Hallo Leute,
es scheint also doch nicht überstanden.
Nachdem ich schon im ersten Thread:
http://www.trojaner-board.de/98156-w...er-y-14-a.html
meine Probleme und logs gepostet habe, versuche ich jetzt hier den nächsten Anlauf.

Antivir spuckt erstmal folgendes aus. Wichtig ist zu wissen, dass hier ne zweite Platte aus meinem Ex-Laptop dran hängt, die anscheinend auch nicht ganz jungfräulich in Bezug auf Trojaner war:

Code: Alles auswählenAufklappen

ATTFilter

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Basta\Desktop\Desktop\Ablage\usb\eigene Dats\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Conficker.Y.12
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Basta\Desktop\Desktop\Neuer Ordner (2)\progs\Online Malware scan-Dateien\ELIBAGLA.AGA%D8B%D8%D8H.EXE
  [FUND]      Ist das Trojanische Pferd TR/Gendal.57355.A
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Basta\Lokale Einstellungen\Temp\jar_cache2160939286116540888.tmp
  [FUND]      Ist das Trojanische Pferd TR/Banker.Agent.ckj
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Programme\SarasSoft\UFS\UFS_SAMs\Boot\SW_D500_FLp(0001).bin
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
  [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP27\A0008259.dll
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Conficker.Y.14
  [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP75\A0031745.exe
  [FUND]      Ist das Trojanische Pferd TR/Banker.Agent.ckj
  [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP75\A0032736.dll
  [FUND]      Ist das Trojanische Pferd TR/Spy.Farko.f
  [WARNUNG]   Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <BOOT>
D:\Dokumente und Einstellungen\Basta\Eigene Dateien\philosophie und weitere literatur\Klassische Philologie\Lumina Lernsoftware Latein (CloneCD Image).ace
[0] Archivtyp: ACE
--> Lumina.ccd
[WARNUNG]   Zu wenig Speicher! Die Datei wurde nicht durchsucht!
D:\Programme\Image-Line\FL Studio 7\Plugins\VST\Instruments\SYNTH-VirtualAnalog\Angular_Momentum_Warefare_2.0\AMAnalogWarfare2.zip
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MDH.G.16
--> Angular Momentum Analog Warfare 2.exe
[FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MDH.G.16
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\hts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\jts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\kts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\ots[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\qts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.81920.26
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\rts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.bglc
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\sts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.37
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\uts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.34
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\vts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.36
  [WARNUNG]   Die Datei wurde ignoriert.
         

Schritt 1: defogger
...bringt bei mir kein Logfile. Warum?

Schritt 2: OTL
bei mir wird nur eine OTL.txt Datei erzeut. Von extra.txt sehe ich nichts.
OTL.txt im Anhang.

Schritt 3: Gmer
txt im Anhang.

Vielen Dank für eure Mithilfe

Edit:
Schritt 4: Quickscan mit Malwarebytes -
Ergebnisse:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6852

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.06.2011 12:17:34
mbam-log-2011-06-14 (12-17-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 164511
Laufzeit: 5 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> No action taken.

Infizierte Dateien:
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> No action taken.
c:\dokumente und einstellungen\Basta\eigene dateien\downloads\svchostanalyzer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
         

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danke für die Antwort.
Log ist im Anhang. Noch nichts wurde unternommen - mwb ist aber noch geöffnet...

Zitat:

c:\dokumente und einstellungen\Basta\Desktop\Desktop\neuer ordner\Musik\novation\novation.v-station.vsti.v1.11-arctic\trope.exe (Malware.Packer.Gen)
e:\standardsoftware\!-itees-extras\xp-einstellung\wpa_kill_sp3\CRYPT.DLL (Hacktool)

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Tut mir leid - dieses "hacktool" stammt von einem USB aus einem schlechten Hardwaresupport, bei dem ich mal ein Praktikum gemacht habe. Ich habe weder das programm je genutzt noch hatte ich die Intention dazu.
Sorry, aber Neuinstallation kommt nicht in Frage, zumal einige Schädlinge ja nicht auf C liegen.
Aber es ist ja euer Forum...
Danke vielmals...

Zitat:

Sorry, aber Neuinstallation kommt nicht in Frage,

Zu spät! Du hättest die Finger von illegaler Software lassen müssen.

Gut, da der offizielle Support gestorben ist, wende ich mich an den letzten Thread, der sich mit Conficker Y14 beschäftigt hat:
http://www.trojaner-board.de/88234-a...ne-erfolg.html
und werde alle Schritte dokumentieren.
Ich hoffe, ihr seid nicht so restriktiv und schliesst mir den Thread - es könnten vielleicht andere davon profitieren....
Poz

Schritt 1: hjtscanlist + hijackthis im Anhang (ASK toolbar gefixt - nach automatischer Auswertung
Schritt 2:
Zugriff auf System Volume Information Ordner erwirkt
hxxp://www.administrator.de/index.php?content=11353
Schritt 3: CCleaner

Sry aber mit dem Fixen über HijackThis von irgendwelchen Ask-Toolbars kann man doch nciht ernsthaft erwarten, den Conficker zu entfernen

Hab jetzt bei avira im Forum nochmal meine av logs und hijackthislogs geposted. Aber schön, dass du dich ueber meine Versuche freust, dem Problem Herr zu werden.
Ist echt aktiv dieses Forum.
Viele Grüße,
Atina

Nein, freuen tu ich mich nicht wirklich. Ich wollte dir nur deutlich machen, dass halbherzige Bereinigungsversuche Zeitverschwendung sind. Dann biste besser mit format c dran

Kann ich mir zur Zeit nicht leisten, dass System neu aufzusetzen. Muss jetzt erstmal geflickt werden...

Hm, keine Datensicherung vorhanden?
System schnell plätten, neu aufziehen, die wichtigsten Programme nachinstallieren. Wenn man richtig schnell ist, ist das nur ne Sache wenigen Stunden - je nachdem welche Ausstattung man hat.
Noch schneller gehts wenn man ein aktuelles Image ohne Malware und Cracks/Keygens hätte