Trojaner-Board - Infizierung mit TR/ATRAP.gen + System progressive Protektor

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Infizierung mit TR/ATRAP.gen + System progressive Protektor (https://www.trojaner-board.de/125927-infizierung-tr-atrap-gen-system-progressive-protektor.html)

Infizierung mit TR/ATRAP.gen + System progressive Protektor

Hallo Forum,
die Avira-Gratissoftware hat mir gestern die Infizierung mit TR/ATRAP.gen gemeldet.
Nach einem kompletten Systemscan und einem vermutlich erfolglosen Quarantäne-bzw. Löschversuch mit Avira erscheint auf dem Bildschirm ein Diagnosebild von "System Progressive Protektor". Es erscheint auch erneut nach Neustart des Rechners. Bis auf Outlook konnten ich keine weiteren Programme mehr starten. Danach habe ich den Rechner wieder runtergefahren und seitdem nicht mehr gestartet. Internetzugang habe ich momentan mit einem Mac Book.
Ich bitte um Eure Hilfe!

1) Wie soll ich zwecks PC-Säuberung und Datenrettung jetzt vorgehen? Nach der Anleitung "Malwarebytes Anti-Malware"?

2) Muß ich um mein Geld auf Kreditkarten- und Girokonto fürchten? Ich habe kürzlich bei ebay mittels Kreditkarte gezahlt; E-Banking mit dem Girokonto ist per SMS-TAN gesichert?

Wenn als erste Aktion auch die Datensicherung möglich ist, bin ich auch bereit den PC neu aufzusetzen. Ich bin mir nämlich nicht sicher, ob ich in der Lage bin die Arbeitsschritte der Anleitung korrekt auszuführen, will es aber gern versuchen.

Zitat:

die Avira-Gratissoftware hat mir gestern die Infizierung mit TR/ATRAP.gen gemeldet.

Schön und wo sind die Logs dazu? :confused:

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Habe ich das so richtig gemacht? Bin etwas unsicher.
Die Software hat einen Neustart des Rechners verlangt, nachdem ich "Ausgewähltes entfernen" gedrückt hatte. Den Report habe ich vor einem Neustart kopiert.
Gruß Blitzer

ps: Ich bin vom Mittwoch 24.10. bis Mittwoch 31.10. im Urlaub. Was muß ich tun, damit ich in dieser Zeit wegen Inaktivität meinerseits nicht aus der Betreuung genommen werde? Ich habe was von 3 Tagen Reaktionszeit auf Antworten gelesen.

Code:

Malwarebytes Anti-Malware (Test) 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.10.21.08
 

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 8.0.6001.18702

Admin :: ANDREAS1 [Administrator]
 

Schutz: Deaktiviert
 

22.10.2012 09:32:22

mbam-log-2012-10-22 (09-32-22).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 271013

Laufzeit: 5 Minute(n), 47 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 1

C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateien: 6

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4416D6BC548E059A0000441692AB0AE3\4416D6BC548E059A0000441692AB0AE3.exe (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Löschen bei Neustart.

C:\RECYCLER\S-1-5-21-1229272821-1220945662-839522115-1004\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\4AB.tmp (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Andreas\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Du solltest auch das Log von Avira posten

Hallo,
diesen Suchlauf habe ich neu gemacht, das heißt nach dem Scan mit "Malwarebytes".

Code:


 

Avira Free Antivirus

Erstellungsdatum der Reportdatei: Montag, 22. Oktober 2012  12:57
 

Es wird nach 4375942 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Microsoft Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Abgesicherter Modus mit Netzwerk Support

Benutzername   : Admin

Computername   : ANDREAS1
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1199    40869 Bytes  07.09.2012 22:14:00

