Hallo Computerheiler,
Ich habe ein Problem: Mein Sohn hat von seinem Freund ein "tolles" Computerspiel (Team Fortress 2) von seinem Freund bekommen, und ohne mich zu Fragen instaliert.
Die Version war (natürlich) kopiert, und so fand der Trojaner TR/Generic.1857123.27 seinen Weg in meinen armen Computer.

Antivir meldet: C:\Lan\Team Fortress 2\Team Fortress 2.exe
[FUND] Ist das Trojanische Pferd TR/Generic.1857123.27


Kann ich ihn einfach in die Quarantäne verschieben?
Oder ist es ein hartnäckiger Virus??

Logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:27, on 17.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\MSI\ArcSoft\TotalMedia\TMMonitor.exe
C:\PROGRA~1\Belkin\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: TMMonitor.lnk = C:\Programme\MSI\ArcSoft\TotalMedia\TMMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225223707615
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6491 bytes


Antivir:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 17. Juni 2009 20:32

Es wird nach 1468169 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : COMPUTER1

Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 09.06.2009 13:51:07
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.4.87 2982912 Bytes 12.06.2009 13:50:36
ANTIVIR3.VDF : 7.1.4.106 69632 Bytes 17.06.2009 14:42:03
Engineversion : 8.2.0.187
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 17:11:18
AESCRIPT.DLL : 8.1.2.6 409978 Bytes 11.06.2009 13:48:08
AESCN.DLL : 8.1.2.3 127347 Bytes 16.05.2009 09:57:35
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.05.2009 11:51:58
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.131 1786232 Bytes 11.06.2009 13:48:07
AEHELP.DLL : 8.1.3.6 205174 Bytes 11.06.2009 13:48:03
AEGEN.DLL : 8.1.1.45 348532 Bytes 09.06.2009 13:51:07
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 28.05.2009 11:51:57
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 17:11:14
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 13:51:07
RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 17:11:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 17. Juni 2009 20:32

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '60932' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Programme\Team Fortress 2\Team Fortress 2.exe
[FUND] Ist das Trojanische Pferd TR/Generic.1857123.27

Beginne mit der Desinfektion:
C:\Lan\Team Fortress 2\Team Fortress 2.exe
[FUND] Ist das Trojanische Pferd TR/Generic.1857123.27
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.


Ende des Suchlaufs: Mittwoch, 17. Juni 2009 21:25
Benötigte Zeit: 53:44 Minute(n)


13482 Verzeichnisse wurden überprüft
373404 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
373402 Dateien ohne Befall
7690 Archive wurden durchsucht
2 Warnungen
2 Hinweise
60932 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Uninstall List:

7-Zip 4.57
Ad-Aware
Ad-Aware
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.2 - Deutsch
Adobe Shockwave Player
ANNO 1503
Apple Mobile Device Support
Apple Software Update
ArcSoft TotalMedia 3
Avira AntiVir Personal - Free Antivirus
Belkin Bluetooth Software
Bonjour
CCleaner (remove only)
CDex extraction audio
Choice Guard
Compatibility Pack for the 2007 Office system
Counter-Strike 1.6
eMule
Free YouTube to iPod Converter version 3.1
GIMP 2.6.4
GTA San Andreas
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Intel(R) PRO Network Adapters and Drivers
iTunes
Java(TM) 6 Update 12
MAGIX Xtreme Foto Designer 6 6.0.19.0 (D)
Malwarebytes' Anti-Malware
Messenger Plus! Live
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft National Language Support Downlevel APIs
Microsoft Office Word Viewer 2003
Microsoft Office XP Professional mit FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.11)
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MTX MotoTrax
Multimedia Card Reader
MyPhoneExplorer
Nero 7 Premium
neroxml
NVIDIA Drivers
PDFCreator
QuickTime
Registrierungsprogramm für den Nintendo Wi-Fi USB Connector
Segoe UI
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows XP (KB923789)
SiSoftware Sandra Lite 2009
Sony Ericsson PC Suite 4.006.00
Sony Ericsson Themes Creator 3.32
SopCast 3.0.3
SoundMAX
Spybot - Search & Destroy
Steganos Safe One
Team Fortress 2
TuneUp Utilities 2008
Update Service
VC 9.0 Runtime
VCRedistSetup
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VLC media player 0.9.6
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3

Ich bitte sehr herzlichst um rasche Hilfe!!

lg

Hallo und

Das könnte ein Fehlalarm von Avira sein. Hole die Datei wieder aus der Quarantäne und lasse sie entweder bei Virustotal auswerten und poste das komplette Ergebnis oder lade sie bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2).

ciao, andreas

Problem:

Datei: Team Fortress 2.exe empfangen

Fehler: Die Dateien konnten nicht empfangen werden. Bitte melden Sie sich im Forum.

Virustotal funktioniert auch nicht...

