Kaspersky findet Trojaner, Malwarebytes aber nicht - löschen unmöglich!
 

Hallo zusammen!

Ich hoffe, Euer Forum kann mir helfen.

Ich habe den Kaspersky Internet Security 2011 installiert, der mir seit neuestem einige Malware-Bedrohungen anzeigt. Zwei davon, es handelt sich um "Trojan.Win32.AntiAV", haben die Bedrohungsstufe "hoch", aber ich kann den Kaspersky nicht dazu bringen, die Dinger zu desinfizieren :( Ich habe herausbekommen, dass die Datei im "ProgramFiles"-Ordner auf dem Laufwerk C sitzt.

Ein Besuch hier im Forum brachte als Hinweis, ich solle mal das Programm von Malwarebytes installieren und laufen lassen. Das habe ich gemacht.

Hier ein Log von gerade eben (Quick-Scan):
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4747

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

05.10.2010 18:40:13
mbam-log-2010-10-05 (18-40-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151915
Laufzeit: 14 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich finde es ungewöhnlich, daß Malwarebytes gar nichts findet. Ein kompletter Scan ist ebenfalls über den Ordner hinweggerutscht, in dem ich laut Kaspersky die Trojaner haben sollte.
Das Programm SpyHunter habe ich ebenfalls installiert und laufen lassen, der findet 67 Bedrohungen, aber keine mit dem Namen das Trojaners.

Was tun?! :confused:

Sorry für Push, aber

hat niemand einen Lösungsansatz für mich?

Braucht Ihr noch mehr Informationen?

Ich habe jetzt außerdem noch den SpyBot laufen lassen und einiger Bedrohungen entfernt. Der Trojaner aber ist nachwievor da.

Hi,

was wird wo gefunden?

Öffne Kapi, rechts oben Berichte, im sich öffnenden Fenster "Erkannte Bedrohungen", aufklappen und dort dann unter "Objekt"... Kannst auch über das Diskettensymbol speichern und dann hier posten...

chris

Ich habe insgesamt sieben Bedrohungen, davon die beiden Trojaner mit Einstufung "hoch".

Einen Bericht von Kaspersky habe ich erstellt und eingefügt.


Gefunden (7)
06.10.2010 09:38:27 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
28.07.2010 23:38:48 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Documents and Settings\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
29.07.2010 20:27:29 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Users\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
07.08.2010 16:59:42 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Dokumente und Einstellungen\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
06.10.2010 09:38:27 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\ProgramData\SEGA Corporation\Alpha Protocol:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
06.10.2010 09:38:27 Gefunden trojanisches Programm Trojan.Win32.AntiAV.had C:\Program Files\Common Files\Vbox\Common\vboxat.dll Hoch
06.10.2010 09:38:27 Gefunden trojanisches Programm Trojan.Win32.AntiAV.haf C:\Program Files\Common Files\Vbox\Common\vboxtb.dll Hoch

Hi,

Bitte folgende Files prüfen (f/p check):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Sehr gut, vielen Dank! Ich werde das gleich durchführen.

Erste frage aber schon: bei der Online-Überprüfung durch Virustotal bekomme ich wahnsinnig viele Ergebnisse, alles User Reports. Sind die mit dem Ergebnis gemeint? Oder wo finde ich das, was Ihr benötigt?

Als Beispiel die ersten fünf Ergebnisse, die Liste ist aber sehr lang:

