You are not logged in.

Saturday, August 30th 2014, 8:11am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Frau Schmidt" started this thread

Date of registration:
Nov 9th 2011

Operating System:
Windows XP

  • Send private message

1

Wednesday, November 9th 2011, 11:04pm

Trojaner/Backdoorprogramme aus Quarantäne entfernen?

Hallo zusammen,

seit einiger Zeit habe ich folgendes Problem:

auf meinem Computer sind hartnäckige Trojaner bzw. Backdoorprogramme,
von denen sich immer wieder Signaturen oder auch das ganze Teil finden.

Offenbar leitet es mich regelmäßig auf Werbeseiten weiter, jedenfalls nehme ich an, daß das der Grund ist,
warum ich seit neuestem häufig z.B. nicht direkt auf die Homepage einer Zeitung komme, sondern wahlweise auf eine Spiele - , Dating - oder ähnliche Seiten, die CPU-Auslastung ist während dieser Umleitungen enorm hoch.

Eine Löschung bietet mir Avira nicht an, aber folgende Kandidaten befinden sich derzeit in Quarantäne - soll ich sie einfach dort lassen,
aus der Quarantäne löschen oder mir die Rescue-CD brennen und darüber booten?

Ich habe jetzt schon mal den Suchlauf im abgesicherten Modus durchgeführt, dabei wurde noch dieses oberste Teil hier gefunden-
und vielen Dank im Voraus für Eure Tipps!
(auch dafür, wie ich solche Dinger in Zukunft abwehren kann - ich hatte noch nie Viren, tägliches Produktupdate,
regelmäßiger Scan - keine Ahnung, was da plötzlich los ist....)


Typ: Datei
Quelle: C:\Programme\51106\lvvm.exe
Status: Infiziert
Quarantäne-Objekt: 4d7254e8.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.108
Virendefinitionsdatei: 7.11.17.111
Meldung: Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Cycbot.lwnb
Datum/Uhrzeit: 09.11.2011, 22:26

Typ: Datei
Quelle: C:\Programme\D697A\lvvm.exe
Status: Infiziert
Quarantäne-Objekt: 4d3768c2.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.108
Virendefinitionsdatei: 7.11.17.111
Meldung: Ist das Trojanische Pferd TR/Kazy.423385
Datum/Uhrzeit: 09.11.2011, 19:47


Typ: Datei
Quelle: C:\Programme\D697A\lvvm.exe
Status: Infiziert
Quarantäne-Objekt: 55a04ad1.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.108
Virendefinitionsdatei: 7.11.17.111
Meldung: Ist das Trojanische Pferd TR/Kazy.423385
Datum/Uhrzeit: 09.11.2011, 19:47


Typ: Datei
Quelle: C:\Dokumente und Einstellungen\LENOVO\Anwendungsdaten\183D6\BB5B3.exe
Status: Infiziert
Quarantäne-Objekt: 600ad124.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.108
Virendefinitionsdatei: 7.11.17.40
Meldung: Ist das Trojanische Pferd TR/Kazy.42337.10
Datum/Uhrzeit: 07.11.2011, 22:37

Typ: Datei
Quelle: C:\Programme\LP\B321\556.exe
Status: Infiziert
Quarantäne-Objekt: 5461ce4d.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.108
Virendefinitionsdatei: 7.11.17.40
Meldung: Ist das Trojanische Pferd TR/Kazy.42337
Datum/Uhrzeit: 07.11.2011, 22:37

Typ: Datei
Quelle: C:\Programme\LP\B321\556.exe
Status: Infiziert
Quarantäne-Objekt: 4cf6ec5e.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.108
Virendefinitionsdatei: 7.11.17.40
Meldung: Ist das Trojanische Pferd TR/Kazy.42337
Datum/Uhrzeit: 07.11.2011, 22:37


Typ: Datei
Quelle: C:\Dokumente und Einstellungen\LENOVO\Anwendungsdaten\3F051\BB5B3.exe
Status: Infiziert
Quarantäne-Objekt: 4c3187cc.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.100
Virendefinitionsdatei: 7.11.16.251
Meldung: Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Cycbot.172032
Datum/Uhrzeit: 03.11.2011, 06:28


