You are not logged in.

Saturday, August 2nd 2014, 12:27am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "martian_23" started this thread

Date of registration:
Apr 15th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

1

Sunday, April 15th 2012, 9:20pm

Leere Ordner nach Befall mit TR/ATRAPS.Gen (u.a.)

Hallo Forum

Sorry, falls ich ein Thema eröffne, für das schon eine Lösung paratliegt! Auf die Schnelle habe ich mein spezifisches Problem hier im Forum nicht gefunden. Falls schon eine Lösung dafür existiert, bin ich für einen Link dankbar.

Ich war am Downloaden einer .rar-Datei mit Musik (IE 9) und war noch auf der Suche nach MP3-Downloads, als Avira Free Antivirus hintereinander mehrere Virenalarme gab, deren Aufforderung zur Quarantäne ich Folge leistete. Kurz darauf schloss sich der Internet Explorer, und wenig später war der Desktop ohne Symbole und Taskleiste, dafür prangte mittendrin eine Kaskade von grauen Kästchen, die etwas wie «Harddisk defekt» verkündeten. Ein Neustart brachte erwartungsgemäss keine Besserung, auch der S.M.A.R.T-Reparaturversuch aus dem Startprozess fruchtete nicht. Ebenso wenig ein Rettungsversuch per Windows-7-CD. Sämtliche Ordner erschienen nun als leer, auch alle Programmverknüpfungen (auch im Startmenü) waren weg. Weitere Scans mit Avira und Malwarebytes brachten weitere Infektionen zum Vorschein und zum Verschwinden:

AVIRA:

Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\ealbqnkfffn.exe'
C:\Users\Voekt\AppData\Local\Temp\ealbqnkfffn.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af86d32.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\hocyozubwydmxc.exe'
C:\Users\Voekt\AppData\Local\Temp\hocyozubwydmxc.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5274428b.qua' verschoben!

Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\bqmextcwvkphph.exe'
C:\Users\Voekt\AppData\Local\Temp\bqmextcwvkphph.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496f6d23.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\fnlupxxtgascdyg.exe'
C:\Users\Voekt\AppData\Local\Temp\fnlupxxtgascdyg.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51f942f9.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\hmwbsxtvasbouwecrglcvetre.exe'
C:\Users\Voekt\AppData\Local\Temp\hmwbsxtvasbouwecrglcvetre.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c511810.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\klvnirxxznf.exe'
C:\Users\Voekt\AppData\Local\Temp\klvnirxxznf.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7a6757d5.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\qojfzoolrxpt.exe'
C:\Users\Voekt\AppData\Local\Temp\qojfzoolrxpt.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '20177aee.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\sppyqdnslajzykil.exe'
C:\Users\Voekt\AppData\Local\Temp\sppyqdnslajzykil.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f02488e.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\umwfduvwnvivkru.exe'
C:\Users\Voekt\AppData\Local\Temp\umwfduvwnvivkru.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c4164c7.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\qojfzoolrxpt.exe'
Der zu durchsuchende Pfad C:\Users\Voekt\AppData\Local\Temp\qojfzoolrxpt.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\sppyqdnslajzykil.exe'
Der zu durchsuchende Pfad C:\Users\Voekt\AppData\Local\Temp\sppyqdnslajzykil.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\umwfduvwnvivkru.exe'
C:\Users\Voekt\AppData\Local\Temp\umwfduvwnvivkru.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54c96b3a.qua' verschoben!

Beginne mit der Suche in 'C:\Users\Voekt\AppData\Local\Temp\fMF9ek23W7KgfX.exe'
C:\Users\Voekt\AppData\Local\Temp\fMF9ek23W7KgfX.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab66ba4.qua' verschoben!