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-20 03:42:13 (UTC)
BugBopper identifies this file as Virus.DOS.Internal.1381 More info: hxxp://BugBopper.com/MalwareInfo/MD5/93/932d8fa318d3e00222553e8df5a22c4e.asp
Tags: internal, 1381, common
d9f90fed7999165ecd1e263a479f9da582836e6c4779eae15019f48718c7bcd6
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-15 17:36:08 (UTC)
BugBopper identifies this file as Virus.BAT.Vr.b More info: hxxp://BugBopper.com/MalwareInfo/MD5/ab/ab76bb00f077a0a09f6a969073fe537e.asp
Tags: common, claud, batvir
0f7c9e1d31831ff8fbb2cb873aca9064eefe44a56cc414a6f0463a288a825f4d
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-15 14:26:00 (UTC)
BugBopper identifies this file as Virus.BAT.Vr.a More info: hxxp://BugBopper.com/MalwareInfo/MD5/fc/fc493b0b4d8a6d4bd80c05a45728491d.asp
Tags: common, a5d1, claud
bc74b0b7dd3d8e0a96abeef5629dbe80a41a90f9b3b4acc847fa75dce738a037
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-11 18:02:25 (UTC)
BugBopper identifies this file as W32/ProAgent More info: hxxp://BugBopper.com/MalwareInfo/MD5/63/6335bdb385ea51c9abb7718c660e0108.asp
Tags: proagent, progent, files
cb974fb42d1320f2e38af6d0356ddaf889bb594d8a54eed9efb801b56669e82a
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-14 19:51:11 (UTC)
BugBopper identifies this file as Trojan.Win32.VB.amd More info: hxxp://BugBopper.com/MalwareInfo/MD5/cd/cd5a8b0ca2c78f052d72ec8b8aa6a1e2.asp
Tags: files, panda, clicker
4db3346ba4596915b37d75206069ec42d79126a2627a8e74cc8a7df2ece96f1d

Hi,

nein, damit sind die Ergebnisse der einzelnen Scanner gemeint...
Hier ein Beispiel:
chris

Gut, danke. Allerdings sind es wirklich sehr viele Scanner - Du willst alle haben? Dann mal los... ;)

Das erscheint mir doch seltsam, deshalb habe ich nur die ersten fünf Ergebnisse kopiert. Ich hoffe, dass das reicht :killpc:

Den Fullscan vom Malwarebytes-Programm muss ich heute abend machen und dann morgen früh eventuell posten, ich muss gleich weg und will den PC nicht an lassen.

Danke Euch aber schon mal für die Hilfe :)

Hi,

äh, was für Files hast du prüfen lassen?
1268678594.internal.1381.exe
Eigentlich solltest Du die von Dateien
Die Du hast posten lassen und erkannt wurden löschen...

Lass unbedingt MAM laufen und poste das OTL-Log...

chris

Huch! Hm, dann erschließt sich Virustotal mir nicht so ganz.

Ich habe auf deren Website "Search" angeklickt und die Datei per copy/paste... aber jetzt sehe ich wohl, wo der Fehler lag :stirn:

Allerdings habe ich durchaus nach den Dateien per Durchsuchen gefahndet, aber nichts gefunden im angegebenen Verzeichnis :confused:

Hi,

werden die Dateien von Kapi beim suchen noch gefunden?

Welche Version von KIS ist das (11.0.1.400 (a.b))?
Ältere haben in der Richtung etwas "gesponnen", daher müssen wir die Dateien bevor wir was unternehmen, erst prüfen lassen!

chris

KIS-Version ist 11.0.0.232 (a,b,c), die Datenbanken sind aktuell.

Als Auffindedatum der Trojaner zeigt mir KIS immer das aktuelle Datum (also 6.10.) an. Malwarebyes ist auch jetzt beim vollständigen Scan wieder über den Ordner, in dem die infizierte Datei liegt, ohne Murren rübergegangen.

Hi,

neuste Version installieren von Kapi...

Poste unbedingt das OTL-Log...

Ich kann die Malware aus dem Verkehr ziehen (wenn es denn welche ist)...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Damit werde sie in die Quarantäne von OTL verschoben...

chris

Habe ich durchgeführt. Hier sind die Ergebnisse:

Hi,

auch OTL findet die Files nicht...
Installiere mal die neuste Version von Kapi...
Poste das normale OTL log...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

Sonst müssen wir von "aussen" suchen...

chris

Scheinbar hat es wirklich an einer veralteten KIS-Version gelegen.

Wie von Chris vorgeschlagen habe ich die neueste Version heruntergeladen und aufgespielt. Jetzt gerade habe ich den Compi neu gestartet und siehe da! Alle Malware verschwunden. Das dürfte wohl auch erklären, warum Malwarebytes, Spybot, Spyhunter, OTL und Virustotal nichts gefunden haben.

Chris, vielen lieben Dank für die Hilfe. Toll, dass Du Dir die Zeit genommen und die Mühe gemacht hast. Werde Euer Board weiter empfehlen!! :daumenhoch: