Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner TR/Reveton.R.240 und Trojan.Agent.Gen gefunden ... (https://www.trojaner-board.de/134735-trojaner-tr-reveton-r-240-trojan-agent-gen-gefunden.html)

wsamstag 10.05.2013 09:38
Trojaner TR/Reveton.R.240 und Trojan.Agent.Gen gefunden ...
 
Hallo miteinand,

heute morgen beim starten fand der Avira-Scanner folgenden Trojaner: TR/Reveton.R.240

Hier das Logfile:
Code:

Avira Professional Security
Erstellungsdatum der Reportdatei: Freitag, 10. Mai 2013  09:39

Es wird nach 4552793 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Werner Samstag Softwareengineering
Seriennummer  : 2224664553-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : WS_LP_03

Versionsinformationen:
BUILD.DAT      : 12.1.9.1580    46763 Bytes  22.11.2012 08:52:00
AVSCAN.EXE    : 12.3.0.48    468256 Bytes  05.11.2012 08:43:44
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  14.05.2012 13:17:37
LUKE.DLL      : 12.3.0.15      68304 Bytes  14.05.2012 13:17:37
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  10.05.2012 19:51:52
AVREG.DLL      : 12.3.0.17    232200 Bytes  10.05.2012 19:51:52
VBASE000.VDF  : 7.11.70.0  66736640 Bytes  04.04.2013 12:25:50
VBASE001.VDF  : 7.11.74.226  2201600 Bytes  30.04.2013 10:31:34
VBASE002.VDF  : 7.11.74.227    2048 Bytes  30.04.2013 10:31:34
VBASE003.VDF  : 7.11.74.228    2048 Bytes  30.04.2013 10:31:34
VBASE004.VDF  : 7.11.74.229    2048 Bytes  30.04.2013 10:31:34
VBASE005.VDF  : 7.11.74.230    2048 Bytes  30.04.2013 10:31:34
VBASE006.VDF  : 7.11.74.231    2048 Bytes  30.04.2013 10:31:34
VBASE007.VDF  : 7.11.74.232    2048 Bytes  30.04.2013 10:31:34
VBASE008.VDF  : 7.11.74.233    2048 Bytes  30.04.2013 10:31:34
VBASE009.VDF  : 7.11.74.234    2048 Bytes  30.04.2013 10:31:34
VBASE010.VDF  : 7.11.74.235    2048 Bytes  30.04.2013 10:31:34
VBASE011.VDF  : 7.11.74.236    2048 Bytes  30.04.2013 10:31:34
VBASE012.VDF  : 7.11.74.237    2048 Bytes  30.04.2013 10:31:34
VBASE013.VDF  : 7.11.74.238    2048 Bytes  30.04.2013 10:31:35
VBASE014.VDF  : 7.11.75.97    181248 Bytes  02.05.2013 07:29:47
VBASE015.VDF  : 7.11.75.183  217600 Bytes  03.05.2013 10:29:48
VBASE016.VDF  : 7.11.76.27    183808 Bytes  04.05.2013 13:06:23
VBASE017.VDF  : 7.11.76.101  194048 Bytes  06.05.2013 07:03:26
VBASE018.VDF  : 7.11.76.213  163328 Bytes  07.05.2013 07:23:28
VBASE019.VDF  : 7.11.77.41    134656 Bytes  08.05.2013 07:20:16
VBASE020.VDF  : 7.11.77.145  141312 Bytes  10.05.2013 03:42:09
VBASE021.VDF  : 7.11.77.146    2048 Bytes  10.05.2013 03:42:09
VBASE022.VDF  : 7.11.77.147    2048 Bytes  10.05.2013 03:42:09
VBASE023.VDF  : 7.11.77.148    2048 Bytes  10.05.2013 03:42:09
VBASE024.VDF  : 7.11.77.149    2048 Bytes  10.05.2013 03:42:09
VBASE025.VDF  : 7.11.77.150    2048 Bytes  10.05.2013 03:42:09
VBASE026.VDF  : 7.11.77.151    2048 Bytes  10.05.2013 03:42:09
VBASE027.VDF  : 7.11.77.152    2048 Bytes  10.05.2013 03:42:09
VBASE028.VDF  : 7.11.77.153    2048 Bytes  10.05.2013 03:42:09
VBASE029.VDF  : 7.11.77.154    2048 Bytes  10.05.2013 03:42:10
VBASE030.VDF  : 7.11.77.155    2048 Bytes  10.05.2013 03:42:10
VBASE031.VDF  : 7.11.77.170    7680 Bytes  10.05.2013 07:38:31
Engineversion  : 8.2.12.38
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:38:13
AESCRIPT.DLL  : 8.1.4.112    483709 Bytes  08.05.2013 09:23:27
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 13:07:10
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 06:18:05
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 13:26:34
AEPACK.DLL    : 8.3.2.12      754040 Bytes  08.05.2013 09:23:27
AEOFFICE.DLL  : 8.1.2.56      205180 Bytes  08.03.2013 11:51:17
AEHEUR.DLL    : 8.1.4.348    5890425 Bytes  08.05.2013 09:23:25
AEHELP.DLL    : 8.1.25.10    258425 Bytes  08.05.2013 09:23:14
AEGEN.DLL      : 8.1.7.4      442741 Bytes  08.05.2013 09:23:14
AEEXP.DLL      : 8.4.0.26      201078 Bytes  03.05.2013 10:30:01
AEEMU.DLL      : 8.1.3.2      393587 Bytes  10.07.2012 19:38:12
AECORE.DLL    : 8.1.31.2      201080 Bytes  20.02.2013 19:25:45
AEBB.DLL      : 8.1.1.4        53619 Bytes  05.11.2012 13:43:36
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  14.05.2012 13:17:36
AVPREF.DLL    : 12.3.0.32      50720 Bytes  05.11.2012 08:43:43
AVREP.DLL      : 12.3.0.15    179208 Bytes  10.05.2012 19:51:52
AVARKT.DLL    : 12.3.0.33    209696 Bytes  05.11.2012 08:43:41
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  14.05.2012 13:17:37
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  14.05.2012 13:17:37
AVSMTP.DLL    : 12.3.0.32      63992 Bytes  15.08.2012 14:05:54
NETNT.DLL      : 12.3.0.15      17104 Bytes  14.05.2012 13:17:37
RCIMAGE.DLL    : 12.3.0.31    4713720 Bytes  15.08.2012 14:05:41
RCTEXT.DLL    : 12.3.0.32      98848 Bytes  05.11.2012 08:43:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_518ca2c5\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 10. Mai 2013  09:39

