Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Infizierung mit TR/ATRAP.gen + System progressive Protektor (https://www.trojaner-board.de/125927-infizierung-tr-atrap-gen-system-progressive-protektor.html)

Blitzer 20.10.2012 12:22
Infizierung mit TR/ATRAP.gen + System progressive Protektor
 
Hallo Forum,
die Avira-Gratissoftware hat mir gestern die Infizierung mit TR/ATRAP.gen gemeldet.
Nach einem kompletten Systemscan und einem vermutlich erfolglosen Quarantäne-bzw. Löschversuch mit Avira erscheint auf dem Bildschirm ein Diagnosebild von "System Progressive Protektor". Es erscheint auch erneut nach Neustart des Rechners. Bis auf Outlook konnten ich keine weiteren Programme mehr starten. Danach habe ich den Rechner wieder runtergefahren und seitdem nicht mehr gestartet. Internetzugang habe ich momentan mit einem Mac Book.
Ich bitte um Eure Hilfe!

1) Wie soll ich zwecks PC-Säuberung und Datenrettung jetzt vorgehen? Nach der Anleitung "Malwarebytes Anti-Malware"?

2) Muß ich um mein Geld auf Kreditkarten- und Girokonto fürchten? Ich habe kürzlich bei ebay mittels Kreditkarte gezahlt; E-Banking mit dem Girokonto ist per SMS-TAN gesichert?

Wenn als erste Aktion auch die Datensicherung möglich ist, bin ich auch bereit den PC neu aufzusetzen. Ich bin mir nämlich nicht sicher, ob ich in der Lage bin die Arbeitsschritte der Anleitung korrekt auszuführen, will es aber gern versuchen.

cosinus 21.10.2012 12:59
Zitat:
die Avira-Gratissoftware hat mir gestern die Infizierung mit TR/ATRAP.gen gemeldet.
Schön und wo sind die Logs dazu? :confused:

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Blitzer 22.10.2012 09:26
Habe ich das so richtig gemacht? Bin etwas unsicher.
Die Software hat einen Neustart des Rechners verlangt, nachdem ich "Ausgewähltes entfernen" gedrückt hatte. Den Report habe ich vor einem Neustart kopiert.
Gruß Blitzer

ps: Ich bin vom Mittwoch 24.10. bis Mittwoch 31.10. im Urlaub. Was muß ich tun, damit ich in dieser Zeit wegen Inaktivität meinerseits nicht aus der Betreuung genommen werde? Ich habe was von 3 Tagen Reaktionszeit auf Antworten gelesen.

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.21.08

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Admin :: ANDREAS1 [Administrator]

Schutz: Deaktiviert

22.10.2012 09:32:22
mbam-log-2012-10-22 (09-32-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 271013
Laufzeit: 5 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4416D6BC548E059A0000441692AB0AE3\4416D6BC548E059A0000441692AB0AE3.exe (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-1229272821-1220945662-839522115-1004\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\4AB.tmp (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Andreas\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

cosinus 22.10.2012 11:32
Du solltest auch das Log von Avira posten

Blitzer 22.10.2012 14:20
Hallo,
diesen Suchlauf habe ich neu gemacht, das heißt nach dem Scan mit "Malwarebytes".
Code:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 22. Oktober 2012  12:57

Es wird nach 4375942 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Abgesicherter Modus mit Netzwerk Support
Benutzername  : Admin
Computername  : ANDREAS1

