungsdatum 20.07.2012)
blckdom.res (Änderungsdatum 23.07.2012)
srvblck5.tmp (Änderungsdatum 20.07.2012)
Dann ein Komplett-Suchlauf mit Malwarebytes Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.23.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
USER :: USER-PC [Administrator]
23.07.2012 11:01:12
mbam-log-2012-07-23 (11-01-12).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 348653
Laufzeit: 2 Stunde(n), 26 Minute(n), 30 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\Users\User\Desktop\youtube\SoftonicDownloader_fuer_free-youtube-download.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\User\Desktop\youtube\SoftonicDownloader_fuer_youtube-downloader-hd-portable.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\User\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Löschen bei Neustart.
(Ende)
Danach habe ich neugestartet und zum Schluss noch den Computer von der Anti Bot CD 3.0 gestartet um nach infizierten Dateien zu suchen: "Es wurde keine Schadsoftware gefunden."
Keine Ahnung ob man für die Bootsektoren einen extra Suchlauf machen muss. | 