AntiVir poppt mit Fund "TR/eyestye.N.405" auf

#1 Hallo!

Ich habe vorhin eine Warnung von AntiVir erhalten das o.g. Programm oder Trojaner gefunden wurde.

Lasse grad am infizierten System einen Antivir vollsystemcheck laufen.
Bei 24 Prozent hat er nun 5 Funde, der letzte Fund ist "EXP/2010-0840.P"

Seltsam nur das ich vor ein paar tagen beim Versenden einer einfachen Email von Thunderbird die Fehlermeldung bekam, das sich die gesendete Mail nicht in die gesendeten Mails verschieben lassen könne.
Die Mail kam beim empfänger nie an.

Und auch eine "sytem ist ausgelastet" meldung kam heute... mit "laufwerkwechseln" button und noch einer schaltfläche... kurzdrauf ging es dann wieder weiter, ehe dann die o.g. Fehlermeldung kam.

Ich weiß jetzt nicht was ich euch am besten poste bzw. was ich nun tun kann.

Bitte helft mir... Vielen Dank!

#2 Hier der Antivir Reportscan

Hab die angezeigten Trojaner/viren in quarantäne verschoben

Zitat

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 30. November 2011 21:19

Es wird nach 3496520 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Surfen
Computername : BURLI-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 11:08:11
AVSCAN.DLL : 10.0.5.0 57192 Bytes 21.07.2011 11:10:57
LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 11:09:32
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 13:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 11:08:11
AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 11:08:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 11:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:52:59
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 06:53:00
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 11:10:02
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 11:10:06
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 11:10:07
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 20:48:46
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 19:51:54
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 19:52:14
VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 19:52:14
VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 19:52:14
VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 19:52:14
VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 19:52:14
VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 19:52:14
VBASE014.VDF : 7.11.18.90 2048 Bytes 28.11.2011 19:52:14
VBASE015.VDF : 7.11.18.91 2048 Bytes 28.11.2011 19:52:14
VBASE016.VDF : 7.11.18.92 2048 Bytes 28.11.2011 19:52:14
VBASE017.VDF : 7.11.18.93 2048 Bytes 28.11.2011 19:52:14
VBASE018.VDF : 7.11.18.94 2048 Bytes 28.11.2011 19:52:14
VBASE019.VDF : 7.11.18.95 2048 Bytes 28.11.2011 19:52:15
VBASE020.VDF : 7.11.18.96 2048 Bytes 28.11.2011 19:52:15
VBASE021.VDF : 7.11.18.97 2048 Bytes 28.11.2011 19:52:15
VBASE022.VDF : 7.11.18.98 2048 Bytes 28.11.2011 19:52:15
VBASE023.VDF : 7.11.18.99 2048 Bytes 28.11.2011 19:52:15
VBASE024.VDF : 7.11.18.100 2048 Bytes 28.11.2011 19:52:15
VBASE025.VDF : 7.11.18.101 2048 Bytes 28.11.2011 19:52:15
VBASE026.VDF : 7.11.18.102 2048 Bytes 28.11.2011 19:52:15
VBASE027.VDF : 7.11.18.103 2048 Bytes 28.11.2011 19:52:15
VBASE028.VDF : 7.11.18.104 2048 Bytes 28.11.2011 19:52:15
VBASE029.VDF : 7.11.18.105 2048 Bytes 28.11.2011 19:52:15
VBASE030.VDF : 7.11.18.106 2048 Bytes 28.11.2011 19:52:15
VBASE031.VDF : 7.11.18.139 125952 Bytes 30.11.2011 19:52:15
Engineversion : 8.2.6.120
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 17:13:47
AESCRIPT.DLL : 8.1.3.87 475516 Bytes 30.11.2011 19:52:17
AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 06:52:28
AESBX.DLL : 8.2.1.34 323957 Bytes 21.07.2011 11:07:25
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 17:05:01
AEPACK.DLL : 8.2.13.4 684406 Bytes 15.11.2011 20:48:24
AEOFFICE.DLL : 8.1.2.20 201083 Bytes 19.11.2011 08:42:18
AEHEUR.DLL : 8.1.2.193 3850617 Bytes 30.11.2011 19:52:16
AEHELP.DLL : 8.1.18.0 254327 Bytes 26.10.2011 17:13:37
AEGEN.DLL : 8.1.5.14 405877 Bytes 19.11.2011 08:42:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 06:52:17
AECORE.DLL : 8.1.24.0 196983 Bytes 26.10.2011 17:13:35
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 06:52:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 06:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 11:08:05
AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 11:08:06
AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 11:07:41
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 11:07:59
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 14:12:30
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 06:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 06:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 11:11:03
RCTEXT.DLL : 10.0.64.0 98664 Bytes 21.07.2011 11:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 30. November 2011 21:19