Beginne mit der Suche in 'C:\' <System>
C:\Users\Voekt\AppData\Local\Temp\jar_cache2920430239260654803.tmp
[0] Archivtyp: ZIP
--> x/oait.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
C:\Users\Voekt\AppData\Local\Temp\jar_cache6979554498485018563.tmp
[0] Archivtyp: ZIP
--> j/mi.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
--> j/b.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen

Beginne mit der Desinfektion:
C:\Users\Voekt\AppData\Local\Temp\jar_cache6979554498485018563.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a896d71.qua' verschoben!
C:\Users\Voekt\AppData\Local\Temp\jar_cache2920430239260654803.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '521e42d6.qua' verschoben!

MALWAREBYTES:

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|QkqnRvQCEE.exe (Trojan.Agent) -> Daten: C:\ProgramData\QkqnRvQCEE.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\ProgramData\oM96r5wXe3h4Je.exe (Trojan.Agent.WQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\QkqnRvQCEE.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Voekt\AppData\Local\Temp\cuqhubjlptqvzeeesp.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Voekt\AppData\Local\Temp\woczmqyhrugvhexpgo.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Weil es mehrere Berichte gab, habe ich hier bloss eine Zusammenfassung der wichtigsten Berichtselemente gepostet. Im Moment findet keines der vier Sicherheitsprogramme (Avira, Malwarebytes, Ad-Aware, Spybot) mehr Schädlinge.

Die leeren Ordner sind geblieben. Anderseits zeigt der Windows-7-Explorer die korrekte Laufwerksbelegung in MB an. Im Gegensatz dazu findet der Explorer-Ersatz eXec, den mir ein Freund empfohlen hat, alle «verschwundenen» Ordnerinhalte. So kann ich auch wieder auf meine Programme zugreifen.

Was aber kann ich tun, um eine Laufwerksformatierung zu vermeiden? Offenbar sind die Festplatten ja nicht wirklich defekt (128-GB-SSD und 2-GB-WD-HDD).

Ein Detail noch: Auf der Suche nach der WinMail.exe gab ich in der Explorer-Fenster-Adresszeile den korrekten Pfad ein; darauf erschienen im «Windows-Mail»-Ordner tatsächlich die darin enthaltenen Dateien – bis auf die WinMail.exe: diese wird erfahrungsgemäss erst nach dem Einblenden der Systemdateien sichtbar. Das nützte hier aber überraschenderweise nicht, sie blieb unsichtbar. Ebenfalls unsichtbar bleiben die Adressdaten im Windows-Mail-Adressbuch.


Gruss

Marcel

2

Sunday, April 15th 2012, 9:47pm

Mache zuerst folgendes:

lade dir combofix, führe es auf dem Desktop aus
http://virus-protect.org/artikel/tools/combofix.html

Bitte beende vorher alle Anwendungen -auch den Browser
Die AviraGuard ebenfalls - Klick in den Schirm - nimm das Häkchen weg
Lass die Maus in Ruhe wenn CFix läuft !
Mache nichts nebenher !

Combo fix wird einges bereits in Quarantäne tun
und einen Reboot machen - das ist in deinem Fall normal !

Bitte post das log von Combofix .

Bitte genau an die Anleitung halten. Wenn das Logfile zu lang, dann aufsplitten.

Bitte unbedingt vor der Anwendung des Tools sämtliche Icons in der Taskleiste unten rechts schließen, im Taskmanager alle Programme bis auf die windowseigenen beenden, die Firewall deaktivieren und sämtliche Wächter von Schutzprogrammen deaktivieren. Die Verbindung zum Internet trennen.

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

3

Sunday, April 15th 2012, 10:05pm

wenn ich kurz mal :)
setze bitte keine Cleaner ein CCleaner oder ähnliche temp cleaner !
falls das bereits passiert ist gib uns Info :!:


Rajo wieder weg..........