AVSCAN.EXE     : 12.3.0.33     468472 Bytes  08.08.2012 16:50:21

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 10:40:37

LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 10:40:39

AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 10:40:39

AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 15:01:37

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:59:18

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:00:50

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:19:40

VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:50:57

VBASE007.VDF   : 7.11.45.207  2363904 Bytes  11.10.2012 05:56:19

VBASE008.VDF   : 7.11.45.208     2048 Bytes  11.10.2012 05:56:19

VBASE009.VDF   : 7.11.45.209     2048 Bytes  11.10.2012 05:56:19

VBASE010.VDF   : 7.11.45.210     2048 Bytes  11.10.2012 05:56:19

VBASE011.VDF   : 7.11.45.211     2048 Bytes  11.10.2012 05:56:19

VBASE012.VDF   : 7.11.45.212     2048 Bytes  11.10.2012 05:56:20

VBASE013.VDF   : 7.11.45.213     2048 Bytes  11.10.2012 05:56:20

VBASE014.VDF   : 7.11.46.65    220160 Bytes  16.10.2012 13:30:01

VBASE015.VDF   : 7.11.46.153   173568 Bytes  18.10.2012 10:52:33

VBASE016.VDF   : 7.11.46.154     2048 Bytes  18.10.2012 10:52:33

VBASE017.VDF   : 7.11.46.155     2048 Bytes  18.10.2012 10:52:33

VBASE018.VDF   : 7.11.46.156     2048 Bytes  18.10.2012 10:52:33

VBASE019.VDF   : 7.11.46.157     2048 Bytes  18.10.2012 10:52:33

VBASE020.VDF   : 7.11.46.158     2048 Bytes  18.10.2012 10:52:33

VBASE021.VDF   : 7.11.46.159     2048 Bytes  18.10.2012 10:52:33

VBASE022.VDF   : 7.11.46.160     2048 Bytes  18.10.2012 10:52:34

VBASE023.VDF   : 7.11.46.161     2048 Bytes  18.10.2012 10:52:34

VBASE024.VDF   : 7.11.46.162     2048 Bytes  18.10.2012 10:52:34

VBASE025.VDF   : 7.11.46.163     2048 Bytes  18.10.2012 10:52:34

VBASE026.VDF   : 7.11.46.164     2048 Bytes  18.10.2012 10:52:34

VBASE027.VDF   : 7.11.46.165     2048 Bytes  18.10.2012 10:52:34

VBASE028.VDF   : 7.11.46.166     2048 Bytes  18.10.2012 10:52:34

VBASE029.VDF   : 7.11.46.167     2048 Bytes  18.10.2012 10:52:34

VBASE030.VDF   : 7.11.46.168     2048 Bytes  18.10.2012 10:52:34

VBASE031.VDF   : 7.11.46.216   152064 Bytes  19.10.2012 13:33:10

Engineversion  : 8.2.10.187

AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 06:29:28

AESCRIPT.DLL   : 8.1.4.60      463227 Bytes  05.10.2012 12:06:59

AESCN.DLL      : 8.1.9.2       131444 Bytes  29.09.2012 06:35:50

AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 06:26:27

AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37

AEPACK.DLL     : 8.3.0.38      811382 Bytes  29.09.2012 06:35:49

AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  25.09.2012 15:22:03

AEHEUR.DLL     : 8.1.4.118    5423480 Bytes  12.10.2012 05:56:26

AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 05:56:22

AEGEN.DLL      : 8.1.5.38      434548 Bytes  29.09.2012 06:35:44

AEEXP.DLL      : 8.2.0.6       115060 Bytes  12.10.2012 05:56:26

AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 06:29:27

AECORE.DLL     : 8.1.28.2      201079 Bytes  29.09.2012 06:35:43

AEBB.DLL       : 8.1.1.3        53621 Bytes  19.10.2012 10:52:35

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 10:40:37

AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 10:40:37

AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 10:40:39

AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 10:40:37

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 10:40:37

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 10:40:39

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 16:50:21

NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 10:40:39

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 16:50:17

RCTEXT.DLL     : 12.3.0.31     100088 Bytes  08.08.2012 16:50:17
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, D:, E:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Montag, 22. Oktober 2012  12:57
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'E:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Treiber konnte nicht initialisiert werden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '72' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '77' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '79' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '111' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '63' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '6509' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POIbase\resource1036

  [WARNUNG]   Die Datei ist kennwortgeschützt

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmpinst.exe

  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt

C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe

  [WARNUNG]   Unerwartetes Dateiende erreicht

Beginne mit der Suche in 'D:\' <136/250 Part1 für Backups>

Beginne mit der Suche in 'E:\' <96/250 Part2 rungen>
 
 

Ende des Suchlaufs: Montag, 22. Oktober 2012  15:02

Benötigte Zeit:  2:04:55 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   9499 Verzeichnisse wurden überprüft

 326325 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 326325 Dateien ohne Befall

   2390 Archive wurden durchsucht

      3 Warnungen

      0 Hinweise

In der Zusammenfassung unter Warnungen gab es auch noch diese Meldung:

Code:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POIbase\resource1036

  [WARNUNG]   Die Datei ist kennwortgeschützt

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmpinst.exe

  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt

C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe

  [WARNUNG]   Unerwartetes Dateiende erreicht

Ich wollte aber das schon vorhandene Log sehen :wtf:

ist das vorige Log noch irgendwo vorhanden?
Ich habe es nicht selbst abgespeichert.

