neuer TR? TR/Dldr.Sisdot

lodda nee nich der...

Hallöle,

bin neu hier und habe natürlich ein Problem mit einem TR.

Google findet unter dem o.g. Namen nur einen Treffer und der geht zu einer Liste von AntiVir auf der er nur unter vielen Anderen aufgelistet ist.

Die Suche im Forum hat leider gar keinen Treffer ergeben.

Der TR wirkt sich wie folgt aus:
Er öffnet selbstätig Fenster des IE die wie Windows Systemmeldungen aussehen. Die Meldungen fordern stets dazu auf eine bestimmte Software zur Virenbekämpfung zu installieren. Lehnt man dies ab, so werden weitere Fenster geöffnet, mit denen man auf Pornoseiten landet.

AntiVir hat erst mit dem ersten Öffnen eines Fensters den TR erkannt. Nach der Anweisung den TR zu löschen brachte AntiVir eine weitere Meldung, dass eine bestimmte .exe nicht zu finden sei. Dieses Spiel lief viermal hintereinander ab (wobei die exe jedesmal einen anderen Namen hatte) bevor der Spuck zu enden war.

In der Folge habe ich sofort ein Update meines AntiVir gemacht, den Rechner vom Netz getrennt und dann einen Scann aller ereiche vorgenommen. Dabei wurde in nur einem Bereich ein TR entdeckt, dass Protokoll dafür sieht so aus:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 23. April 2007 22:05

Es wird nach 748106 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Egal
Computername: ist nicht wichtig

Versionsinformationen:
BUILD.DAT : 244 14437 Bytes 16.04.2007 16:03:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 18:52:20
AVSCAN.DLL : 7.0.4.0 41000 Bytes 20.04.2007 18:52:20
LUKE.DLL : 7.0.4.11 143400 Bytes 20.04.2007 18:52:22
LUKERES.DLL : 7.0.4.0 10792 Bytes 20.04.2007 18:52:22
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:21:01
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 12:58:03
ANTIVIR2.VDF : 6.38.1.1 798720 Bytes 17.04.2007 18:48:21
ANTIVIR3.VDF : 6.38.1.26 101888 Bytes 23.04.2007 19:15:50
AVEWIN32.DLL : 7.4.0.14 2404864 Bytes 20.04.2007 18:52:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 18:52:20
AVPREF.DLL : 7.0.2.1 24616 Bytes 20.04.2007 18:52:20
AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 18:52:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 03.04.2007 11:39:54
AVREG.DLL : 7.0.1.2 31784 Bytes 20.04.2007 18:52:20
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 20.04.2007 18:52:18
AVARKT.DLL : 1.0.0.12 274472 Bytes 20.04.2007 18:52:15
NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 18:52:23
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 20.04.2007 18:52:06
RCTEXT.DLL : 7.0.45.0 86056 Bytes 20.04.2007 18:52:06

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Montag, 23. April 2007 22:05

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spider.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vwsrv.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\vwsrv.exe'
Durchsuche Prozess 'abc5014def.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'v7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSVNCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPAPI3s.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlmangr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcSync2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG511WLU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LAUNCH~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bmwebcfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'vwsrv.exe' wird beendet
C:\WINDOWS\system32\vwsrv.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Sisdot
[INFO] Die Datei wurde gelöscht.

Es wurden '55' Prozesse mit '54' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '36' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 23. April 2007 23:49
Benötigte Zeit: 1:44:45 min

Der Suchlauf wurde vollständig durchgeführt.

9236 Verzeichnisse wurden überprüft
626573 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
626571 Dateien ohne Befall
9725 Archive wurden durchsucht
2 Warnungen
1 Hinweise
0 Versteckte Objekte wurden gefunden


Trotz des angeblichen Löschens ist der TR weiter aktiv. Daraufhin habe ich heute Morgen AntiVir nochmals upgedatet, alle Temp und TempInternet Dateien gelöscht und einen weiteren Scann durch geführt, der zu keinem Ergebniss führte.

Auffällig ist aber das mein Rechner immer wieder das typische Klackgeräuch macht, dass sonst nur beim öffnen einer Webseite kommt und dies obwohl der IE gar nicht gestartet wurde.

Nach ca. 4 Stunden kam dann eine der zuvor beschriebenen Meldungen wieder. Auffällig war nur, dass diesmal nach dem Ablehnen der Aufforderung zum Download, keine Webseite geöffnet wurde.

Danach habe ich im "Task-Manager" alle Prozesse beendet die mir seltsam vorkamen. Seit dem ist zwar Ruhe aber ich befürchte, dass nach einem Neustart die Prozesse wieder laufen und das alte Problem erneut auftritt.

Frage:
Kennt wer den TR oder hat jemad Informationen darüber?

Vorab schon mal besten Dank.