  • "martian_23" started this thread

Date of registration:
Apr 15th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

4

Sunday, April 15th 2012, 10:21pm

Dumme Frage: Wie kann ich die Icons unten rechts «schliessen»? Du meinst löschen/deaktivieren? Es handelt sich dabei um das Wartungscenter-Fähnlein (das mich im Namen von Avira mahnt, ohne die Premium-Version sei mein Schutz ungenügend), das Netzwerkcenter, das seit Urzeiten ein nicht identifiziertes Netzwerk meldet, das Lautstärkesymbol und das Symbol für die sichere Entfernung von USB-Geräten. Möglicherweise könnte ich das Lautstärkesymbol abhäkeln, aber in der Systemsteuerung finde ich keine Möglichkeit, den Soundmixer anschliessend zu reaktivieren. Und zum USB-Symbol fällt mir nichts ein. Und ja: das Avira-Symbol ist auch noch da.

This post has been edited 2 times, last edit by "martian_23" (Apr 15th 2012, 10:45pm)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

5

Sunday, April 15th 2012, 11:07pm

das Avira-Symbol ist auch noch da.


Das bitte rechtsklicken - und den Guard (echtzeitscanner deaktivieren )
ebenfalls den Webschutz wenn vorhanden
das andere bleibt - sollte passen

Rajo

  • "martian_23" started this thread

Date of registration:
Apr 15th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

6

Monday, April 16th 2012, 12:31am

Nun sieht schon alles viel besser aus. Die Ordner haben wieder Inhalte, und die Programmverknüpfungen sind wieder da.

Der ComboFix-Bericht:

