| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Groupon: TR/Injector.aosWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.03.2013, 21:28
| #1 |
 |  Groupon: TR/Injector.aos Hallo, Wir haben heute die berüchtigte Spam-Mail von "Groupon" bekommen, der Anhang wurde auch geöffnet und auch die Zip-Datei wurde versucht zu öffnen, ließ sich aber nicht öffnen. Ich habe bereits Malwarebytes und Antivir durchlaufen lassen, lediglich Antivir fand die TR/Injector.aos in der Zip-Datei. Die Datei ist seitdem nicht mehr im Download-Ordner, Antivir hat sie wohl gelöscht (tut mir Leid dass sie sich nicht in Quarantäne befindet, ich habe nichts dergleichen nach dem Scan anklicken können, vielleicht ist Antivir falsch konfiguriert?). Wirkliche merkbare Symptome haben sich bislang nicht gezeigt. Windows Version ist XP. Wir haben ein bischen Angst um unsere Passwörter, da meine Mutter diese auch gerne von Firefox speichern lässt. Wie sollte ich weiter vorgehen? Die Logs sind weiter unten zu finden. PS: Ich habe dieses Thema heute bereits einmal erstellt, es allerdings oft editiert und so ist es arg unübersichtlich geworden, weswegen es gerne gelöscht werden darf  Grüße, hurse Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 12. März 2013 16:56
Es wird nach 5184955 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PCDELUXE
Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 16.11.2012 18:54:49
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 18:58:10
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 18:58:11
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 18:58:11
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 09:58:04
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 18:08:03
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 15:05:55
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 12:57:44
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:20:43
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 15:06:18
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 08:46:36
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:27:44
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:27:45
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:27:45
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:27:46
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:27:46
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 17:27:47
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 17:27:47
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 17:27:49
VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 17:27:36
VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 17:27:39
VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 17:28:29
VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 17:28:09
VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 17:28:09
VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 17:27:33
VBASE022.VDF : 7.11.64.106 1510912 Bytes 11.03.2013 17:28:37
VBASE023.VDF : 7.11.64.107 2048 Bytes 11.03.2013 17:28:37
VBASE024.VDF : 7.11.64.108 2048 Bytes 11.03.2013 17:28:37
VBASE025.VDF : 7.11.64.109 2048 Bytes 11.03.2013 17:28:37
VBASE026.VDF : 7.11.64.110 2048 Bytes 11.03.2013 17:28:37
VBASE027.VDF : 7.11.64.111 2048 Bytes 11.03.2013 17:28:37
VBASE028.VDF : 7.11.64.112 2048 Bytes 11.03.2013 17:28:37
VBASE029.VDF : 7.11.64.113 2048 Bytes 11.03.2013 17:28:37
VBASE030.VDF : 7.11.64.114 2048 Bytes 11.03.2013 17:28:37
VBASE031.VDF : 7.11.64.154 126976 Bytes 12.03.2013 15:54:27
Engineversion : 8.2.12.14
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 19:59:40
AESCRIPT.DLL : 8.1.4.96 471420 Bytes 08.03.2013 17:28:53
AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 23:22:16
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 07:37:27
AERDL.DLL : 8.2.0.88 643444 Bytes 16.01.2013 09:49:22
AEPACK.DLL : 8.3.2.0 827767 Bytes 08.03.2013 17:28:52
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:28:52
AEHEUR.DLL : 8.1.4.236 5833081 Bytes 08.03.2013 17:28:52
AEHELP.DLL : 8.1.25.2 258423 Bytes 15.10.2012 10:59:05
AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 09:48:26
AEEXP.DLL : 8.4.0.10 192886 Bytes 08.03.2013 17:28:53
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 19:59:39
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 17:28:10
AEBB.DLL : 8.1.1.4 53619 Bytes 07.11.2012 13:44:53
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 18:58:10
AVPREF.DLL : 12.3.0.32 50720 Bytes 16.11.2012 18:54:49
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 18:58:11
AVARKT.DLL : 12.3.0.33 209696 Bytes 16.11.2012 18:54:48
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 18:58:10
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 18:58:11
AVSMTP.DLL : 12.3.0.32 63480 Bytes 26.07.2012 07:35:47
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 18:58:11
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 26.07.2012 07:35:44
RCTEXT.DLL : 12.3.0.32 98848 Bytes 16.11.2012 18:54:46
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Dienstag, 12. März 2013 16:56
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'logon.scr' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsPMSPSv.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'DBService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWRISOVM.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'DSentry.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2045' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Finn Winter\Eigene Dateien\Downloads\Groupon GmbH AG Rechnung für Margarete Worthmann 07.03.2013.zip
[0] Archivtyp: ZIP
--> Rechnung Groupon GmbH AG.zip
[1] Archivtyp: ZIP
--> Rechnung Groupon GmbH AG.com
[FUND] Ist das Trojanische Pferd TR/Injector.aos
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Finn Winter\Lokale Einstellungen\temp\Groupon GmbH AG Rechnung für Margarete Worthmann 07.03.2013.zip
[0] Archivtyp: ZIP
--> Rechnung Groupon GmbH AG.zip
[1] Archivtyp: ZIP
--> Rechnung Groupon GmbH AG.com
[FUND] Ist das Trojanische Pferd TR/Injector.aos
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Dienstag, 12. März 2013 18:16
Benötigte Zeit: 1:20:13 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
8396 Verzeichnisse wurden überprüft
435945 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
435943 Dateien ohne Befall
5263 Archive wurden durchsucht
0 Warnungen
2 Hinweise
484587 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.03.12.07 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Finn Winter :: PCDELUXE [Administrator] 12.03.2013 19:09:45 mbam-log-2013-03-12 (19-09-45).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 262665 Laufzeit: 6 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Geändert von hurse (12.03.2013 um 21:42 Uhr) |
| Themen zu Groupon: TR/Injector.aos |
| .dll, administrator, antivir, autostart, avg, avira, csrss.exe, desktop, dllhost.exe, einstellungen, explorer.exe, firefox, gelöscht, lsass.exe, malwarebytes, microsoft, modul, programm, programme, prozesse, registry, scan, services.exe, svchost.exe, tr/injector.aos, winlogon.exe |
Baum-Darstellung