| |
| |||||||
Log-Analyse und Auswertung: WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.06.2011, 10:28
| #1 |
 |  WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... Hallo Leute, es scheint also doch nicht überstanden. Nachdem ich schon im ersten Thread: http://www.trojaner-board.de/98156-w...er-y-14-a.html meine Probleme und logs gepostet habe, versuche ich jetzt hier den nächsten Anlauf. Antivir spuckt erstmal folgendes aus. Wichtig ist zu wissen, dass hier ne zweite Platte aus meinem Ex-Laptop dran hängt, die anscheinend auch nicht ganz jungfräulich in Bezug auf Trojaner war: Code:
ATTFilter Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Basta\Desktop\Desktop\Ablage\usb\eigene Dats\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Y.12
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Basta\Desktop\Desktop\Neuer Ordner (2)\progs\Online Malware scan-Dateien\ELIBAGLA.AGA%D8B%D8%D8H.EXE
[FUND] Ist das Trojanische Pferd TR/Gendal.57355.A
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Basta\Lokale Einstellungen\Temp\jar_cache2160939286116540888.tmp
[FUND] Ist das Trojanische Pferd TR/Banker.Agent.ckj
[WARNUNG] Die Datei wurde ignoriert.
C:\Programme\SarasSoft\UFS\UFS_SAMs\Boot\SW_D500_FLp(0001).bin
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP27\A0008259.dll
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Y.14
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP75\A0031745.exe
[FUND] Ist das Trojanische Pferd TR/Banker.Agent.ckj
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP75\A0032736.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Farko.f
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <BOOT>
D:\Dokumente und Einstellungen\Basta\Eigene Dateien\philosophie und weitere literatur\Klassische Philologie\Lumina Lernsoftware Latein (CloneCD Image).ace
[0] Archivtyp: ACE
--> Lumina.ccd
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
D:\Programme\Image-Line\FL Studio 7\Plugins\VST\Instruments\SYNTH-VirtualAnalog\Angular_Momentum_Warefare_2.0\AMAnalogWarfare2.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MDH.G.16
--> Angular Momentum Analog Warfare 2.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MDH.G.16
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\hts[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\jts[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\kts[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\ots[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\qts[1].exe
[FUND] Ist das Trojanische Pferd TR/Kazy.81920.26
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\rts[1].exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.bglc
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\sts[1].exe
[FUND] Ist das Trojanische Pferd TR/Agentbypass.K.37
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\uts[1].exe
[FUND] Ist das Trojanische Pferd TR/Agentbypass.K.34
[WARNUNG] Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\vts[1].exe
[FUND] Ist das Trojanische Pferd TR/Agentbypass.K.36
[WARNUNG] Die Datei wurde ignoriert.
...bringt bei mir kein Logfile. Warum?  Schritt 2: OTL bei mir wird nur eine OTL.txt Datei erzeut. Von extra.txt sehe ich nichts. OTL.txt im Anhang. Schritt 3: Gmer txt im Anhang. Vielen Dank für eure Mithilfe Edit: Schritt 4: Quickscan mit Malwarebytes - Ergebnisse: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Datenbank Version: 6852
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
14.06.2011 12:17:34
mbam-log-2011-06-14 (12-17-24).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 164511
Laufzeit: 5 Minute(n), 13 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> No action taken.
Infizierte Dateien:
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> No action taken.
c:\dokumente und einstellungen\Basta\eigene dateien\downloads\svchostanalyzer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Geändert von Atina (14.06.2011 um 11:20 Uhr) |
| Themen zu WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... |
| adspy/mdh.g.16, conficker, heuristics.reserved.word.exploit, hijack.userinit, jar_cache, malware.trace, pum.hijack.system.hidden, stolen.data, system volume information, tr/agentbypass.k.34, tr/agentbypass.k.36, tr/agentbypass.k.37, tr/banker.agent.ckj, tr/crypt.epack.gen, tr/crypt.epack.gen2, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/gendal.57355.a, tr/kazy.81920.26, tr/spy.farko.f, tr/spy.zbot.bglc, trojan.banker, warum, worm/conficker.y.12, worm/conficker.y.14 |
Baum-Darstellung