Schau nach unter Berichte/Ereignisse

so, ich hoffe das ist jetzt das richtige.

Code:


 

Avira Free Antivirus

Erstellungsdatum der Reportdatei: Freitag, 19. Oktober 2012  23:12
 

Es wird nach 4375942 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Microsoft Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : ANDREAS1
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1199    40869 Bytes  07.09.2012 22:14:00

AVSCAN.EXE     : 12.3.0.33     468472 Bytes  08.08.2012 16:50:21

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 10:40:37

LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 10:40:39

AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 10:40:39

AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 15:01:37

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:59:18

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:00:50

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:19:40

VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:50:57

VBASE007.VDF   : 7.11.45.207  2363904 Bytes  11.10.2012 05:56:19

VBASE008.VDF   : 7.11.45.208     2048 Bytes  11.10.2012 05:56:19

VBASE009.VDF   : 7.11.45.209     2048 Bytes  11.10.2012 05:56:19

VBASE010.VDF   : 7.11.45.210     2048 Bytes  11.10.2012 05:56:19

VBASE011.VDF   : 7.11.45.211     2048 Bytes  11.10.2012 05:56:19

VBASE012.VDF   : 7.11.45.212     2048 Bytes  11.10.2012 05:56:20

VBASE013.VDF   : 7.11.45.213     2048 Bytes  11.10.2012 05:56:20

VBASE014.VDF   : 7.11.46.65    220160 Bytes  16.10.2012 13:30:01

VBASE015.VDF   : 7.11.46.153   173568 Bytes  18.10.2012 10:52:33

VBASE016.VDF   : 7.11.46.154     2048 Bytes  18.10.2012 10:52:33

VBASE017.VDF   : 7.11.46.155     2048 Bytes  18.10.2012 10:52:33

VBASE018.VDF   : 7.11.46.156     2048 Bytes  18.10.2012 10:52:33

VBASE019.VDF   : 7.11.46.157     2048 Bytes  18.10.2012 10:52:33

VBASE020.VDF   : 7.11.46.158     2048 Bytes  18.10.2012 10:52:33

VBASE021.VDF   : 7.11.46.159     2048 Bytes  18.10.2012 10:52:33

VBASE022.VDF   : 7.11.46.160     2048 Bytes  18.10.2012 10:52:34

VBASE023.VDF   : 7.11.46.161     2048 Bytes  18.10.2012 10:52:34

VBASE024.VDF   : 7.11.46.162     2048 Bytes  18.10.2012 10:52:34

VBASE025.VDF   : 7.11.46.163     2048 Bytes  18.10.2012 10:52:34

VBASE026.VDF   : 7.11.46.164     2048 Bytes  18.10.2012 10:52:34

VBASE027.VDF   : 7.11.46.165     2048 Bytes  18.10.2012 10:52:34

VBASE028.VDF   : 7.11.46.166     2048 Bytes  18.10.2012 10:52:34

VBASE029.VDF   : 7.11.46.167     2048 Bytes  18.10.2012 10:52:34

VBASE030.VDF   : 7.11.46.168     2048 Bytes  18.10.2012 10:52:34

VBASE031.VDF   : 7.11.46.216   152064 Bytes  19.10.2012 13:33:10

Engineversion  : 8.2.10.187

AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 06:29:28

AESCRIPT.DLL   : 8.1.4.60      463227 Bytes  05.10.2012 12:06:59

AESCN.DLL      : 8.1.9.2       131444 Bytes  29.09.2012 06:35:50

AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 06:26:27

AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37

AEPACK.DLL     : 8.3.0.38      811382 Bytes  29.09.2012 06:35:49

AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  25.09.2012 15:22:03

AEHEUR.DLL     : 8.1.4.118    5423480 Bytes  12.10.2012 05:56:26

AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 05:56:22

AEGEN.DLL      : 8.1.5.38      434548 Bytes  29.09.2012 06:35:44

AEEXP.DLL      : 8.2.0.6       115060 Bytes  12.10.2012 05:56:26

AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 06:29:27

AECORE.DLL     : 8.1.28.2      201079 Bytes  29.09.2012 06:35:43

AEBB.DLL       : 8.1.1.3        53621 Bytes  19.10.2012 10:52:35

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 10:40:37

AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 10:40:37

AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 10:40:39

AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 10:40:37

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 10:40:37

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 10:40:39

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 16:50:21

NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 10:40:39

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 16:50:17

RCTEXT.DLL     : 12.3.0.31     100088 Bytes  08.08.2012 16:50:17
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: AVGuardAsyncScan

Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_5081c1b8\guard_slideup.avp

Protokollierung.......................: standard

Primäre Aktion........................: reparieren

Sekundäre Aktion......................: quarantäne

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: aus

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: aus

Suche nach Rootkits...................: aus

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: vollständig
 

Beginn des Suchlaufs: Freitag, 19. Oktober 2012  23:12
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess '4416D6BC548E059A0000441692AB0AE3.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\80000000.@'

C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\80000000.@

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '537a63fa.qua' verschoben!