ComboFix 12-04-15.02 - XXXXX 16.04.2012 0:07.1.4 - x64
Microsoft Windows 7 Professional 6.1.7601.1.1252.41.1031.18.4094.2632 [GMT 2:00]
ausgeführt von:: c:\users\XXXXX\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\oM96r5wXe3h4Je
c:\programdata\windows
c:\programdata\windows\ccdxmmde.dat
c:\programdata\Windows\drss.dat
c:\programdata\Windows\xessmsxe.dat
c:\users\XXXXX\AppData\Roaming\Ivboc
c:\users\XXXXX\AppData\Roaming\Ivboc\koog.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-15 bis 2012-04-15 ))))))))))))))))))))))))))))))
.
.
2012-04-15 22:09 . 2012-04-15 22:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-04-15 16:55 . 2012-04-15 16:55 69000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{7DF42653-FFA4-418F-B975-45142D1ABBA1}\offreg.dll
2012-04-13 09:02 . 2012-03-14 03:27 8669240 ---ha-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{7DF42653-FFA4-418F-B975-45142D1ABBA1}\mpengine.dll
2012-04-11 09:06 . 2012-03-01 06:46 23408 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-11 09:06 . 2012-03-01 06:33 81408 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-11 09:06 . 2012-03-01 05:33 159232 ----a-w- c:\windows\SysWow64\imagehlp.dll
2012-04-11 09:06 . 2012-03-01 06:38 220672 ----a-w- c:\windows\system32\wintrust.dll
2012-04-11 09:06 . 2012-03-01 06:28 5120 ----a-w- c:\windows\system32\wmi.dll
2012-04-11 09:06 . 2012-03-01 05:37 172544 ----a-w- c:\windows\SysWow64\wintrust.dll
2012-04-11 09:06 . 2012-03-01 05:29 5120 ----a-w- c:\windows\SysWow64\wmi.dll
2012-04-04 10:16 . 2012-04-15 20:22 -------- d--h--w- c:\users\XXXXX\AppData\Roaming\Ihefir
2012-04-04 10:16 . 2012-04-04 10:16 -------- d--h--w- c:\users\XXXXX\AppData\Roaming\Ubki
2012-04-02 09:11 . 2012-04-02 09:11 418464 ---ha-w- c:\windows\SysWow64\FlashPlayerApp.exe
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-04 13:56 . 2011-01-02 18:28 24904 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-04-02 09:11 . 2011-05-23 16:02 70304 ---ha-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2010-12-14 14:55 279656 ------w- c:\windows\system32\MpSigStub.exe
2012-02-17 06:38 . 2012-03-14 10:35 1031680 ----a-w- c:\windows\system32\rdpcore.dll
2012-02-17 05:34 . 2012-03-14 10:35 826880 ----a-w- c:\windows\SysWow64\rdpcore.dll
2012-02-17 04:58 . 2012-03-14 10:35 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-02-17 04:57 . 2012-03-14 10:35 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-02-15 22:19 . 2011-10-19 09:01 132320 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-02-10 06:36 . 2012-03-14 10:35 1544192 ----a-w- c:\windows\system32\DWrite.dll
2012-02-10 05:38 . 2012-03-14 10:35 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll
2012-02-03 04:34 . 2012-03-14 10:35 3145728 ----a-w- c:\windows\system32\win32k.sys
2012-01-25 06:38 . 2012-03-14 10:35 77312 ----a-w- c:\windows\system32\rdpwsx.dll
2012-01-25 06:38 . 2012-03-14 10:35 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-01-25 06:33 . 2012-03-14 10:35 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
2011-10-21 09:10 87440 ---ha-w- c:\program files (x86)\adawaretb\adawareDx.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{6c97a91e-4524-4019-86af-2aa2d567bf5c}"= "c:\program files (x86)\adawaretb\adawareDx.dll" [2011-10-21 87440]
.
[HKEY_CLASSES_ROOT\clsid\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-11-25 336384]
"NUSB3MON"="c:\program files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-01-22 106496]
"VMware hqtray"="c:\program files (x86)\VMware\VMware Player\hqtray.exe" [2010-11-11 64112]
"Nikon Transfer Monitor"="c:\program files (x86)\Common Files\Nikon\Monitor\NkMonitor.exe" [2009-09-15 479232]
"Nikon Message Center 2"="c:\program files (x86)\Nikon\Nikon Message Center 2\NkMC2.exe" [2010-05-25 619008]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Ad-Aware Browsing Protection"="c:\programdata\Ad-Aware Browsing Protection\adawarebp.exe" [2011-10-21 198032]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files (x86)\Lavasoft\Ad-Aware\AAWService.exe [2011-11-03 2152152]
R2 NAUpdate;Nero Update;c:\program files (x86)\Nero\Update\NASvc.exe [2010-05-04 503080]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-02 253600]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 ST330;ST330;c:\windows\system32\DRIVERS\st330.sys [x]
R3 STBUS;STBUS;c:\windows\system32\DRIVERS\stbus.sys [x]
R3 stppp;Speedtouch PPP Adapter Adapter;c:\windows\system32\DRIVERS\stppp.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-10-11 86224]
S2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [x]
S2 VMUSBArbService;VMware USB Arbitration Service;c:\program files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe [2010-11-11 539248]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [x]
S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-02 09:11]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = about:blank
mLocal Page = c:\windows\system32\blank.htm
LSP: c:\program files (x86)\VMware\VMware Player\vsocklib.dll
Trusted Zone: staffeldruck.ch\portal
TCP: DhcpNameServer = 192.168.1.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
Wow6432Node-HKCU-Run-Imwuu - c:\users\XXXXX\AppData\Roaming\Ivboc\koog.exe
Wow6432Node-HKLM-Run-NWEReboot - (no file)
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_228_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_228_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_228.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_228.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_228.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_228.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-04-16 00:16:00
ComboFix-quarantined-files.txt 2012-04-15 22:15
.
Vor Suchlauf: 1 Verzeichnis(se), 54'753'312'768 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 55'694'438'400 Bytes frei
.
- - End Of File - - 05F6630AE50A4F6BC38BFA50CEFB9594

7

Monday, April 16th 2012, 6:52am

Folgende Dateien aus C:\quoobox\quarantine zu Virustotal (link in meiner Signatur) hochladen, analysieren und Ergebnisse posten. Wenn schon Ergebnisse dort sind bitte neu analysieren, damit das Ergebnis tagaktuell ist.

c:\programdata\windows\ccdxmmde.dat
c:\programdata\Windows\drss.dat
c:\programdata\Windows\xessmsxe.dat
c:\users\XXXXX\AppData\Roaming\Ivboc\koog.exe

  • "martian_23" started this thread

Date of registration:
Apr 15th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