Typ: Datei
Quelle: C:\Dokumente und Einstellungen\LENOVO\Lokale Einstellungen\Temp\HouseCall\log\04782DAD-4454-4413-8FE8-0E55C2082093\backup\1
Status: Infiziert
Quarantäne-Objekt: 6938ff62.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.100
Virendefinitionsdatei: 7.11.16.234
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 01.11.2011, 22:13


Typ: Datei
Quelle: C:\Programme\Internet Explorer\83A3\D69.exe
Status: Infiziert
Quarantäne-Objekt: 5c99ea09.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.100
Virendefinitionsdatei: 7.11.16.234
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 01.11.2011, 22:13

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\LENOVO\Lokale Einstellungen\Temp\HouseCall\log\04782DAD-4454-4413-8FE8-0E55C2082093\backup\6
Status: Infiziert
Quarantäne-Objekt: 0f0fb0a0.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.100
Virendefinitionsdatei: 7.11.16.234
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 01.11.2011, 22:13

Typ: Datei
Quelle: C:\Programme\LP\83A3\4CB.exe
Status: Infiziert
Quarantäne-Objekt: 4415c5d2.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.06.100
Virendefinitionsdatei: 7.11.16.234
Meldung: Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Gbot.qatk
Datum/Uhrzeit: 01.11.2011, 22:13

Danke!

A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 14.04

  • Send private message

2

Wednesday, November 9th 2011, 11:45pm

Hallo Frau Schmidt und welcome on board und auch gleich sorry für eher unerfreulichen Kommentar:

-Zwar kannst du die Objekte in der Quarantäne lassen, da sie dort von Antivir umbenannt und verschlüsselt werden und daher dort keinen Schaden mehr anrichten können.

Jedoch ist mit Kazy und Backdoors nicht zu spaßen -man spricht in so einem Fall von Kompromittierung, weil man selbst nach Entfernung nicht weiß, was durch die "Hintertür" (=Backdoor) noch an vorläufig nicht entdeckten weitere Schädlingen bereits nachgeladen wurde.

In der Regel lautet hier dann die Empfehlung: persönliche Daten sichern > Formatieren > neu aufsetzen.

Trend Micro Housecall hast du ja auch schon versucht, scheint es....

Gibt es Backups der persönlichen Daten (also nichts Ausführbares, wie Programme, etc.)? -wenn Nein => damit beginnen, bis die Malware-Experten hier sich äußern-allzu viel Hoffnung, dass deren Befund anders ausfällt, würde ich mir an deiner Stelle aber nicht machen.

Leider.

:(
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

3

Thursday, November 10th 2011, 6:43am

Richtig - wie Novize schon sagte, ist dein System kompromittiert und nicht mehr vertrauenswürdig. Am sichersten wäre es du sicherst deine Daten (keine ausführbaren Dateien wie exe, bat, com etc.), formatierst die Systempartition und setzt Windows neu auf.

Bitte dann auf dem neuen System sämtliche Passwörter ändern und bei Onlinebanking umgehend deine Bank informieren.

Lies bitte auch folgendes: Kompromittierung, Backdoor;
neuaufsetzen


Hier noch ein paar Tipps für die Zukunft:

Rüste dein System mit Secunia und Updatechecker von Filehippo aus um immer auf dem aktuellsten Stand zu sein. Verzichte auf den parallelen Einsatz anderer Antivirenlösungen neben Antivir (McAffee / AVG / Kaspersky), da diese sich gegenseitig ausbremsen bzw. schlimmstenfalls eleminieren. Wenn du mit dem Firefox surfst, installiere die Addons noscript und Adblock plus. Deaktiviere die Autorunfunktion Autorun deaktivieren. Installiere dir als 2tes Auge auch mal solche Tools wie superantispyware und Malwarebytes und lasse sie gelegentlich mal scannen - ist ganz hilfreich. Verzichte außerdem auf den Einsatz von Toolbars in den Browsern, denn sie stellen ein Sicherheitsrisiko dar - darauf schauen das du sie bei Programminstallationen abwählst.