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-unity-helper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxioBurnLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WebcamDell2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nassche.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NasNavi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FF_Protection.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnetdhcp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-hostd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-converter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-converter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-converter-a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-authd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'c2c_service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDIOAssist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'srvany.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nassvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jhi_service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\wsamstag\AppData\Local\Temp\DCdJOya.exe'
C:\Users\wsamstag\AppData\Local\Temp\DCdJOya.exe
  [FUND]      Ist das Trojanische Pferd TR/Reveton.R.240

Beginne mit der Desinfektion:
C:\Users\wsamstag\AppData\Local\Temp\DCdJOya.exe
  [FUND]      Ist das Trojanische Pferd TR/Reveton.R.240
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '551104e5.qua' verschoben!


Ende des Suchlaufs: Freitag, 10. Mai 2013  09:41
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    52 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    51 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
Danach habe ich Malwarebytes Anti-Malware ausgeführt und 2 weitere Trojaner wurden angezeigt:
Code:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.09.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
wsamstag :: WS_LP_03 [Administrator]

Schutz: Aktiviert

10.05.2013 09:38:21
MBAM-log-2013-05-10 (09-51-01).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 246722
Laufzeit: 2 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gDanach habe ich efunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ctfmon.exe (Trojan.Agent.Gen) -> Daten: C:\PROGRA~3\rundll32.exe FG00 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> Keine Aktion durchgeführt.

(Ende)
Wie muss ich jetzt weiter vorgehen um wieder einen "sauberen" Rechner zu haben?