Hilfe!!
glg

Unsere Boardsoftware mag keine Leerzeichen in Dateinamen. Kopiere die Datei auf den Desktop und benenne sie um in abc.exe. Lade sie dann nocheinmal hoch. Wie groß ist die Datei? Mehr als 3MB geht bei uns nicht.

ciao, andreas

1, Die Datei konnte zu euch hochgeladen werden.

2, Folgendes Virustotal Ergebniss:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.17 Trojan.Generic!IK
AhnLab-V3 5.0.0.2 2009.06.17 -
AntiVir 7.9.0.187 2009.06.17 TR/Generic.1857123.27
Antiy-AVL 2.0.3.1 2009.06.17 -
Authentium 5.1.2.4 2009.06.17 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.17 -
BitDefender 7.2 2009.06.17 MemScan:Trojan.Generic.1857123
CAT-QuickHeal 10.00 2009.06.17 -
ClamAV 0.94.1 2009.06.17 W32.Virut-29
Comodo 1356 2009.06.17 -
DrWeb 5.0.0.12182 2009.06.17 -
eSafe 7.0.17.0 2009.06.17 Suspicious File
eTrust-Vet 31.6.6564 2009.06.17 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.17 -
Fortinet 3.117.0.0 2009.06.17 W32/Banhost.AG!tr
GData 19 2009.06.17 MemScan:Trojan.Generic.1857123
Ikarus T3.1.1.59.0 2009.06.17 Trojan.Generic
Jiangmin 11.0.706 2009.06.17 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.17 -
McAfee 5649 2009.06.17 -
McAfee+Artemis 5649 2009.06.17 Artemis!5E8AAB64E8D5
McAfee-GW-Edition 6.7.6 2009.06.17 Trojan.Generic.1857123.27
Microsoft 1.4701 2009.06.17 -
NOD32 4164 2009.06.17 -
Norman 6.01.09 2009.06.17 -
nProtect 2009.1.8.0 2009.06.17 -
Panda 10.0.0.14 2009.06.17 Trj/CI.A
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.17 -
Rising 21.34.24.00 2009.06.17 -
Sophos 4.42.0 2009.06.17 -
Sunbelt 3.2.1858.2 2009.06.17 Trojan.1
Symantec 1.4.4.12 2009.06.17 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.17 PAK_Generic.001
VBA32 3.12.10.7 2009.06.17 -
ViRobot 2009.6.17.1792 2009.06.17 -
VirusBuster 4.6.5.0 2009.06.17 -


Was nun??
lg

Poste bitte den ganzen Bericht, so dass der Dateiname zu sehen ist und unten die ganzen Zahlen. Nachdem du es eingefügt hast (es muss noch markiert sein) klicke in der Symbolleiste über dem Textfeld auf das vierte Symbol von links => #

So soll es dann aussehen => http://www.trojaner-board.de/435158-post5.html

ciao, andreas

Code: Alles auswählenAufklappen

ATTFilter

Datei abc.exe empfangen 2009.06.17 20:15:19 (UTC)
Status: Beendet
Ergebnis: 13/41 (31.71%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.18 	2009.06.17 	Trojan.Generic!IK
AhnLab-V3 	5.0.0.2 	2009.06.17 	-
AntiVir 	7.9.0.187 	2009.06.17 	TR/Generic.1857123.27
Antiy-AVL 	2.0.3.1 	2009.06.17 	-
Authentium 	5.1.2.4 	2009.06.17 	-
Avast 	4.8.1335.0 	2009.06.17 	-
AVG 	8.5.0.339 	2009.06.17 	-
BitDefender 	7.2 	2009.06.17 	MemScan:Trojan.Generic.1857123
CAT-QuickHeal 	10.00 	2009.06.17 	-
ClamAV 	0.94.1 	2009.06.17 	W32.Virut-29
Comodo 	1356 	2009.06.17 	-
DrWeb 	5.0.0.12182 	2009.06.17 	-
eSafe 	7.0.17.0 	2009.06.17 	Suspicious File
eTrust-Vet 	31.6.6564 	2009.06.17 	-
F-Prot 	4.4.4.56 	2009.06.17 	-
F-Secure 	8.0.14470.0 	2009.06.17 	-
Fortinet 	3.117.0.0 	2009.06.17 	W32/Banhost.AG!tr
GData 	19 	2009.06.17 	MemScan:Trojan.Generic.1857123
Ikarus 	T3.1.1.59.0 	2009.06.17 	Trojan.Generic
Jiangmin 	11.0.706 	2009.06.17 	-
K7AntiVirus 	7.10.766 	2009.06.17 	-
Kaspersky 	7.0.0.125 	2009.06.17 	-
McAfee 	5649 	2009.06.17 	-
McAfee+Artemis 	5649 	2009.06.17 	Artemis!5E8AAB64E8D5
McAfee-GW-Edition 	6.7.6 	2009.06.17 	Trojan.Generic.1857123.27
Microsoft 	1.4701 	2009.06.17 	-
NOD32 	4164 	2009.06.17 	-
Norman 	6.01.09 	2009.06.17 	-
nProtect 	2009.1.8.0 	2009.06.17 	-
Panda 	10.0.0.14 	2009.06.17 	Trj/CI.A
PCTools 	4.4.2.0 	2009.06.17 	-
Prevx 	3.0 	2009.06.17 	-
Rising 	21.34.24.00 	2009.06.17 	-
Sophos 	4.42.0 	2009.06.17 	-
Sunbelt 	3.2.1858.2 	2009.06.17 	Trojan.1
Symantec 	1.4.4.12 	2009.06.17 	-
TheHacker 	6.3.4.3.348 	2009.06.17 	-
TrendMicro 	8.950.0.1094 	2009.06.17 	PAK_Generic.001
VBA32 	3.12.10.7 	2009.06.17 	-
ViRobot 	2009.6.17.1792 	2009.06.17 	-
VirusBuster 	4.6.5.0 	2009.06.17 	-
weitere Informationen
File size: 43520 bytes
MD5   : 5e8aab64e8d50e7b233ece95c8b4ccba
SHA1  : 3d01810308c6cbe9858dfab7af6083945eefcefb
SHA256: 8d18d1f98d0e0de0d10d33ec15c720c17e0a1940c16a7db95a034de38c4285b3
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13050
timedatestamp.....: 0x498D2B24 (Sat Feb 7 07:33:08 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xE000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xF000 0x5000 0x4C00 7.91 73f9cb0b7c71cf16f23bae1a5a1b4071
.rsrc 0x14000 0x6000 0x5C00 4.26 61e5ccaf89b1845450a0f376e790d585