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess '4DF32E2.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess '4DFC85D.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '76' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '128' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Surfen\AppData\Local\Temp\0.1698280180231807fdrgs.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.405
C:\Users\Surfen\AppData\Local\Temp\0.6564494047207244df35.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.405
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\40a652fe-1c8da212
[0] Archivtyp: ZIP
--> support/ListView.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.DD
--> support/SmartyPointer.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.CV
--> support/Window.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.P
Beginne mit der Suche in 'D:\' <RECOVERY>

Beginne mit der Desinfektion:
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\40a652fe-1c8da212
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.P
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492d08a1.qua' verschoben!
C:\Users\Surfen\AppData\Local\Temp\0.6564494047207244df35.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.405
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51812705.qua' verschoben!
C:\Users\Surfen\AppData\Local\Temp\0.1698280180231807fdrgs.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.405
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03d57ded.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 30. November 2011 22:59
Benötigte Zeit: 1:40:30 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

47567 Verzeichnisse wurden überprüft
755257 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
755252 Dateien ohne Befall
3840 Archive wurden durchsucht
0 Warnungen
3 Hinweise
608389 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

#3 Hallo

Abarbeiten und Logs posten:
http://board.protecus.de/t40182.htm

#4 Hallo Swisstreasure,

hab das OTL geladen und als Admin ausgeführt. Er beginnt mit der Suche und nach einer gewissen Zeit kommt ein OTL Popup "Out of Memory"
Danach ändert sich nichts mehr unten in der Zeile bzw. er sucht keine neuen Verzeichnisse.

Wie lang dauert so ein "Quick Scan" normal?! Hab das 3 Std jetzt laufen gehabt und es kam keine Datei die ich kopieren könnte?!

#5 Malwarebytes Anti-Malware

Lade MBAM herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu

#6 Keine Infizierung gefunden... Hier der Log:

www.malwarebytes.org

Datenbank Version: 8328

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

07.12.2011 18:12:02
mbam-log-2011-12-07 (18-12-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 181845
Laufzeit: 5 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#7 Hast Du OTL nochmals versucht nach Anleitung zu starten?

#8 Habs nochmal probiert. Wieder kam "Out of Memory"

Auch ein neuer Download brachte das gleiche Resultat.

Ich muss diese OTL ja nur runterladen, auf den Desktop klatschen und danach mittels rechtsklick als admin starten, dann den Befehl kopieren und den quick scan starten ohne weiter häckchen zu setzen oder zu entfernen, oder?!

Hab die infizierten datein, seinerzeit in Quarantäne geschoben, evtl. darum keine funde?!

#9 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

#10 Hab combofix wie beschrieben geladen, antivir deaktiviert und per doppelklick gestartet.
Es öffnete sich ein lizenz fenster, ich bestätigte dirs und ein dos scribt begann zu arbeiten und setzte mehrere speicherpunkte (oder ähnlich, knapp 50 stk)
Dann wurde automatisch neu gedtartet und nun öffnet und schließt sich seit gut 5min combofix editor offenbar hintereinander und schliest sich wohl auch gleich wieder (ca 10x sec)
Die von dir beschriebenen fenster sind nicht erschienen obwohl ich punkt für punkt abgearbeitet habe.
Gehört das zur suche oder stimmt da was nicht?

#11 Findest Du hier ein Textfile?
C:\ComboFix.txt

#12 Ja..

ComboFix 11-12-12.02 - Burli 12.12.2011 22:46:30.1.2 - x64
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.4094.2670 [GMT 1:00]
ausgeführt von:: C:\Users\Surfen\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

#13 Das ist aber nicht das ganze Log...

#14 Doch!
Mehr steht in der o.g. TXT nicht drinnen.

Dadurch das permanent das Combofix Fenster auf und zu geht kannst du auch nicht einfach so markieren und Kopieren, da du ja immer kurzzeitig auf das aktuelle Fenster hüpfst, das dann sofort wieder geschlossen wird.
Konnte nur durch drücken der shift taste alles markieren.

Kann man den Combo Fix Scanvorgang irgendwie stoppen?

#15 Läuft der noch immer??? Schalte einmal die Kiste aus und starte neu.