8

Monday, April 16th 2012, 11:39am

Hier das Ergebnis der Überprüfung von VirusTotal:

File name: C:\Qoobox\Quarantine\C\ProgramData\Windows\ccdxmmde.dat.vir
Detection ratio: 0 / 42

File name: C:\Qoobox\Quarantine\C\ProgramData\Windows\drss.dat.vir
Detection ratio: 0 / 42

File name: C:\Qoobox\Quarantine\C\ProgramData\Windows\xessmsxe.dat.vir
Detection ratio: 0 / 42

File name: C:\Qoobox\Quarantine\C\Users\Voekt\AppData\Roaming\Ivboc\koog.exe.vir
Detection ratio: 14 / 41
AhnLab-V3: Backdoor/Win32.Buterat
Avast: Win32:Crypt-MGB [Trj]
AVG: Generic27.COQW
BitDefender: Gen:Variant.Zusy.4587
DrWeb: Trojan.Packed.22447
Emsisoft: Win32.Crypt!IK
F-Secure: Gen:Variant.Zusy.4587
GData: Gen:Variant.Zusy.4587
Ikarus: Win32.Crypt
Jiangmin: Trojan/JboxGeneric.fsj
Kaspersky: HEUR:Backdoor.Win32.Generic
NOD32: a variant of Win32/Injector.PSM
Norman: W32/Avalod.B
Sophos: Troj/Agent-VQC

  • "martian_23" started this thread

Date of registration:
Apr 15th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

9

Monday, April 16th 2012, 6:40pm

Ist mein Computer damit wieder frei von Schädlingen, oder gibt's noch mehr zu beheben? Die Programmverknüpfungen im Startmenü musste ich übrigens von Hand nachtragen – sie waren verschwunden.

Ein Phänomen stört mich gegenwärtig noch: die Meldung «Sie sind im Begriff, sich Seiten über eine sichere Verbindung anzeigen zu lassen», manchmal im Doppelpack, bei rund 20% der angewählten Websites, ohne dass diese ein «https» in der Adresszeile haben – sowie das entsprechende «Sie sind im Begriff, eine sichere Internetverbindung zu verlassen» beim Verlassen.

Ein anderes Phänomen, das schon seit ein paar Wochen auftritt, ist das unzuverlässige Funktionieren der Favoritenverknüpfungen im Startmenü. Oft klappt es nur mit einem energischen Doppelklick, was ja eigentlich nicht vorgesehen ist.

10

Monday, April 16th 2012, 7:06pm

Bitte mache mit der koog.exe noch folgendes:

Bitte die Datei über das Webformular (link in meiner Signatur) zu Avira einsenden und im Webformular Verdächtige Datei eingeben. Die Antwort bitte posten.

Die Einschätzung mit dem Backdoor teile ich mit Kaspersky. Mal schauen was Avira sagt. Sollte sich der Verdacht bestätigen, ist dein System kompromittiert und nicht mehr vertrauenswürdig. Am sichersten wäre es dann du sicherst deine Daten (keine ausführbaren Dateien wie exe, bat, com etc.), formatierst die Systempartition und setzt Windows neu auf.

Bitte dann auf dem neuen System sämtliche Passwörter ändern und bei Onlinebanking umgehend deine Bank informieren.

Lies bitte auch folgendes: Kompromittierung, Backdoor;
neuaufsetzen

  • "martian_23" started this thread

Date of registration:
Apr 15th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

11

Monday, April 16th 2012, 8:26pm

Die Antwort bitte posten.

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis 26797322 koog.exe.vir 237.04 KB UNDER ANALYSIS

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis koog.exe.vir UNDER ANALYSIS

Die Datei 'koog.exe.vir' wurde als 'UNDER ANALYSIS' eingestuft.

Das heisst wohl, dass ich im Moment nicht mehr unternehmen kann oder muss, ausser den Bescheid von Avira abzuwarten... (?)