( 7 imports )

> comctl32.dll: InitCommonControls
> gdi32.dll: SetBkColor
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> msvcrt.dll: memset
> ole32.dll: CoInitialize
> shell32.dll: ShellExecuteExA
> user32.dll: IsChild

( 0 exports )
TrID  : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ssdeep: 768:1RGuY2P0Vo6r7SiAwyrMRjbn9uonbcuyD7UcAn/ViO:rPcVo6r7S/rabLnouy8ci9iO
PEiD  : UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (Kaspersky): UPX
packers (F-Prot): UPX_LZMA
RDS   : NSRL Reference Data Set
         

Entschuldige für den zu kurzen Bericht.
Ich hoffe es stimmt so.
lg

Schlechte Neuigkeiten:

In der Datei 'C:\System Volume Information\_restore{DF9311F8-654F-4B9C-BA54-E4614D89B632}\RP55\A0006027.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Generic.1857123.27' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Du bist mein Sorgenkind.

Generic heißt, dass es Anzeichen für einen Schädling gibt. Es melden sich aber zuviele AVPs, nur keiner rückt einen vernünftigen Namen heraus. Die Virut-Meldung von ClamAV ist mit Sicherheit falsch.

Meldungen von Prevx sind mit Vorsicht zu geniessen, aber diesmal könnten sie Recht haben => TEAM FORTRESS 2.EXE, Prevx Wobei es um so erstaunlicher ist, dass sie ihn bei VT nicht erkennen.

Frage deinen Sohn, wo er die Datei herbekommen hat. Ich brauche einen Downloadlink, den bitte als PN (Private Nachricht) schicken. Die Datei vom Desktop löschen.

Zitat:

In der Datei 'C:\System Volume Information\_restore{DF9311F8-654F-4B9C-BA54-E4614D89B632}\RP55\A0006027.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Generic.1857123.27' [trojan] gefunden.

Das ist nun nichts schlimmes.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

Entscheide du, ob ich dich das volle Programm abarbeiten lasse. Falls du möchtest, fange damit an:

2.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

2 Fragen noch:

1, Wie lange wird der Scan ca dauern?
2, Muss ich die Systemwiederherrstellung während des Scans deaktiviert haben, oder reicht es wenn ich sie deaktiviere und wieder aktiviere??

lg

Zitat:

1, Wie lange wird der Scan ca dauern?

Da kann ich nur grob schätzen. Rsit ist in weniger als 5 Minuten durch, ComboFix in 3-15 Minuten durch, das hängt von deinem Rechner und den installierten Programmen ab und wieviel gefunden wird.

Zitat:

Muss ich die Systemwiederherrstellung während des Scans deaktiviert haben, oder reicht es wenn ich sie deaktiviere und wieder aktiviere??

Nein, die kannst du gleich wieder aktivieren oder es auch sein lassen. ComboFix aktiviert sie von sich aus.

ciao, andreas

Rsit Logs sind zu lang... Wie soll ich sie dir nun zeigen??

lg

Entweder du postest sie in mehreren Stücken oder du lädst sie bei einem Filehoster hoch (z.B. www.materialordner.de) und postest hier die Links.

ciao, andreas

Log RSIT 1: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de
Log RSIT 2: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de
Log Combifix: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Danke schon mal

Lg

Ist dein Laufwerk E: ein CD/DVD-Laufwerk?

ciao, andreas