  • "Frau Schmidt" started this thread

Date of registration:
Nov 9th 2011

Operating System:
Windows XP

  • Send private message

4

Thursday, November 10th 2011, 1:49pm

Hallo,

danke erstmal für Eure Antworten - puh Du meine Güte, also alles neu aufspielen...Ihr haltet es also nicht für hilfreich,
über die Avira Rescue CD zu booten und die empfohlene "Reinigung" durchzuführen, seh ich das richtig?

Ja, Trend Micro und Spybot habe ich auch schon probiert, hat aber wohl nix gebracht :(

Werde aber auf alle Fälle sämtliche Passwörter ändern, danke für den Hinweis!

5

Thursday, November 10th 2011, 7:11pm

über die Avira Rescue CD zu booten und die empfohlene "Reinigung" durchzuführen, seh ich das richtig?



Genau - das ist bei diesem Befall nicht mehr genug.

  • "Frau Schmidt" started this thread

Date of registration:
Nov 9th 2011

Operating System:
Windows XP

  • Send private message

6

Thursday, November 10th 2011, 7:55pm

Funzt eh nicht, weil er nicht über die CD bootet :(

Mist!

Trotzdem danke für Eure Hilfe, jetzt kenn ich mich wenigstens aus!

A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 14.04

  • Send private message

7

Thursday, November 10th 2011, 9:27pm

Hattest du denn auch die Bootfolge im Bios so umgestellt, dass das CD/DVD-Laufwerk an oberster Stelle ist?

(Nicht weil ich glaube, dass die Rescue-CD alles beheben könnte- aber die Datensicherung der persönlichen Daten über eine Linux-Live-CD könnte auch eine bessere Option sein, als von dem verseuchten Windows aus.)
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

boston

Community member

Date of registration:
Mar 25th 2008

  • Send private message

8

Thursday, November 10th 2011, 11:54pm

@novize
btw
die einordnung kazy ist nichtssagend.;)

A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 14.04

  • Send private message

9

Thursday, November 10th 2011, 11:58pm

Mag sein.

Damit insinuierst du aber wohl nicht, dass der Rest oder was sonst noch so bei Frau Schmidt an Ungeziefer kreuchen mag, auch "nichtssagend" im Sinne von "zu bagatellisieren" sei, gell?

edit: da fehlt ein smilie:
;)
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

boston

Community member

Date of registration:
Mar 25th 2008

  • Send private message

10

Friday, November 11th 2011, 12:19am

ist so.;)
dass die bezeichnung kazy bei der einordnung eines schädlings nicht hilfreich ist, ändert nichts an der tatsache, dass hier der saubere neuanfang + umdenken(user account etc.) angesagt ist.
ok?

A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 14.04

  • Send private message

11

Friday, November 11th 2011, 9:30am

ok?

aber ja doch... :P

Nur zur Klarstellung- weil das für Frau Schmidt, die Thread-Ownerin, ja auch etwas OT ist- da mir sowohl das vertiefte Know-How als auch die Zeit fehlt, um Malware-samples zu analysieren, virtuelle Testysteme laufen zu lassen, usw., verweise ich meist auf die Experten hier.

Bei einer Vielzahl von Funden wie hier scheint es mir manchmal geboten, User auf den vermutlich nötigen radikalen Handlungsbedarf hinzuweisen/vorzubereiten- die Nennung von Malware-Bezeichnungen aus den Reports erfolgt dann eher random-mäßig.
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

boston

Community member

Date of registration:
Mar 25th 2008

  • Send private message

12

Friday, November 11th 2011, 10:58pm

ein echtes testsystem ist einem virtuellen überlegen.;)

um Frau Schmidt noch einmal konkret auf die frage "auch dafür, wie ich solche Dinger in Zukunft abwehren kann" zu antworten:

diese

C:\Programme\51106\lvvm.exe
C:\Programme\D697A\lvvm.exe
C:\Programme\LP\B321\556.exe
C:\Programme\Internet Explorer\83A3\D69.exe
C:\Programme\LP\83A3\4CB.exe

schädlingseinträge sind nur mit adminrechten möglich.
ein eingeschränktes konto anzulegen und das adminkonto nur dann zu nutzen, wenn dies unbedingt erforderlich ist, gehört zu den basics eines sicherheitskonzeptes.
http://virus-protect.org/administrator.html