Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Nochmal Groupon-Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 12.03.2013, 12:37   #1
hurse
 
Nochmal Groupon-Trojaner - Standard

Nochmal Groupon-Trojaner



Hallo trojaner-board,
Wir haben die Groupon-Spammail bekommen und meine Mutter hat laut eigener Aussage 3 mal auf den Anhang geklickt. Da die Google-Suche diesen Link http://www.trojaner-board.de/69886-a...-beachten.html ergab und uns hier schon einmal geholfen wurde (an dieser Stelle nochmals Dankeschön) eröffne ich dieses Thema.
Den defogger-Log werde ich hier posten sobald es fertig ist.
Gruß

edit: OK, defogger ist jetzt durchgelaufen, ich sah gerade aber, dass in dem Link steht:
"Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung."

Es kam weder eine Aufforderung zum Neustart, noch eine Fehlermeldung.
Heißt das ich muss jetzt garnichts posten sondern warten, bis mir jemand erlaubt auf Re-enable zu klicken?

edit 2: Habe gerade nochmal alles durchgelesen und das hier gesehen: "Am besten nichts selbst machen sondern Thema starten."
Habe auch den Schritt mit Malwarebytes übersehen, war wohl etwas übermotiviert :/
Werde ab jetzt immer auf Anweisungen warten.

Tut mir Leid, dass ich das Thema nochmal hochhole, ich konnte den Startpost nichtmehr editieren.
Ich habe gerade gesehen, dass der Link den ich zitiert habe schon sehr alt ist und dass Defogger in den neueren Threads zu dem Thema garnicht mehr vorkommt. Darf ich das Programm einfach wieder schließen? Es wird ja vehement davon abgeraten, das ohne Anweisung zu machen.

Zunächst einmal: Es tut mir wahnsinning Leid, dass das hier so unübersichtlich geworden ist. Habe den Defogger jetzt einfach beendet (inklusive Neustart). Dann habe ich Malwarebytes durchlaufen lassen, es gab jedoch keinen Treffer. Symptome sind soweit noch nicht aufgetreten, ausser dass die ZIP-Datei "Groupon AG Rechnung..." im Download Ordner ist. Ich werde jetzt noch einmal den Antivir Suchlauf machen.

Also, Antivir fand in der genannten Datei "Rechnung Groupon GmbH AG.com" den Trojaner "TR/Injector.aos". Soll ich den Log posten?

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 12. März 2013  16:56

Es wird nach 5184955 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PCDELUXE

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  16.11.2012 18:54:49
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  09.05.2012 18:58:10
LUKE.DLL       : 12.3.0.15      68304 Bytes  09.05.2012 18:58:11
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 18:58:11
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 09:58:04
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 18:08:03
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 15:05:55
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 12:57:44
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:20:43
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 15:06:18
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 08:46:36
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 17:27:44
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 17:27:45
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 17:27:45
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 17:27:46
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 17:27:46
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 17:27:47
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 17:27:47
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 17:27:49
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 17:27:36
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 17:27:39
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 17:28:29
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 17:28:09
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 17:28:09
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 17:27:33
VBASE022.VDF   : 7.11.64.106  1510912 Bytes  11.03.2013 17:28:37
VBASE023.VDF   : 7.11.64.107     2048 Bytes  11.03.2013 17:28:37
VBASE024.VDF   : 7.11.64.108     2048 Bytes  11.03.2013 17:28:37
VBASE025.VDF   : 7.11.64.109     2048 Bytes  11.03.2013 17:28:37
VBASE026.VDF   : 7.11.64.110     2048 Bytes  11.03.2013 17:28:37
VBASE027.VDF   : 7.11.64.111     2048 Bytes  11.03.2013 17:28:37
VBASE028.VDF   : 7.11.64.112     2048 Bytes  11.03.2013 17:28:37
VBASE029.VDF   : 7.11.64.113     2048 Bytes  11.03.2013 17:28:37
VBASE030.VDF   : 7.11.64.114     2048 Bytes  11.03.2013 17:28:37
VBASE031.VDF   : 7.11.64.154   126976 Bytes  12.03.2013 15:54:27
Engineversion  : 8.2.12.14 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:59:40
AESCRIPT.DLL   : 8.1.4.96      471420 Bytes  08.03.2013 17:28:53
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 23:22:16
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 07:37:27
AERDL.DLL      : 8.2.0.88      643444 Bytes  16.01.2013 09:49:22
AEPACK.DLL     : 8.3.2.0       827767 Bytes  08.03.2013 17:28:52
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 17:28:52
AEHEUR.DLL     : 8.1.4.236    5833081 Bytes  08.03.2013 17:28:52
AEHELP.DLL     : 8.1.25.2      258423 Bytes  15.10.2012 10:59:05
AEGEN.DLL      : 8.1.6.16      434549 Bytes  25.01.2013 09:48:26
AEEXP.DLL      : 8.4.0.10      192886 Bytes  08.03.2013 17:28:53
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 19:59:39
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 17:28:10
AEBB.DLL       : 8.1.1.4        53619 Bytes  07.11.2012 13:44:53
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  09.05.2012 18:58:10
AVPREF.DLL     : 12.3.0.32      50720 Bytes  16.11.2012 18:54:49
AVREP.DLL      : 12.3.0.15     179208 Bytes  09.05.2012 18:58:11
AVARKT.DLL     : 12.3.0.33     209696 Bytes  16.11.2012 18:54:48
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  09.05.2012 18:58:10
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  09.05.2012 18:58:11
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  26.07.2012 07:35:47
NETNT.DLL      : 12.3.0.15      17104 Bytes  09.05.2012 18:58:11
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  26.07.2012 07:35:44
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  16.11.2012 18:54:46