Versionsinformationen:
BUILD.DAT      : 12.0.0.1199    40869 Bytes  07.09.2012 22:14:00
AVSCAN.EXE    : 12.3.0.33    468472 Bytes  08.08.2012 16:50:21
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  08.05.2012 10:40:37
LUKE.DLL      : 12.3.0.15      68304 Bytes  08.05.2012 10:40:39
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 10:40:39
AVREG.DLL      : 12.3.0.17    232200 Bytes  11.05.2012 15:01:37
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 13:59:18
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 14:00:50
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 11:19:40
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 13:50:57
VBASE007.VDF  : 7.11.45.207  2363904 Bytes  11.10.2012 05:56:19
VBASE008.VDF  : 7.11.45.208    2048 Bytes  11.10.2012 05:56:19
VBASE009.VDF  : 7.11.45.209    2048 Bytes  11.10.2012 05:56:19
VBASE010.VDF  : 7.11.45.210    2048 Bytes  11.10.2012 05:56:19
VBASE011.VDF  : 7.11.45.211    2048 Bytes  11.10.2012 05:56:19
VBASE012.VDF  : 7.11.45.212    2048 Bytes  11.10.2012 05:56:20
VBASE013.VDF  : 7.11.45.213    2048 Bytes  11.10.2012 05:56:20
VBASE014.VDF  : 7.11.46.65    220160 Bytes  16.10.2012 13:30:01
VBASE015.VDF  : 7.11.46.153  173568 Bytes  18.10.2012 10:52:33
VBASE016.VDF  : 7.11.46.154    2048 Bytes  18.10.2012 10:52:33
VBASE017.VDF  : 7.11.46.155    2048 Bytes  18.10.2012 10:52:33
VBASE018.VDF  : 7.11.46.156    2048 Bytes  18.10.2012 10:52:33
VBASE019.VDF  : 7.11.46.157    2048 Bytes  18.10.2012 10:52:33
VBASE020.VDF  : 7.11.46.158    2048 Bytes  18.10.2012 10:52:33
VBASE021.VDF  : 7.11.46.159    2048 Bytes  18.10.2012 10:52:33
VBASE022.VDF  : 7.11.46.160    2048 Bytes  18.10.2012 10:52:34
VBASE023.VDF  : 7.11.46.161    2048 Bytes  18.10.2012 10:52:34
VBASE024.VDF  : 7.11.46.162    2048 Bytes  18.10.2012 10:52:34
VBASE025.VDF  : 7.11.46.163    2048 Bytes  18.10.2012 10:52:34
VBASE026.VDF  : 7.11.46.164    2048 Bytes  18.10.2012 10:52:34
VBASE027.VDF  : 7.11.46.165    2048 Bytes  18.10.2012 10:52:34
VBASE028.VDF  : 7.11.46.166    2048 Bytes  18.10.2012 10:52:34
VBASE029.VDF  : 7.11.46.167    2048 Bytes  18.10.2012 10:52:34
VBASE030.VDF  : 7.11.46.168    2048 Bytes  18.10.2012 10:52:34
VBASE031.VDF  : 7.11.46.216  152064 Bytes  19.10.2012 13:33:10
Engineversion  : 8.2.10.187
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 06:29:28
AESCRIPT.DLL  : 8.1.4.60      463227 Bytes  05.10.2012 12:06:59
AESCN.DLL      : 8.1.9.2      131444 Bytes  29.09.2012 06:35:50
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 06:26:27
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37
AEPACK.DLL    : 8.3.0.38      811382 Bytes  29.09.2012 06:35:49
AEOFFICE.DLL  : 8.1.2.48      201082 Bytes  25.09.2012 15:22:03
AEHEUR.DLL    : 8.1.4.118    5423480 Bytes  12.10.2012 05:56:26
AEHELP.DLL    : 8.1.25.2      258423 Bytes  12.10.2012 05:56:22
AEGEN.DLL      : 8.1.5.38      434548 Bytes  29.09.2012 06:35:44
AEEXP.DLL      : 8.2.0.6      115060 Bytes  12.10.2012 05:56:26
AEEMU.DLL      : 8.1.3.2      393587 Bytes  11.07.2012 06:29:27
AECORE.DLL    : 8.1.28.2      201079 Bytes  29.09.2012 06:35:43
AEBB.DLL      : 8.1.1.3        53621 Bytes  19.10.2012 10:52:35
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 10:40:37
AVPREF.DLL    : 12.3.0.15      51920 Bytes  08.05.2012 10:40:37
AVREP.DLL      : 12.3.0.15    179208 Bytes  08.05.2012 10:40:39
AVARKT.DLL    : 12.3.0.15    211408 Bytes  08.05.2012 10:40:37
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  08.05.2012 10:40:37
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  08.05.2012 10:40:39
AVSMTP.DLL    : 12.3.0.32      63480 Bytes  08.08.2012 16:50:21
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 10:40:39
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 16:50:17
RCTEXT.DLL    : 12.3.0.31    100088 Bytes  08.08.2012 16:50:17

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 22. Oktober 2012  12:57

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '6509' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POIbase\resource1036
  [WARNUNG]  Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmpinst.exe
  [WARNUNG]  Die Version dieses Archives wird nicht unterstützt
C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
  [WARNUNG]  Unerwartetes Dateiende erreicht
Beginne mit der Suche in 'D:\' <136/250 Part1 für Backups>
Beginne mit der Suche in 'E:\' <96/250 Part2 rungen>


Ende des Suchlaufs: Montag, 22. Oktober 2012  15:02
Benötigte Zeit:  2:04:55 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  9499 Verzeichnisse wurden überprüft
 326325 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 326325 Dateien ohne Befall
  2390 Archive wurden durchsucht
      3 Warnungen
      0 Hinweise
In der Zusammenfassung unter Warnungen gab es auch noch diese Meldung:

Code:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POIbase\resource1036
  [WARNUNG]  Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmpinst.exe
  [WARNUNG]  Die Version dieses Archives wird nicht unterstützt
C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
  [WARNUNG]  Unerwartetes Dateiende erreicht

cosinus 22.10.2012 15:42
Ich wollte aber das schon vorhandene Log sehen :wtf:

Blitzer 22.10.2012 15:51
ist das vorige Log noch irgendwo vorhanden?
Ich habe es nicht selbst abgespeichert.

cosinus 22.10.2012 15:56
Schau nach unter Berichte/Ereignisse

Blitzer 22.10.2012 16:12
so, ich hoffe das ist jetzt das richtige.

