AVIRA findet 4 unerwünschte Programme TR/Kazy.evrfa TR/Rogue.AI.1030 BDS/Androm.lrds

Jackomo · 11.01.2014, 20:55

Hallo,
ich habe heute meinem WIN7 (Ultimate 64Bit) PC routinemässig mit AVIRA Antivirus Suite 14.0.2.286 geprüft und bin einigermassen erschrocken, als AV 4 Funde gemeldet hat.

Ich habe AV und Malwarebytes immer aktiv, Updates erfolgen automatisch, daher frage ich mich wie die überhaupt auf den Rechner kommen konnten. Der Rechner ist ein BuchhaltungsPC und wird nicht für Spiele oder sonstigen Kram "missbraucht".
Ein Fehlverhalten, mit ausnahme von ganz selten mal sehr langen Bootzeiten hatte ich nicht beobachtet.

Das AV LogFile (unter "Berichte") ist seltsamerweise nicht vorhanden, AV fragt ob es neu erstellt werden soll, ist dann aber leer. !?

Aus den AV "Ereignissen" habe ich zumindest folg rauskopiert:

Code:

ATTFilter

Die Datei 'C:\Users\Ingrid\AppData\Local\Temp\tbaeVIMK.zip.part'
enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.evrfa' [trojan].
Durchgeführte Aktion(en):
Der Fund wurde als verdächtig eingestuft.
Eine Sicherungskopie wurde unter dem Namen 5a81acfd.qua erstellt ( QUARANTÄNE ).
Die Datei wurde gelöscht.

Die Datei 'C:\Users\Ingrid\AppData\Local\Temp\tu88G_OE.zip.part'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rogue.AI.10301' [trojan].
Durchgeführte Aktion(en):
Eine Sicherungskopie wurde unter dem Namen 422f8377.qua erstellt ( QUARANTÄNE ).
Die Datei wurde gelöscht.

Die Datei 'C:\Users\Ingrid\AppData\Local\Temp\V0b33b28.zip.part'
enthielt einen Virus oder unerwünschtes Programm 'BDS/Androm.lrds' [backdoor].
Durchgeführte Aktion(en):
Der Fund wurde als verdächtig eingestuft.
Eine Sicherungskopie wurde unter dem Namen 104ada5b.qua erstellt ( QUARANTÄNE ).
Die Datei wurde gelöscht.

Ich habe dann gemäss Eurer Anleitung Defogger FRST GMER laufen lassen, die Logs füge ich unten bei.

Was mir aufgefallen ist:
Als ich den DEFOGGER von der verlinkten Seite runterladen wollte bekam ich folg Meldung

Code:

ATTFilter

Beim Zugriff auf Daten der URL "hxxp://www.coolzipextractorapp.com/default/ga/si/?dl=1&ts=0&tschnl=FL_6&adnm=35962878982&i=s&grid=GreenL&lg=EN&cc=DE&clg=en&c=1&d=0&cid=_224685751&kw=zip%207%20download%20for%20windows%207&mt=&mn=filepony.de&ct=&nt=D&expr=&ap=none&dv=c&color=greenl&agid=_2660955346"
wurde ein Virus oder unerwünschtes Programm 'ADWARE/InstallCore.Gen7' [adware] gefunden.
Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

Warum ich beim Anklicken des downloads auf diese Seite umgeleitet wurde ? - keine Ahnung
Beim zweiten Versuch hat es geklappt.

Als ich nach den erfolgten durch die drei von Euch empfohlenen tools Scans, bevor ich das LAN wieder angesteckt habe, den AV Echtzeit Scanner wieder aktivieren wollte, bekam ich die Meldung, dass auf CCUAC.EXE wegen fehlender Berechtigungen nicht zugegriffen werden kann.
Ich wollte dann den PC Runterfahren, was nicht klappte, er blieb hängen. Nur noch Ausschalten hat geholfen. Bein Neustarten habe ich "Windows Normal Starten" ausgewählt, woraufhin der Rechner ca 15-20x gepiept hat. Danach wurde WIN7 gestartet. Auffällig war hier dass mich Windows zum Starten von AV nach Freigabe gefragt hat.

Ich schreib das nur, weil ich das bei AV nicht kenne.

Wäre echt dankbar wenn Ihr mir hier weiterhelfen könnt, insbesondere weil ich natürlich wissen möchte wie "gefährlich" das Ganze evtl. noch ist.
Werde wohl auch die Datensicherungen auf dem Server erst mal entsprechend als "verseucht" markieren.

Vielen Dank schon mal im Voraus

Jackomo

Die Logs waren zu gross, daher als ZIPs

AVIRA findet 4 unerwünschte Programme TR/Kazy.evrfa TR/Rogue.AI.1030 BDS/Androm.lrds

Log-Analyse und Auswertung: AVIRA findet 4 unerwünschte Programme TR/Kazy.evrfa TR/Rogue.AI.1030 BDS/Androm.lrds

AVIRA findet 4 unerwünschte Programme TR/Kazy.evrfa TR/Rogue.AI.1030 BDS/Androm.lrds

Ähnliche Themen: AVIRA findet 4 unerwünschte Programme TR/Kazy.evrfa TR/Rogue.AI.1030 BDS/Androm.lrds