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 12. März 2013  16:56

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'logon.scr' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsPMSPSv.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'DBService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWRISOVM.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'DSentry.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2045' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Finn Winter\Eigene Dateien\Downloads\Groupon GmbH AG Rechnung für Margarete Worthmann 07.03.2013.zip
  [0] Archivtyp: ZIP
  --> Rechnung Groupon GmbH AG.zip
      [1] Archivtyp: ZIP
    --> Rechnung Groupon GmbH AG.com
        [FUND]      Ist das Trojanische Pferd TR/Injector.aos
  [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\temp\Groupon GmbH AG Rechnung für Margarete Worthmann 07.03.2013.zip
  [0] Archivtyp: ZIP
  --> Rechnung Groupon GmbH AG.zip
      [1] Archivtyp: ZIP
    --> Rechnung Groupon GmbH AG.com
        [FUND]      Ist das Trojanische Pferd TR/Injector.aos
  [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Dienstag, 12. März 2013  18:16
Benötigte Zeit:  1:20:13 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   8396 Verzeichnisse wurden überprüft
 435945 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 435943 Dateien ohne Befall
   5263 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
 484587 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.12.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Finn Winter :: PCDELUXE [Administrator]

12.03.2013 19:09:45
mbam-log-2013-03-12 (19-09-45).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 262665
Laufzeit: 6 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Diesen Thread bitte löschen!! Das ganze editieren und Nachträge machen ist völlig aus dem Ruder gelaufen, das tut mir auch Leid. Ich habe den Thread der Übersicht halber neu erstellt!

Geändert von hurse (12.03.2013 um 12:50 Uhr)

Alt 13.03.2013, 12:22   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nochmal Groupon-Trojaner - Standard

Nochmal Groupon-Trojaner



Hier gehts weiter => http://www.trojaner-board.de/132150-...ector-aos.html
__________________

__________________

Thema geschlossen

Themen zu Nochmal Groupon-Trojaner
.html, anhang, dankeschön, dllhost.exe, eigener, fertig, geholfen, groupon-trojaner, link, mutter, nochmals, poste, posten, sobald, stelle, troja, trojaner-board



Ähnliche Themen: Nochmal Groupon-Trojaner


  1. Groupon Virus/Trojaner
    Log-Analyse und Auswertung - 29.05.2013 (74)
  2. Groupon Trojaner
    Log-Analyse und Auswertung - 30.03.2013 (28)
  3. Groupon Trojaner
    Log-Analyse und Auswertung - 26.03.2013 (9)
  4. Groupon Trojaner.
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (29)
  5. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (11)
  6. Groupon Trojaner, die Hundertste...
    Plagegeister aller Art und deren Bekämpfung - 24.03.2013 (23)
  7. Groupon-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.03.2013 (10)
  8. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.03.2013 (16)
  9. Groupon Rechnung - versteckte Trojaner
    Log-Analyse und Auswertung - 15.03.2013 (16)
  10. Groupon Trojaner per Anhang geöffnet
    Log-Analyse und Auswertung - 15.03.2013 (11)
  11. Groupon AG Abrechnung - Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (2)
  12. Groupon Trojaner-Bereinigung
    Log-Analyse und Auswertung - 14.03.2013 (72)
  13. 2x | Groupon Trojaner
    Mülltonne - 13.03.2013 (5)
  14. Groupon Nachricht mit Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (5)
  15. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (24)
  16. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.03.2013 (13)
  17. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.03.2013 (5)

Zum Thema Nochmal Groupon-Trojaner - Hallo trojaner-board, Wir haben die Groupon-Spammail bekommen und meine Mutter hat laut eigener Aussage 3 mal auf den Anhang geklickt. Da die Google-Suche diesen Link http://www.trojaner-board.de/69886-a...-beachten.html ergab und uns hier - Nochmal Groupon-Trojaner...
Archiv
Du betrachtest: Nochmal Groupon-Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.