Allen Beschreibungen ist ja zu entnehmen, dass es keine Möglichkeit gibt, ein einmal eingenistetes Backdoorprogramm zu entfernen – ist das so?

Und zu meinem Problem mit der «sicheren Verbindung»: Ist das ein Defekt als Folge des Virenbefalls oder ein Symptom für weiterbestehenden Befall?

12

Monday, April 16th 2012, 9:27pm

Doch du kannst schonmal deine Daten sichern. Das mit der sicheren Verbindung liegt wohl an Combofix - dieses stellt halt gewisse Grundfunktionen wieder her.

  • "martian_23" started this thread

Date of registration:
Apr 15th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

13

Monday, April 16th 2012, 10:33pm

Die Datensicherung ist bei mir immer recht aktuell und mehrfach vorhanden; von daher muss ich nicht mehr viel unternehmen, bloss noch jeweils die letzten geschäftlichen Mails und Dateien kopieren. E-Mail-Banking betreibe ich zum Glück nicht. Und zum Glück habe ich einen (langsamen und lauten) Ersatzcomputer mit Windows XP.

Auf jeden Fall vielen Dank für deine/eure kompetente Hilfe und Beratung! :)

Marcel

  • "martian_23" started this thread

Date of registration:
Apr 15th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

14

Friday, May 4th 2012, 10:00pm

Hier nun das Ergebnis der Avira-Untersuchung (Mailtext):

_____________________________________________________________________________________________________________________________________________________________________________________________

Eine Auflistung der Dateien und Ergebnisse ist im folgenden aufgeführt:

Datei ID . . . . . . . Dateiname . . . . .. . Größe (Byte) . . . . Ergebnis
26797322 . . . . .. koog.exe.vir . . . . ... 237.04 KB . . . . ... MALWARE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname . . .. Ergebnis
koog.exe.vir . .. MALWARE

Die Datei 'koog.exe.vir' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Barys.502.2 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen, und nicht erwünschte Änderungen am System vornehmen kann. Ein Erkennungsmuster ist mit Version 7.11.27.228 der Virendefinitionsdatei (VDF) hinzugefügt.

______________________________________________________________________________________________________________________________________________________________________________________________

Ist das nun das gefährliche «Backdoor»-Programm, wie vermutet? Und muss ich mit anhaltender Gefährdung/Aktivität auf meinem Computer rechnen?

Ich habe alle Prozesse im Taskmanager auf Änderungen an der entsprechenden .exe kontrolliert – negativ. Aber ich nehme an, aus Sicht der Antivirenpraktiker ist mein System trotzdem nicht sicher?

15

Friday, May 4th 2012, 10:11pm

Das ist ein Passwortstehler. Dein System ist kompromittiert und nicht mehr vertrauenswürdig. Am sichersten wäre es du sicherst deine Daten (keine ausführbaren Dateien wie exe, bat, com etc.), formatierst die Systempartition und setzt Windows neu auf.

Bitte dann auf dem neuen System sämtliche Passwörter ändern und bei Onlinebanking umgehend deine Bank informieren.

Lies bitte auch folgendes: Kompromittierung,
neuaufsetzen



Hier noch ein paar Tipps für die Zukunft:

Rüste dein System mit Secunia und Updatechecker von Filehippo aus um immer auf dem aktuellsten Stand zu sein. Verzichte auf den parallelen Einsatz anderer Antivirenlösungen neben Antivir (z.B. McAffee / AVG / Kaspersky), da diese sich gegenseitig ausbremsen bzw. schlimmstenfalls eleminieren. Wenn du mit dem Firefox surfst, installiere die Addons noscript und Adblock plus. Deaktiviere die Autorunfunktion Autorun deaktivieren. Installiere dir als 2tes Auge auch mal solche Tools wie superantispyware und Malwarebytes und lasse sie gelegentlich mal scannen - ist ganz hilfreich. Verzichte außerdem auf den Einsatz von Toolbars in den Browsern, denn sie stellen ein Sicherheitsrisiko dar - darauf schauen das du sie bei Programminstallationen abwählst.