Trojaner TR/ATRAPS.Gen & Worm.P2P - brauche Hilfe...

TanjaK

Liebe Admins,

meine letzte Avira-Systemprüfung hat den Trojaner TR/ATRAPS.Gen an 2 Stellen zutage befördert. Ich habe ihn gelöscht und danach noch einen Scan mit Spybot durchgeführt, der keinen Befund zeigte. Doch irgendwie habe ich ein sehr schlechtes Gefühl und wäre Euch sehr dankbar, wenn Ihr Euch das einmal anschauen könntet. Zudem hat sich ein zusätzlicher (Wurm)-Befund ergeben.

Ich habe die Schritte 2a) bis 2d) aus Eurer Anleitung durchgeführt, folgendes ist dabei passiert:

- "CC-Cleaner" benutzt.
- "Malwarebytes" downgeloadet und nach Anleitung benutzt. Hier ergabe sich dann ein NEUER FUND: Worm.P2P. Habe ich gelöscht.
- "Hijackthis" downgeloadet und nach Anleitung benutzt.

Ich hänge Euch folgende Logfiles an:
1.) Avira mit dem Erstbefund
2.) Malwarebytes mit dem "neuen" Wurm
3.) Hijackthis (uninstall-List)
Ich hoffe, ich habe die für Euch relevanten Infos erwischt, liefere ansonsten natürlich gerne nach.

Meine Fragen:
- Sind die Biester jetzt erledigt?
- Kann ich noch etwas tun, damit ich sicher gehen kann? Ich bin darauf angewiesen, dass dieser Rechner "sauber" ist. Ich weiss, "plätten" ist immer die letzte Möglichkeit, aber da würde ich gerne erst mal Eure Meinung hören.
Was denkt Ihr?

VIELEN DANK IM VORAUS!
Tanja

Hier nun die Logfiles:

1.) Avira mit dem Erstbefund

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 11. Mai 2009 12:00

Es wird nach 1385880 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: TANJA-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 15:42:10
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 09:39:47
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 09:39:49
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 09:39:49
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:58:58
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 14:48:58
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 10:46:58
ANTIVIR3.VDF : 7.1.3.179 202752 Bytes 10.05.2009 17:50:14
Engineversion : 8.2.0.166
AEVDF.DLL : 8.1.1.1 106868 Bytes 08.05.2009 10:47:23
AESCRIPT.DLL : 8.1.1.81 385401 Bytes 09.05.2009 17:24:51
AESCN.DLL : 8.1.1.10 127348 Bytes 08.05.2009 10:47:20
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 21:28:57
AEPACK.DLL : 8.1.3.16 397686 Bytes 09.05.2009 17:24:50
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 16:08:03
AEHEUR.DLL : 8.1.0.128 1757559 Bytes 09.05.2009 17:24:49
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 16:07:59
AEGEN.DLL : 8.1.1.42 348531 Bytes 09.05.2009 17:24:45
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 12:53:35
AECORE.DLL : 8.1.6.9 176500 Bytes 08.05.2009 10:47:09
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 12:53:33
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 09:39:48
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 09:39:47
AVREP.DLL : 8.0.0.3 155688 Bytes 08.05.2009 10:47:03
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 09:39:47
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 16:42:48
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 09:39:47
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 16:42:48
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 09:39:50
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 16:42:48
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 09:39:44
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 09:39:44

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Program Files\Avira\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 11. Mai 2009 12:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FAMDBGE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil10a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarUser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ieuser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMail.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSwMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'web'n'walk Manager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AudibleDownloadHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HOMERunner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DesktopSMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOPI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TODDSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TNaviSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GtDetectSc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '79' Prozesse mit '79' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\Ulead Systems\DVD MovieFactory for TOSHIBA\Ulead DVD MovieFactory 5\mfSimulationService.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Program Files\Ulead Systems\DVD MovieFactory for TOSHIBA\Ulead DVD MovieFactory 5\umfCommon.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <Data>


Ende des Suchlaufs: Montag, 11. Mai 2009 12:49
Benötigte Zeit: 49:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

18295 Verzeichnisse wurden überprüft
253333 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
253329 Dateien ohne Befall
1674 Archive wurden durchsucht
2 Warnungen
2 Hinweise

2.) Malwarebytes mit dem "neuen" Wurm

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2108
Windows 6.0.6001 Service Pack 1

11.05.2009 15:16:39
mbam-log-2009-05-11 (15-16-39).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 181950
Laufzeit: 1 hour(s), 41 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


3.) Hijackthis (uninstall-List)


2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
Accessibility
Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.4 - Deutsch
Any Video Converter 2.7.2
Apple Mobile Device Support
Apple Software Update
Atheros Driver Installation Program
ATK Hotkey
Audible Download Manager
AudibleManager
Avanquest update
AVG Anti-Spyware 7.5
Avira AntiVir Personal - Free Antivirus
Bonjour
CCleaner (remove only)
CD/DVD Drive Acoustic Silencer
CopyTrans Suite Remove Only
Desktop SMS
DVD MovieFactory for TOSHIBA
EPSON-Drucker-Software
FEXtrader Pro DEMO
Firebird SQL Server - MAGIX Edition 2.0.0.1 (D)
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Intel(R) Matrix Storage Manager
iTunes
Java(TM) SE Runtime Environment 6
Langenscheidt Vokabeltrainer 2.0 Spanisch
MAGIX Digital Foto Maker SE 4.1.0.835 (D)
MAGIX Foto Suite 1.12.0.89 (D)
MAGIX Online Druck Service 2.3.2.0 (D)
Malwarebytes' Anti-Malware
Microsoft Office Excel MUI (German) 2007
Microsoft Office Home and Student 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
myphotobook 3.1
Picasa 2
QuickTime
Realtek 8139 and 8139C+ Ethernet Network Card Driver for Windows Vista
Realtek High Definition Audio Driver
RICOH R5C83x/84x Media Driver Vista x86 Ver.3.33.03
Safari
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB958439)
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Security Update for Microsoft Office Excel 2007 (KB958437)
Security Update for Microsoft Office OneNote 2007 (KB950130)
Security Update for Microsoft Office PowerPoint 2007 (KB951338)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office Word 2007 (KB956358)
Security Update for Visio 2007 (KB947590)
Security Update for Windows Media Encoder (KB954156)
Skype™ 3.8
Sony Ericsson Device Data
Sony Ericsson Drivers
Sony Ericsson Media Manager 1.2
Sony Ericsson PC Suite
Sony Ericsson PC Suite
Sony Ericsson PC Suite 4.010.00
Spelling Dictionaries Support For Adobe Reader 8
Spybot - Search & Destroy
Synaptics Pointing Device Driver
TomTom HOME
TOSHIBA Assist
TOSHIBA Benutzerhandbücher
TOSHIBA ConfigFree
TOSHIBA Disc Creator
TOSHIBA DVD PLAYER
TOSHIBA Extended Tiles for Windows Mobility Center
Toshiba Online Product Information
TOSHIBA SD Memory Utilities
TOSHIBA Software Modem
tradesignal standard edition
Update for 2007 Microsoft Office System (KB967642)
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VC_MergeModuleToMSI
web'n'walk Manager
Windows Media Encoder 9-Reihe
Windows Media Encoder 9-Reihe
WISO Mein Geld 2009 Professional
WLAN Monitor
Yahoo! Install Manager
Yahoo! Toolbar mit Pop-Up-Blocker