Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Soweit OK oder soll ich sie hier vorbeischicken? (https://www.trojaner-board.de/117839-ok-vorbeischicken.html)

W_Dackel 23.06.2012 18:35
Soweit OK oder soll ich sie hier vorbeischicken?
 
Hintergrund: eine Freundin von mir ärgerte sich darüber dass ihr Windows Laptop (Windows 7 Home) sehr langsam wurde und vermutete Virenbefall.

Da das "langsam werden" bei Windows nun nicht so ungewöhnlich ist glaubte ich das erst mal nicht, gab ihr aber meine Disinfec't CD mit. Ergebnis: Funde.


Bitdefender:
Code:
"Infizierte Datei";"ggf. Datei in Archiv";"";"Fund durch Bitdefender";"";"";
"";"";"";"";"";"";
"/media/BOOT/Users/Medion/AppData/Local/xypldb.exe.VIRUS";"";"";"Trojan.Generic.KD.655337";"";"";
"/media/BOOT/ProgramData/Microsoft/Windows Defender/LocalCopy/{A247A9BF-1AF2-6B6F-CDF4-92D2BB62F05E}-xypldb.exe.VIRUS";"(Quarantine-PE)";"";"Trojan.Generic.KD.655337";"";"";
"/media/BOOT/Users/Medion/AppData/Local/Temp/plugtmp-8/plugin-ap2.php.VIRUS";"(TIFF)";"";"Exploit.TIFF.Gen";"";"";
"/media/BOOT/ProgramData/Microsoft/Windows Defender/LocalCopy/{09B239A3-A650-23D3-9FCF-F4F2D6800A9F}-xypldb.exe.VIRUS";"(Quarantine-PE)";"";"Trojan.Generic.KD.655337";"";"";
"/media/BOOT/Users/Medion/AppData/Local/Temp/plugtmp-8/plugin-ap2.php.VIRUS";"(JAVASCRIPT)";"";"Exploit.PDF-JS.FT";"";"";
"/media/BOOT/Program Files/Yontoo Layers/YontooIEClient.dll.VIRUS";"";"";"Adware.ZBO";"";"";
"/media/BOOT/ProgramData/Avira/AntiVir Desktop/INFECTED/55c108a8.qua";"(Quarantine-8)";"";"Trojan.Generic.KD.655337";"";"";
"/media/BOOT/ProgramData/Microsoft/Windows Defender/LocalCopy/{49310244-5A22-48D8-F36C-715B08AC26AF}-xypldb.exe.VIRUS";"(Quarantine-PE)";"";"Trojan.Generic.KD.655337";"";"";
"/media/BOOT/Users/Medion/AppData/Roaming/prapproxy32.exe.VIRUS";"";"";"Trojan.Generic.KDV.601722";"";"";
"/media/BOOT/Users/Medion/AppData/Roaming/10021/components/AcroFF021.dll.VIRUS";"";"";"Gen:Variant.Zusy.5027";"";"";

Avira:

Code:
"Infizierte Datei";"ggf. Datei in Archiv";"Fund durch Avira";"";"";"";
"";"";"";"";"";"";
"/media/BOOT/ProgramData/Microsoft/Windows Defender/LocalCopy/{A247A9BF-1AF2-6B6F-CDF4-92D2BB62F05E}-xypldb.exe.VIRUS";"";"TR/Agent.snrr";"";"";"";
"/media/BOOT/Users/Medion/AppData/Roaming/10021/components/AcroFF021.dll.VIRUS";"";"TR/Spy.Banker.20115";"";"";"";
"/media/BOOT/Users/Medion/AppData/Local/Temp/plugtmp-8/plugin-ap2.php.VIRUS";"";"EXP/Pdfka.OPS.1";"";"";"";
"/media/BOOT/ProgramData/Microsoft/Windows Defender/LocalCopy/{49310244-5A22-48D8-F36C-715B08AC26AF}-xypldb.exe.VIRUS";"";"TR/Agent.snrr";"";"";"";
"/media/BOOT/Users/Medion/AppData/Roaming/prapproxy32.exe.VIRUS";"";"TR/Inject.dlpa";"";"";"";
"/media/BOOT/Users/Medion/AppData/Local/xypldb.exe.VIRUS";"";"TR/Agent.snrr";"";"";"";
"/media/BOOT/ProgramData/Microsoft/Windows Defender/LocalCopy/{09B239A3-A650-23D3-9FCF-F4F2D6800A9F}-xypldb.exe.VIRUS";"";"TR/Agent.snrr";"";"";"";

Sie ließ die Viren umbenennen, danach startete der Rechner normal und verhielt sich unauffällig.

Ihr Rechner aktualisiert sich, Avira Free ist installiert. Als Infektionsquelle vermute ich die Installation von Freeware aus nicht ganz so bekannter Quelle.

Ich ließ sie ein eigenes Admin Konto (mit Passwort) einrichten, ihrem "normalen" Konto die Admin Rechte entziehen, Firefox (ihr Browser) hat jetzt Noscript und Adblock Plus.

Ihrem Sohn wird sie nahelegen den IE nicht weiter zu benutzen.

Ich habe ihr vorgeschlagen ihr Internet Banking erst mal zwei Wochen lang per Ubuntu Live CD durchzuführen, dann den Rechner nochmal zu scannen und wenn er dann noch "sauber" (im Sinne von Disinfec't) ist wieder ganz normal damit zu arbeiten.

Reicht das voraussichtlich anhand der gefundenen Schadprogramme aus oder soll ich sie lieber hier vorbeischicken (habe ihr nen Link auf die FAQ Seite mitgegeben..) damit Ihr nochmal sorgfältig mit Mbam etc. scant ?


Neuinstallation ist ein wenig schwierig da sie natürlich keine Installationsmedien hat...

cosinus 26.06.2012 15:03
Code:
"/media/BOOT/Users/Medion/AppData/Roaming/prapproxy32.exe.VIRUS";"";"";"Trojan.Generic.KDV.601722";"";"";
"/media/BOOT/Users/Medion/AppData/Roaming/10021/components/AcroFF021.dll.VIRUS";"";"";"Gen:Variant.Zusy.5027";"";"";
Das ist was im Busch :pfeiff:
Haste schon MBAM und ESET empfohlen, Dackel? :)

W_Dackel 26.06.2012 18:25
Hi Arne!

Ja, ich habe ihr schon empfohlen sicherheitshalber die Scans zu machen und die Ergebnisse hier zu posten.. dein Kommentar verleiht dem Ganzen etwas mehr Dringlichkeit...

So gesehen ist es wohl ganz gut dass ich ihr für das Internetbanking und andere sensible Sachen erst mal eine Ubuntu-Live CD gebrannt habe...

Ich habe sie gerade angerufen und ihr zu den Scans geraten...

Vielen Dank!

cosinus 26.06.2012 18:28
Ja, gerade die AcroFF021.dll hab ich schon oft als Banking-Spion gesehen...

W_Dackel 26.06.2012 18:40
Avira ist da offensichtlich deiner Meinung:

Code:
"/media/BOOT/Users/Medion/AppData/Roaming/10021/components/AcroFF021.dll.VIRUS";"";"TR/Spy.Banker.20115";"";"";"";


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131