Windows7 - UptUpdater.exe, TR/Rogue.2715923 (in Logfiles: TR/Rogue.174117)

Hmoon · 02.10.2014, 15:00

Hallo zusammen,

sorry daß diese Meldung lang ist.
Ich habe seit Montagabend 29.Sept, alle 4 Minuten auf dem Laptop (Windows7) diese Meldung von Avira Freeware: Der Zugriff auf Datei C:\Windows\Temp\UptUpdater.exe wurde durch unerwünschte Programm/Virus TR/Rogue.2715923 blockiert. --> Habe jedes Mal auf "Entfernen" geklickt.

In Avira --> Ereignisse --> Doppelklick auf das Ereignis sieht man das:

Code:

ATTFilter

Die Datei 'C:\Windows\Temp\UptUpdater.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rogue.174117' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51695316.qua' verschoben!

Ausschnitt aus einer Logfile von Avira heute (kann bei Bedarf auch den ganzen Logfile einfügen):

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 2. Oktober 2014  13:11


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Antivirus Free
Seriennummer   : 0000149996-AVHOE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : HMOON-PC

Versionsinformationen:
BUILD.DAT      : 14.0.6.570     92022 Bytes  15.08.2014 10:30:00
AVSCAN.EXE     : 14.0.6.548   1046608 Bytes  08.08.2014 10:43:40
AVSCANRC.DLL   : 14.0.6.522     62544 Bytes  08.08.2014 10:43:40
LUKE.DLL       : 14.0.6.522     57936 Bytes  08.08.2014 10:43:56
AVSCPLR.DLL    : 14.0.6.548     92752 Bytes  08.08.2014 10:43:40
AVREG.DLL      : 14.0.6.522    262224 Bytes  08.08.2014 10:43:39
avlode.dll     : 14.0.6.526    603728 Bytes  08.08.2014 10:43:38
avlode.rdf     : 14.0.4.46      64835 Bytes  08.09.2014 13:40:27
XBV00010.VDF   : 8.11.165.190     2048 Bytes  07.08.2014 10:44:02
XBV00011.VDF   : 8.11.165.190     2048 Bytes  07.08.2014 10:44:02
XBV00012.VDF   : 8.11.165.190     2048 Bytes  07.08.2014 10:44:02
XBV00013.VDF   : 8.11.165.190     2048 Bytes  07.08.2014 10:44:02
XBV00014.VDF   : 8.11.165.190     2048 Bytes  07.08.2014 10:44:02
XBV00015.VDF   : 8.11.165.190     2048 Bytes  07.08.2014 10:44:03
XBV00016.VDF   : 8.11.165.190     2048 Bytes  07.08.2014 10:44:03
...
...
...

AEBB.DLL       : 8.1.2.0        60448 Bytes  08.08.2014 10:43:34
AVWINLL.DLL    : 14.0.6.522     24144 Bytes  08.08.2014 10:43:33
AVPREF.DLL     : 14.0.6.522     50256 Bytes  08.08.2014 10:43:39
AVREP.DLL      : 14.0.6.522    219216 Bytes  08.08.2014 10:43:39
AVARKT.DLL     : 14.0.5.368    226384 Bytes  03.07.2014 14:20:36
AVEVTLOG.DLL   : 14.0.6.522    182352 Bytes  08.08.2014 10:43:38
SQLITE3.DLL    : 14.0.6.522    452176 Bytes  08.08.2014 10:43:58
AVSMTP.DLL     : 14.0.6.522     76368 Bytes  08.08.2014 10:43:41
NETNT.DLL      : 14.0.6.522     13392 Bytes  08.08.2014 10:43:56
RCIMAGE.DLL    : 14.0.6.544   4863568 Bytes  08.08.2014 10:43:33
RCTEXT.DLL     : 14.0.6.558     76080 Bytes  21.08.2014 08:41:58

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_542c1c66\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: Reparieren
Sekundäre Aktion......................: Quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig

Beginn des Suchlaufs: Donnerstag, 2. Oktober 2014  13:11

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'CxAudMsg64.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsiwmis.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMutilps32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'GREGsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'mysqld.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOBuAgent.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RS_Service.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'SecMIPService.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'DashBoardS.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGService.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.OE.ServiceHost.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '231' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDCtrl.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerTray.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSOSYNC.EXE' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcerVCM.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSVNCache.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerEvent.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'SuiteTray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PmmUpdate.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDCtrlHelper.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnui.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'MMDx64Fx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.OE.Systray.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMworker.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'DebuggerDefaultFAT32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSVNCache.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil64_11_5_502_146_ActiveX.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\Temp\UptUpdater.exe'
C:\Windows\Temp\UptUpdater.exe
    [0] Archivtyp: Inno Setup
    --> {app}\{code:GPPN}
        [FUND]      Ist das Trojanische Pferd TR/Rogue.174117
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '514fa2c5.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 2. Oktober 2014  13:11
Benötigte Zeit: 00:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    996 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    995 Dateien ohne Befall
      5 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise

Vor der Meldungen von Avira, haben AdwCleaner und Malwarebytes einiges gefunden und gelöscht. Der Grund für diese Säuberungsaktion war ein falscher Download und viele Werbungen in Web und neue search-Seite (omiga-plus). Die Empfehlung für die Benutzung diese 2 Programme habe ich von chip.de (hxxp://praxistipps.chip.de/omiga-plus-virus-entfernen_32421) bekommen. Gestern habe ich mehrmals offline und online Scans mit Malwarebytes und Avira getrennt (eine am laufen) durchgeführt, wobei der Computer 2 Mal abstürzte, es kam blaue Screen, gefolgt mit schwarzen und automatische Fortsetzung von Windows.

Zwei Logfiles von Malwarebytes füge ich hierzu als Anhänge ein:
- MalwareBytes Logfile 29.09.2014 ist vor der Meldung von Avira über "TR/Rogue.2715923"
- MalwareBytes Logfile 01.10.2014 ist von danach

Ich kann noch ohne große Probleme (außer der Unterbrechungen durch Avira alle 4-5 Minuten und Systemprüfung danach) arbeiten.

Es gab noch eine Meldung in diesem Board, mit gleichem Problem "TR/Rogue.2715923" aber ich dürfte ja die Methoden dort nicht anwenden...

- Wie soll ich den Trojaner endgültig löschen?
- Soll ich bis dahin die Arbeiten die übers Internet gehen, möglichst über ein anderen Rechner erledigen?
- Kann ich den infizierte Laptop offline benutzen oder ist es auch gefährlich?
- Avira produziert fleißig Logfiles, soll ich die ältere löschen?

Danke schön für eure eventuelle Hilfe
Grüße, Hmoon

Windows7 - UptUpdater.exe, TR/Rogue.2715923 (in Logfiles: TR/Rogue.174117)

Log-Analyse und Auswertung: Windows7 - UptUpdater.exe, TR/Rogue.2715923 (in Logfiles: TR/Rogue.174117)

Windows7 - UptUpdater.exe, TR/Rogue.2715923 (in Logfiles: TR/Rogue.174117)

Ähnliche Themen: Windows7 - UptUpdater.exe, TR/Rogue.2715923 (in Logfiles: TR/Rogue.174117)