Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojanische Pferd TR/Kazy.7972.6 (https://www.trojaner-board.de/95243-trojanische-pferd-tr-kazy-7972-6-a.html)

kevinleroy 31.01.2011 12:28

Trojanische Pferd TR/Kazy.7972.6
 
Hi zusammen,

Avira hat letztens bei mir am Rechner folgenden Virus gefunden.

Trojanische Pferd TR/Kazy.7972.6

Code:


Premium Security Suite
Erstellungsdatum der Reportdatei: Mittwoch, 26. Januar 2011  16:15

Es wird nach 2426144 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Kevin Walter
Seriennummer  : 2212375322-ISECE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : KEVIN2

Versionsinformationen:
BUILD.DAT      : 10.0.0.582    42921 Bytes  13.12.2010 09:25:00
AVSCAN.EXE    : 10.0.3.5      435368 Bytes  26.01.2011 14:55:38
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  26.01.2011 14:55:38
LUKE.DLL      : 10.0.3.2      104296 Bytes  26.01.2011 14:55:54
LUKERES.DLL    : 10.0.0.0      13672 Bytes  26.01.2011 14:55:54
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 14:55:13
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 14:55:22
VBASE002.VDF  : 7.11.0.1        2048 Bytes  14.12.2010 14:55:22
VBASE003.VDF  : 7.11.0.2        2048 Bytes  14.12.2010 14:55:22
VBASE004.VDF  : 7.11.0.3        2048 Bytes  14.12.2010 14:55:22
VBASE005.VDF  : 7.11.0.4        2048 Bytes  14.12.2010 14:55:22
VBASE006.VDF  : 7.11.0.5        2048 Bytes  14.12.2010 14:55:22
VBASE007.VDF  : 7.11.0.6        2048 Bytes  14.12.2010 14:55:22
VBASE008.VDF  : 7.11.0.7        2048 Bytes  14.12.2010 14:55:22
VBASE009.VDF  : 7.11.0.8        2048 Bytes  14.12.2010 14:55:22
VBASE010.VDF  : 7.11.0.9        2048 Bytes  14.12.2010 14:55:23
VBASE011.VDF  : 7.11.0.10      2048 Bytes  14.12.2010 14:55:23
VBASE012.VDF  : 7.11.0.11      2048 Bytes  14.12.2010 14:55:23
VBASE013.VDF  : 7.11.0.52    128000 Bytes  16.12.2010 14:55:23
VBASE014.VDF  : 7.11.0.91    226816 Bytes  20.12.2010 14:55:23
VBASE015.VDF  : 7.11.0.122    136192 Bytes  21.12.2010 14:55:23
VBASE016.VDF  : 7.11.0.156    122880 Bytes  24.12.2010 14:55:23
VBASE017.VDF  : 7.11.0.185    146944 Bytes  27.12.2010 14:55:24
VBASE018.VDF  : 7.11.0.228    132608 Bytes  30.12.2010 14:55:24
VBASE019.VDF  : 7.11.1.5      148480 Bytes  03.01.2011 14:55:24
VBASE020.VDF  : 7.11.1.37    156672 Bytes  07.01.2011 14:55:24
VBASE021.VDF  : 7.11.1.65    140800 Bytes  10.01.2011 14:55:25
VBASE022.VDF  : 7.11.1.87    225280 Bytes  11.01.2011 14:55:25
VBASE023.VDF  : 7.11.1.124    125440 Bytes  14.01.2011 14:55:25
VBASE024.VDF  : 7.11.1.155    132096 Bytes  17.01.2011 14:55:25
VBASE025.VDF  : 7.11.1.189    451072 Bytes  20.01.2011 14:55:26
VBASE026.VDF  : 7.11.1.230    138752 Bytes  24.01.2011 14:55:26
VBASE027.VDF  : 7.11.1.231      2048 Bytes  24.01.2011 14:55:26
VBASE028.VDF  : 7.11.1.232      2048 Bytes  24.01.2011 14:55:26
VBASE029.VDF  : 7.11.1.233      2048 Bytes  24.01.2011 14:55:26
VBASE030.VDF  : 7.11.1.234      2048 Bytes  24.01.2011 14:55:26
VBASE031.VDF  : 7.11.1.252    100864 Bytes  26.01.2011 14:55:26
Engineversion  : 8.2.4.150
AEVDF.DLL      : 8.1.2.1      106868 Bytes  26.01.2011 14:55:30
AESCRIPT.DLL  : 8.1.3.52    1282426 Bytes  26.01.2011 14:55:30
AESCN.DLL      : 8.1.7.2      127349 Bytes  26.01.2011 14:55:30
AESBX.DLL      : 8.1.3.2      254324 Bytes  26.01.2011 14:55:30
AERDL.DLL      : 8.1.9.2      635252 Bytes  26.01.2011 14:55:30
AEPACK.DLL    : 8.2.4.8      512374 Bytes  26.01.2011 14:55:29
AEOFFICE.DLL  : 8.1.1.15      205178 Bytes  26.01.2011 14:55:29
AEHEUR.DLL    : 8.1.2.68    3178870 Bytes  26.01.2011 14:55:29
AEHELP.DLL    : 8.1.16.0      246136 Bytes  26.01.2011 14:55:27
AEGEN.DLL      : 8.1.5.2      397683 Bytes  26.01.2011 14:55:27
AEEMU.DLL      : 8.1.3.0      393589 Bytes  26.01.2011 14:55:27
AECORE.DLL    : 8.1.19.2      196983 Bytes  26.01.2011 14:55:27
AEBB.DLL      : 8.1.1.0        53618 Bytes  26.01.2011 14:55:27
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  26.01.2011 14:54:55
AVPREF.DLL    : 10.0.0.0      44904 Bytes  26.01.2011 14:55:38
AVREP.DLL      : 10.0.0.8      62209 Bytes  26.01.2011 14:55:38
AVREG.DLL      : 10.0.3.2      53096 Bytes  26.01.2011 14:55:38
AVSCPLR.DLL    : 10.0.3.2      84328 Bytes  26.01.2011 14:55:38
AVARKT.DLL    : 10.0.22.6    231784 Bytes  26.01.2011 14:55:32
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  26.01.2011 14:55:33
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  26.01.2011 14:55:56
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  26.01.2011 14:55:39
NETNT.DLL      : 10.0.0.0      11624 Bytes  26.01.2011 14:55:54
RCIMAGE.DLL    : 10.0.0.32    2899304 Bytes  26.01.2011 14:54:57
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  26.01.2011 14:54:57