Code:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 19. Oktober 2012  23:12

Es wird nach 4375942 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : ANDREAS1

Versionsinformationen:
BUILD.DAT      : 12.0.0.1199    40869 Bytes  07.09.2012 22:14:00
AVSCAN.EXE    : 12.3.0.33    468472 Bytes  08.08.2012 16:50:21
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  08.05.2012 10:40:37
LUKE.DLL      : 12.3.0.15      68304 Bytes  08.05.2012 10:40:39
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 10:40:39
AVREG.DLL      : 12.3.0.17    232200 Bytes  11.05.2012 15:01:37
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 13:59:18
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 14:00:50
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 11:19:40
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 13:50:57
VBASE007.VDF  : 7.11.45.207  2363904 Bytes  11.10.2012 05:56:19
VBASE008.VDF  : 7.11.45.208    2048 Bytes  11.10.2012 05:56:19
VBASE009.VDF  : 7.11.45.209    2048 Bytes  11.10.2012 05:56:19
VBASE010.VDF  : 7.11.45.210    2048 Bytes  11.10.2012 05:56:19
VBASE011.VDF  : 7.11.45.211    2048 Bytes  11.10.2012 05:56:19
VBASE012.VDF  : 7.11.45.212    2048 Bytes  11.10.2012 05:56:20
VBASE013.VDF  : 7.11.45.213    2048 Bytes  11.10.2012 05:56:20
VBASE014.VDF  : 7.11.46.65    220160 Bytes  16.10.2012 13:30:01
VBASE015.VDF  : 7.11.46.153  173568 Bytes  18.10.2012 10:52:33
VBASE016.VDF  : 7.11.46.154    2048 Bytes  18.10.2012 10:52:33
VBASE017.VDF  : 7.11.46.155    2048 Bytes  18.10.2012 10:52:33
VBASE018.VDF  : 7.11.46.156    2048 Bytes  18.10.2012 10:52:33
VBASE019.VDF  : 7.11.46.157    2048 Bytes  18.10.2012 10:52:33
VBASE020.VDF  : 7.11.46.158    2048 Bytes  18.10.2012 10:52:33
VBASE021.VDF  : 7.11.46.159    2048 Bytes  18.10.2012 10:52:33
VBASE022.VDF  : 7.11.46.160    2048 Bytes  18.10.2012 10:52:34
VBASE023.VDF  : 7.11.46.161    2048 Bytes  18.10.2012 10:52:34
VBASE024.VDF  : 7.11.46.162    2048 Bytes  18.10.2012 10:52:34
VBASE025.VDF  : 7.11.46.163    2048 Bytes  18.10.2012 10:52:34
VBASE026.VDF  : 7.11.46.164    2048 Bytes  18.10.2012 10:52:34
VBASE027.VDF  : 7.11.46.165    2048 Bytes  18.10.2012 10:52:34
VBASE028.VDF  : 7.11.46.166    2048 Bytes  18.10.2012 10:52:34
VBASE029.VDF  : 7.11.46.167    2048 Bytes  18.10.2012 10:52:34
VBASE030.VDF  : 7.11.46.168    2048 Bytes  18.10.2012 10:52:34
VBASE031.VDF  : 7.11.46.216  152064 Bytes  19.10.2012 13:33:10
Engineversion  : 8.2.10.187
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 06:29:28
AESCRIPT.DLL  : 8.1.4.60      463227 Bytes  05.10.2012 12:06:59
AESCN.DLL      : 8.1.9.2      131444 Bytes  29.09.2012 06:35:50
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 06:26:27
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37
AEPACK.DLL    : 8.3.0.38      811382 Bytes  29.09.2012 06:35:49
AEOFFICE.DLL  : 8.1.2.48      201082 Bytes  25.09.2012 15:22:03
AEHEUR.DLL    : 8.1.4.118    5423480 Bytes  12.10.2012 05:56:26
AEHELP.DLL    : 8.1.25.2      258423 Bytes  12.10.2012 05:56:22
AEGEN.DLL      : 8.1.5.38      434548 Bytes  29.09.2012 06:35:44
AEEXP.DLL      : 8.2.0.6      115060 Bytes  12.10.2012 05:56:26
AEEMU.DLL      : 8.1.3.2      393587 Bytes  11.07.2012 06:29:27
AECORE.DLL    : 8.1.28.2      201079 Bytes  29.09.2012 06:35:43
AEBB.DLL      : 8.1.1.3        53621 Bytes  19.10.2012 10:52:35
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 10:40:37
AVPREF.DLL    : 12.3.0.15      51920 Bytes  08.05.2012 10:40:37
AVREP.DLL      : 12.3.0.15    179208 Bytes  08.05.2012 10:40:39
AVARKT.DLL    : 12.3.0.15    211408 Bytes  08.05.2012 10:40:37
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  08.05.2012 10:40:37
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  08.05.2012 10:40:39
AVSMTP.DLL    : 12.3.0.32      63480 Bytes  08.08.2012 16:50:21
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 10:40:39
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 16:50:17
RCTEXT.DLL    : 12.3.0.31    100088 Bytes  08.08.2012 16:50:17

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_5081c1b8\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 19. Oktober 2012  23:12

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '4416D6BC548E059A0000441692AB0AE3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\80000000.@'
C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '537a63fa.qua' verschoben!
Beginne mit der Suche in 'C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\800000cb.@'
C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bed4c5d.qua' verschoben!


Ende des Suchlaufs: Freitag, 19. Oktober 2012  23:12
Benötigte Zeit: 00:40 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    35 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    33 Dateien ohne Befall
      2 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise

cosinus 22.10.2012 16:27
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Blitzer 22.10.2012 17:46
Das ist der aktuelle scan von 17:15 Uhr:

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.22.04

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Admin :: ANDREAS1 [Administrator]

Schutz: Deaktiviert

22.10.2012 17:35:21
mbam-log-2012-10-22 (17-35-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 387322
Laufzeit: 45 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{830C47CB-D528-4FA8-A26E-EA00AEB24EDD}\RP1246\A0477974.exe (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
dieser ist von 9:46 Uhr (wurde von mir versehentlich gestartet)
Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.21.08

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Admin :: ANDREAS1 [Administrator]

Schutz: Deaktiviert

22.10.2012 09:46:26
mbam-log-2012-10-22 (09-46-26).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 271068
Laufzeit: 6 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Löschen bei Neustart.

(Ende)
dieser ist der erste von 09:32 Uhr

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.21.08

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Admin :: ANDREAS1 [Administrator]

Schutz: Deaktiviert

22.10.2012 09:32:22
mbam-log-2012-10-22 (09-32-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 271013
Laufzeit: 5 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4416D6BC548E059A0000441692AB0AE3\4416D6BC548E059A0000441692AB0AE3.exe (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-1229272821-1220945662-839522115-1004\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\4AB.tmp (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Andreas\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Dann gibts noch diese Datei in der Logdatei:

Code:
2012/10/22 12:48:06 +0200        ANDREAS1        Andreas        MESSAGE        Starting protection
2012/10/22 12:48:07 +0200        ANDREAS1        Andreas        MESSAGE        Protection started successfully
2012/10/22 12:48:07 +0200        ANDREAS1        Andreas        MESSAGE        Starting IP protection
2012/10/22 12:48:19 +0200        ANDREAS1        Andreas        MESSAGE        IP Protection started successfully

cosinus 23.10.2012 08:56
Du hast ein ZeroAccess im System, Bereinigung könnte man versuchen ist aber unsicher und du wickelst ja auch sensible Zahlungsvorgänge ab bzw. machst Onlinebanking mit diesem Rechner. Ich würde eine Neuinstallation den Vorzug geben :pfeiff:

Blitzer 23.10.2012 13:49
Zunächst mal vielen, vielen Dank für deine Hilfe!

Kann ich denn davon ausgehen, das meine persönlichen Daten nicht infiziert wurden?
Muß ich diesbezüglich noch was kontrollieren?

Wie müßte ich vorgehen, wenn ich eine Bereinigung versuche?
Bevor ich neu installiere, könnte ich das doch versuchen.
Oder liegt die Unsicherheit darin, daß man nach Bereinigung trotzdem nicht weiß ob der Rechner 100% sauber ist?

Melde mich erst mal ab.
Bin bis 31.10. im Urlaub.

cosinus 23.10.2012 20:13
Zitat:
Wie müßte ich vorgehen, wenn ich eine Bereinigung versuche?
Wenn du die versuchen willst - führe combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Blitzer 03.11.2012 11:59
Hallo Cosinus,
bin zurück aus dem Urlaub.

Soll ich vor der combofix- Anwendung eine Datensicherung vornehmen?

Ich habe einige persönliche Daten (Fotos, Office-Dateien) testweise geöffnet. Das war problemlos möglich.

Gruß
blitzer


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:51 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19