Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Groupon: TR/Injector.aos

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 12.03.2013, 21:28   #1
hurse
 
Groupon: TR/Injector.aos - Standard

Groupon: TR/Injector.aos



Hallo,
Wir haben heute die berüchtigte Spam-Mail von "Groupon" bekommen, der Anhang wurde auch geöffnet und auch die Zip-Datei wurde versucht zu öffnen, ließ sich aber nicht öffnen.
Ich habe bereits Malwarebytes und Antivir durchlaufen lassen, lediglich Antivir fand die TR/Injector.aos in der Zip-Datei. Die Datei ist seitdem nicht mehr im Download-Ordner, Antivir hat sie wohl gelöscht (tut mir Leid dass sie sich nicht in Quarantäne befindet, ich habe nichts dergleichen nach dem Scan anklicken können, vielleicht ist Antivir falsch konfiguriert?). Wirkliche merkbare Symptome haben sich bislang nicht gezeigt.
Windows Version ist XP. Wir haben ein bischen Angst um unsere Passwörter, da meine Mutter diese auch gerne von Firefox speichern lässt.
Wie sollte ich weiter vorgehen?
Die Logs sind weiter unten zu finden.
PS: Ich habe dieses Thema heute bereits einmal erstellt, es allerdings oft editiert und so ist es arg unübersichtlich geworden, weswegen es gerne gelöscht werden darf

Grüße, hurse

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 12. März 2013  16:56

Es wird nach 5184955 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PCDELUXE

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  16.11.2012 18:54:49
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  09.05.2012 18:58:10
LUKE.DLL       : 12.3.0.15      68304 Bytes  09.05.2012 18:58:11
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 18:58:11
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 09:58:04
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 18:08:03
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 15:05:55
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 12:57:44
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:20:43
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 15:06:18
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 08:46:36
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 17:27:44
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 17:27:45
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 17:27:45
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 17:27:46
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 17:27:46
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 17:27:47
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 17:27:47
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 17:27:49
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 17:27:36
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 17:27:39
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 17:28:29
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 17:28:09
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 17:28:09
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 17:27:33
VBASE022.VDF   : 7.11.64.106  1510912 Bytes  11.03.2013 17:28:37
VBASE023.VDF   : 7.11.64.107     2048 Bytes  11.03.2013 17:28:37
VBASE024.VDF   : 7.11.64.108     2048 Bytes  11.03.2013 17:28:37
VBASE025.VDF   : 7.11.64.109     2048 Bytes  11.03.2013 17:28:37
VBASE026.VDF   : 7.11.64.110     2048 Bytes  11.03.2013 17:28:37
VBASE027.VDF   : 7.11.64.111     2048 Bytes  11.03.2013 17:28:37
VBASE028.VDF   : 7.11.64.112     2048 Bytes  11.03.2013 17:28:37
VBASE029.VDF   : 7.11.64.113     2048 Bytes  11.03.2013 17:28:37
VBASE030.VDF   : 7.11.64.114     2048 Bytes  11.03.2013 17:28:37
VBASE031.VDF   : 7.11.64.154   126976 Bytes  12.03.2013 15:54:27
Engineversion  : 8.2.12.14 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:59:40
AESCRIPT.DLL   : 8.1.4.96      471420 Bytes  08.03.2013 17:28:53
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 23:22:16
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 07:37:27
AERDL.DLL      : 8.2.0.88      643444 Bytes  16.01.2013 09:49:22
AEPACK.DLL     : 8.3.2.0       827767 Bytes  08.03.2013 17:28:52
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 17:28:52
AEHEUR.DLL     : 8.1.4.236    5833081 Bytes  08.03.2013 17:28:52
AEHELP.DLL     : 8.1.25.2      258423 Bytes  15.10.2012 10:59:05
AEGEN.DLL      : 8.1.6.16      434549 Bytes  25.01.2013 09:48:26
AEEXP.DLL      : 8.4.0.10      192886 Bytes  08.03.2013 17:28:53
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 19:59:39
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 17:28:10
AEBB.DLL       : 8.1.1.4        53619 Bytes  07.11.2012 13:44:53
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  09.05.2012 18:58:10
AVPREF.DLL     : 12.3.0.32      50720 Bytes  16.11.2012 18:54:49
AVREP.DLL      : 12.3.0.15     179208 Bytes  09.05.2012 18:58:11
AVARKT.DLL     : 12.3.0.33     209696 Bytes  16.11.2012 18:54:48
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  09.05.2012 18:58:10
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  09.05.2012 18:58:11
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  26.07.2012 07:35:47
NETNT.DLL      : 12.3.0.15      17104 Bytes  09.05.2012 18:58:11
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  26.07.2012 07:35:44
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  16.11.2012 18:54:46