Viele Grüße
Werner

Habe gerade gemerkt, dass Avira berreits gestern einen Trojaner gefunden hat:

Code:

Avira Professional Security
Erstellungsdatum der Reportdatei: Sonntag, 5. Mai 2013  22:35

Es wird nach 4509628 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Werner Samstag Softwareengineering
Seriennummer  : 2224664553-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : WS_LP_03

Versionsinformationen:
BUILD.DAT      : 12.1.9.1580    46763 Bytes  22.11.2012 08:52:00
AVSCAN.EXE    : 12.3.0.48    468256 Bytes  05.11.2012 08:43:44
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  14.05.2012 13:17:37
LUKE.DLL      : 12.3.0.15      68304 Bytes  14.05.2012 13:17:37
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  10.05.2012 19:51:52
AVREG.DLL      : 12.3.0.17    232200 Bytes  10.05.2012 19:51:52
VBASE000.VDF  : 7.11.70.0  66736640 Bytes  04.04.2013 12:25:50
VBASE001.VDF  : 7.11.74.226  2201600 Bytes  30.04.2013 10:31:34
VBASE002.VDF  : 7.11.74.227    2048 Bytes  30.04.2013 10:31:34
VBASE003.VDF  : 7.11.74.228    2048 Bytes  30.04.2013 10:31:34
VBASE004.VDF  : 7.11.74.229    2048 Bytes  30.04.2013 10:31:34
VBASE005.VDF  : 7.11.74.230    2048 Bytes  30.04.2013 10:31:34
VBASE006.VDF  : 7.11.74.231    2048 Bytes  30.04.2013 10:31:34
VBASE007.VDF  : 7.11.74.232    2048 Bytes  30.04.2013 10:31:34
VBASE008.VDF  : 7.11.74.233    2048 Bytes  30.04.2013 10:31:34
VBASE009.VDF  : 7.11.74.234    2048 Bytes  30.04.2013 10:31:34
VBASE010.VDF  : 7.11.74.235    2048 Bytes  30.04.2013 10:31:34
VBASE011.VDF  : 7.11.74.236    2048 Bytes  30.04.2013 10:31:34
VBASE012.VDF  : 7.11.74.237    2048 Bytes  30.04.2013 10:31:34
VBASE013.VDF  : 7.11.74.238    2048 Bytes  30.04.2013 10:31:35
VBASE014.VDF  : 7.11.75.97    181248 Bytes  02.05.2013 07:29:47
VBASE015.VDF  : 7.11.75.183  217600 Bytes  03.05.2013 10:29:48
VBASE016.VDF  : 7.11.76.27    183808 Bytes  04.05.2013 13:06:23
VBASE017.VDF  : 7.11.76.28      2048 Bytes  04.05.2013 13:06:24
VBASE018.VDF  : 7.11.76.29      2048 Bytes  04.05.2013 13:06:24
VBASE019.VDF  : 7.11.76.30      2048 Bytes  04.05.2013 13:06:24
VBASE020.VDF  : 7.11.76.31      2048 Bytes  04.05.2013 13:06:24
VBASE021.VDF  : 7.11.76.32      2048 Bytes  04.05.2013 13:06:24
VBASE022.VDF  : 7.11.76.33      2048 Bytes  04.05.2013 13:06:24
VBASE023.VDF  : 7.11.76.34      2048 Bytes  04.05.2013 13:06:24
VBASE024.VDF  : 7.11.76.35      2048 Bytes  04.05.2013 13:06:24
VBASE025.VDF  : 7.11.76.36      2048 Bytes  04.05.2013 13:06:24
VBASE026.VDF  : 7.11.76.37      2048 Bytes  04.05.2013 13:06:24
VBASE027.VDF  : 7.11.76.38      2048 Bytes  04.05.2013 13:06:24
VBASE028.VDF  : 7.11.76.39      2048 Bytes  04.05.2013 13:06:24
VBASE029.VDF  : 7.11.76.40      2048 Bytes  04.05.2013 13:06:24
VBASE030.VDF  : 7.11.76.41      2048 Bytes  04.05.2013 13:06:24
VBASE031.VDF  : 7.11.76.88    92672 Bytes  05.05.2013 15:47:09
Engineversion  : 8.2.12.34
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:38:13
AESCRIPT.DLL  : 8.1.4.110    483709 Bytes  03.05.2013 10:30:01
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 13:07:10
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 06:18:05
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 13:26:34
AEPACK.DLL    : 8.3.2.6      827767 Bytes  28.03.2013 11:42:12
AEOFFICE.DLL  : 8.1.2.56      205180 Bytes  08.03.2013 11:51:17
AEHEUR.DLL    : 8.1.4.336    5898617 Bytes  03.05.2013 10:29:59
AEHELP.DLL    : 8.1.25.2      258423 Bytes  11.10.2012 13:43:53
AEGEN.DLL      : 8.1.7.2      442741 Bytes  26.03.2013 13:07:08
AEEXP.DLL      : 8.4.0.26      201078 Bytes  03.05.2013 10:30:01
AEEMU.DLL      : 8.1.3.2      393587 Bytes  10.07.2012 19:38:12
AECORE.DLL    : 8.1.31.2      201080 Bytes  20.02.2013 19:25:45
AEBB.DLL      : 8.1.1.4        53619 Bytes  05.11.2012 13:43:36
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  14.05.2012 13:17:36
AVPREF.DLL    : 12.3.0.32      50720 Bytes  05.11.2012 08:43:43
AVREP.DLL      : 12.3.0.15    179208 Bytes  10.05.2012 19:51:52
AVARKT.DLL    : 12.3.0.33    209696 Bytes  05.11.2012 08:43:41
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  14.05.2012 13:17:37
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  14.05.2012 13:17:37
AVSMTP.DLL    : 12.3.0.32      63992 Bytes  15.08.2012 14:05:54
NETNT.DLL      : 12.3.0.15      17104 Bytes  14.05.2012 13:17:37
RCIMAGE.DLL    : 12.3.0.31    4713720 Bytes  15.08.2012 14:05:41
RCTEXT.DLL    : 12.3.0.32      98848 Bytes  05.11.2012 08:43:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_5186c248\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Sonntag, 5. Mai 2013  22:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxioBurnLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WebcamDell2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIconStartup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nassche.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NasNavi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FF_Protection.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnetdhcp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-hostd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-converter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-converter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-converter-a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-authd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'c2c_service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDIOAssist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'srvany.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nassvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jhi_service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\ProgramData\e8riri.dat'
C:\ProgramData\e8riri.dat
  [FUND]      Ist das Trojanische Pferd TR/Reveton.R.240