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 26. Januar 2011  16:15

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-4250542121-1951948250-2106750951-1005\Software\SecuROM\License information\datasecu
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-4250542121-1951948250-2106750951-1005\Software\SecuROM\License information\rkeysecu
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wuauclt.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'MGSysCtrl.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSIService.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '173' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1032' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Kevin\Eigene Dateien\Downloads\video.exe
    [FUND]      Ist das Trojanische Pferd TR/Kazy.7972.6

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Kevin\Eigene Dateien\Downloads\video.exe
    [FUND]      Ist das Trojanische Pferd TR/Kazy.7972.6
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4730f48f.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 26. Januar 2011  17:45
Benötigte Zeit:  1:18:08 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  6038 Verzeichnisse wurden überprüft
 284758 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 284757 Dateien ohne Befall
  8109 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 321779 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden

Was kann/soll/muss ich dagegen tun??

Vielen Dank für eure Hilfe

Gruß

Kevin

cosinus 31.01.2011 22:06

Hatten wir diesen Kandidaten nicht bei der bereinigung neulich? Was hast du da runtergeladen als video.exe? :wtf:

kevinleroy 31.01.2011 22:18

Keine Ahnung, ich Lade mit dem rechner Eig. Nix runter...benutze den nur unterwegs. Was soll ich machen??

cosinus 31.01.2011 22:40

Wieso hast du die video.exe im letzten Strang nicht schon gelöscht?

kevinleroy 31.01.2011 22:52

Wie meinst du das? Muss ich die Datei nur löschen und das war's ???

cosinus 01.02.2011 10:06

Ja wieso hast du das im letzten Strang nicht schon gemacht? :balla:
Wir haben da den Rechner doch schon bereinigt oder ist das ein andere Rechner?

kevinleroy 01.02.2011 10:21

Das Is ein anderer Rechner...

cosinus 01.02.2011 12:26

Und du kannst dir nicht erklären, wie die video.exe da reinkommt? Das ist der Ordner, indem üblicherweise manuell angestoßene Downloads landen.

Wie auch immer, mach einen Vollscan mit Mlawarebytes. Poste alle vorhandenen Logs, falls es mehrere gibt. Ich denke das kennst du ja schon vom anderen PC ;)

kevinleroy 03.02.2011 13:57

Code:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5666

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

03.02.2011 13:55:15
mbam-log-2011-02-03 (13-55-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|Z:\|)
Durchsuchte Objekte: 191266
Laufzeit: 40 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


cosinus 03.02.2011 14:07

Und meine Frage kannst du nicht beantworten?

kevinleroy 03.02.2011 14:25

OK, ist alles in Ordnung nehm ich an?!

Gruß

cosinus 03.02.2011 16:18

Kannst du nun meine Frage beanworten oder nicht? Es geht um die Herkunft der video.exe!!
Die steht nicht ohne Grund im Ordner Downloads, der für manuelle Downloads da ist!!

kevinleroy 03.02.2011 16:29

Nein, ich hab keine Ahnung woher die Datei ist. In dem Ordner befindet sie sich auch auch nicht...


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131