Beginne mit der Suche in 'C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\800000cb.@'

C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\800000cb.@

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bed4c5d.qua' verschoben!
 
 

Ende des Suchlaufs: Freitag, 19. Oktober 2012  23:12

Benötigte Zeit: 00:40 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

      0 Verzeichnisse wurden überprüft

     35 Dateien wurden geprüft

      2 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      2 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

     33 Dateien ohne Befall

      2 Archive wurden durchsucht

      0 Warnungen

      2 Hinweise

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Das ist der aktuelle scan von 17:15 Uhr:

Code:

Malwarebytes Anti-Malware (Test) 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.10.22.04
 

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 8.0.6001.18702

Admin :: ANDREAS1 [Administrator]
 

Schutz: Deaktiviert
 

22.10.2012 17:35:21

mbam-log-2012-10-22 (17-35-21).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 387322

Laufzeit: 45 Minute(n), 9 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 4

C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{830C47CB-D528-4FA8-A26E-EA00AEB24EDD}\RP1246\A0477974.exe (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

dieser ist von 9:46 Uhr (wurde von mir versehentlich gestartet)

Code:

Malwarebytes Anti-Malware (Test) 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.10.21.08
 

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 8.0.6001.18702

Admin :: ANDREAS1 [Administrator]
 

Schutz: Deaktiviert
 

22.10.2012 09:46:26

mbam-log-2012-10-22 (09-46-26).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 271068

Laufzeit: 6 Minute(n), 17 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Löschen bei Neustart.
 

(Ende)

dieser ist der erste von 09:32 Uhr

Code:

Malwarebytes Anti-Malware (Test) 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.10.21.08
 

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 8.0.6001.18702

Admin :: ANDREAS1 [Administrator]
 

Schutz: Deaktiviert
 

22.10.2012 09:32:22

mbam-log-2012-10-22 (09-32-22).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 271013

Laufzeit: 5 Minute(n), 47 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 1

C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateien: 6

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4416D6BC548E059A0000441692AB0AE3\4416D6BC548E059A0000441692AB0AE3.exe (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\RECYCLER\S-1-5-18\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Löschen bei Neustart.

C:\RECYCLER\S-1-5-21-1229272821-1220945662-839522115-1004\$1427104b129c73fc1b97ebec8d5e9141\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\4AB.tmp (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Andreas\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Dann gibts noch diese Datei in der Logdatei:

Code:

2012/10/22 12:48:06 +0200        ANDREAS1        Andreas        MESSAGE        Starting protection

2012/10/22 12:48:07 +0200        ANDREAS1        Andreas        MESSAGE        Protection started successfully

2012/10/22 12:48:07 +0200        ANDREAS1        Andreas        MESSAGE        Starting IP protection

2012/10/22 12:48:19 +0200        ANDREAS1        Andreas        MESSAGE        IP Protection started successfully

Du hast ein ZeroAccess im System, Bereinigung könnte man versuchen ist aber unsicher und du wickelst ja auch sensible Zahlungsvorgänge ab bzw. machst Onlinebanking mit diesem Rechner. Ich würde eine Neuinstallation den Vorzug geben :pfeiff:

Zunächst mal vielen, vielen Dank für deine Hilfe!

Kann ich denn davon ausgehen, das meine persönlichen Daten nicht infiziert wurden?
Muß ich diesbezüglich noch was kontrollieren?

Wie müßte ich vorgehen, wenn ich eine Bereinigung versuche?
Bevor ich neu installiere, könnte ich das doch versuchen.
Oder liegt die Unsicherheit darin, daß man nach Bereinigung trotzdem nicht weiß ob der Rechner 100% sauber ist?

Melde mich erst mal ab.
Bin bis 31.10. im Urlaub.

Zitat:

Wie müßte ich vorgehen, wenn ich eine Bereinigung versuche?

Wenn du die versuchen willst - führe combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo Cosinus,
bin zurück aus dem Urlaub.

Soll ich vor der combofix- Anwendung eine Datensicherung vornehmen?

Ich habe einige persönliche Daten (Fotos, Office-Dateien) testweise geöffnet. Das war problemlos möglich.

Gruß
blitzer