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 12. März 2013  16:56

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'logon.scr' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsPMSPSv.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'DBService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWRISOVM.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'DSentry.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2045' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Finn Winter\Eigene Dateien\Downloads\Groupon GmbH AG Rechnung für Margarete Worthmann 07.03.2013.zip
  [0] Archivtyp: ZIP
  --> Rechnung Groupon GmbH AG.zip
      [1] Archivtyp: ZIP
    --> Rechnung Groupon GmbH AG.com
        [FUND]      Ist das Trojanische Pferd TR/Injector.aos
  [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\temp\Groupon GmbH AG Rechnung für Margarete Worthmann 07.03.2013.zip
  [0] Archivtyp: ZIP
  --> Rechnung Groupon GmbH AG.zip
      [1] Archivtyp: ZIP
    --> Rechnung Groupon GmbH AG.com
        [FUND]      Ist das Trojanische Pferd TR/Injector.aos
  [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Dienstag, 12. März 2013  18:16
Benötigte Zeit:  1:20:13 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   8396 Verzeichnisse wurden überprüft
 435945 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 435943 Dateien ohne Befall
   5263 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
 484587 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.12.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Finn Winter :: PCDELUXE [Administrator]

12.03.2013 19:09:45
mbam-log-2013-03-12 (19-09-45).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 262665
Laufzeit: 6 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Geändert von hurse (12.03.2013 um 21:42 Uhr)

 

Themen zu Groupon: TR/Injector.aos
.dll, administrator, antivir, autostart, avg, avira, csrss.exe, desktop, dllhost.exe, einstellungen, explorer.exe, firefox, gelöscht, lsass.exe, malwarebytes, microsoft, modul, programm, programme, prozesse, registry, scan, services.exe, svchost.exe, tr/injector.aos, winlogon.exe




Ähnliche Themen: Groupon: TR/Injector.aos


  1. Groupon Trojaner
    Log-Analyse und Auswertung - 30.03.2013 (28)
  2. Groupon Trojaner
    Log-Analyse und Auswertung - 26.03.2013 (9)
  3. Groupon Trojaner.
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (29)
  4. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (11)
  5. Groupon-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.03.2013 (10)
  6. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.03.2013 (16)
  7. Groupon Infektion 'TR/Injector.LW.6' 'TR/Jorik.Bublik.ca'
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (13)
  8. Groupon Trojaner-Bereinigung
    Log-Analyse und Auswertung - 14.03.2013 (72)
  9. 2x | Groupon Trojaner
    Mülltonne - 13.03.2013 (5)
  10. Groupon E-mail mit Virus
    Plagegeister aller Art und deren Bekämpfung - 13.03.2013 (36)
  11. Groupon Email
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (29)
  12. Groupon Nachricht mit Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (5)
  13. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (24)
  14. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.03.2013 (13)
  15. PUP.Dealio aus Groupon-Rechnung?
    Plagegeister aller Art und deren Bekämpfung - 08.03.2013 (1)
  16. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.03.2013 (5)
  17. TR/Drop.Injector.fonv.1, TR/Drop.Injector.fnus.1, EXP/2012-1723.DG.1
    Plagegeister aller Art und deren Bekämpfung - 23.08.2012 (17)

Zum Thema Groupon: TR/Injector.aos - Hallo, Wir haben heute die berüchtigte Spam-Mail von "Groupon" bekommen, der Anhang wurde auch geöffnet und auch die Zip-Datei wurde versucht zu öffnen, ließ sich aber nicht öffnen. Ich habe - Groupon: TR/Injector.aos...
Archiv
Du betrachtest: Groupon: TR/Injector.aos auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.