Beginne mit der Desinfektion:
Die Datei '\\?\C:\Users\wsamstag\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk' wurde ins Quarantäneverzeichnis verschoben.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2286155230-3626123146-1377962119-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe> wurde erfolgreich repariert.
C:\ProgramData\e8riri.dat
  [FUND]      Ist das Trojanische Pferd TR/Reveton.R.240
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c4e41ee.qua' verschoben!
  [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2286155230-3626123146-1377962119-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe> wurde erfolgreich repariert.
  [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2286155230-3626123146-1377962119-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs> wurde erfolgreich repariert.
  [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2286155230-3626123146-1377962119-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs> wurde erfolgreich repariert.
  [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2286155230-3626123146-1377962119-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu> wurde erfolgreich repariert.
  [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2286155230-3626123146-1377962119-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu> wurde erfolgreich repariert.
  [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2286155230-3626123146-1377962119-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich repariert.
  [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2286155230-3626123146-1377962119-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich repariert.


Ende des Suchlaufs: Sonntag, 5. Mai 2013  22:37
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    42 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    41 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
????

aharonov 10.05.2013 13:01
Hallo Werner,

wenn du deinen Rechner nach Malware untersuchen lassen willst, dann arbeite bitte diese Anleitung ab und poste die entsprechenden Logfiles.

aharonov 15.05.2013 19:40
Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

aharonov 16.05.2013 23:17
Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129