| |
| |||||||
Log-Analyse und Auswertung: Trojan.Zaccess-Befall, bitte um HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
| |
21.08.2012, 17:52
| #1 |
| |  Trojan.Zaccess-Befall, bitte um Hilfe Hallo liebes TB-Team, seit gestern spielt mein Laptop (Fertig-Gerät Acer Aspire 5737Z) verrückt. Ich benutze die kostenlose Antivir-Version von Avira. Plötzlich hatte ich Live Security Platinum auf dem Rechner, das verhinderte, dass ich ins Internet komme, und dass ich .exe-Dateien ausführe. Mit einem Code aus dem Intenet habe ich das Programm "ruhig gestellt". Dann habe ich eine Testversion von Gdata runtergeladen, sie installiert und einen normalen Scan, sowie einen Boot-Scan durchgeführt. Er hat einiges gefunden. Zusätzlich habe ich dann einen Scan mit Malwarebytes Antimalware durchgeführt. Die Log-Datei möchte ich nun gerne posten. Ihr Inhalt hat mich nach etwas googlen echt beunruhigt. Mein Vorgehen war wahrscheinlich nicht sonderlich professionell und ich hoffe, dass ich nicht noch zusätzlichen Schaden angerichtet habe. Ich möchte nun nicht mehr selber ins Blaue herumdoktorn und bitte deshalb um Hilfe. Log-File: Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.21.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 8.0.6001.19298 daniel :: KALLE-COMPUTER2 [Administrator] 21.08.2012 13:28:06 mbam-log-2012-08-21 (13-28-06).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 404100 Laufzeit: 4 Stunde(n), 9 Minute(n), 20 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Daten: C:\Users\daniel\AppData\Local\{fe0a75c9-49f8-5e26-44cd-ada2bfe6d524}\n. -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 3 HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 1 C:\Users\daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurity) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 3 C:\Users\daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum Support Site.url (Rogue.LiveSecurity) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurity) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Uninstall.lnk (Rogue.LiveSecurity) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Hier noch das, was der scan von gdata ergeben hat: Virenprüfung mit G Data AntiVirus Version 23.0.3.2 (04.06.2012) Virensignaturen vom 20.08.2012 Startzeit: 20.08.2012 23:35:36 Engine(s): Engine A (AVA 22.5836), Engine B (AVL 22.1129) Heuristik: Ein Archive: Ein Systembereiche: Ein RootKits prüfen: Ein Prüfung der Systembereiche... Prüfung aller im Speicher befindlichen Prozesse und Verweise im Autostart... Prüfung auf RootKits... Prüfung aller lokalen Festplatten... Analyse vollständig durchgeführt: 21.08.2012 02:45:34 214298 Dateien überprüft 15 infizierte Dateien gefunden 0 verdächtige Dateien gefunden Objekt: avkD2B9.tmp Pfad: C:\Windows\Temp Status: Virus entfernt Virus: Trojan.Sirefef.JD (Engine A) Objekt: katy-perry-gains-herself-after-divorce-with-a-chart-topper[1].html Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3W7349JA Status: Datei in Quarantäne verschoben Virus: HTML:Script-inf (Engine B) Objekt: justin-timberlake-picks-the-outfit-for-his-girlfriend[1].html Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3W7349JA Status: Datei in Quarantäne verschoben Virus: HTML:Script-inf (Engine B) Archiv: ad_track[1].htm Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\42F8RGWJ Status: Virus gefunden Virus: JS:Trojan.Script.EY (Engine A) Objekt: (INFECTED_JS) In Archiv: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\42F8RGWJ\ad_track[1].htm Status: Virus gefunden Virus: JS:Trojan.Script.EY (Engine A) Objekt: dref=http%253A%252F%252Fstarsjournal.com%252F10514%252Fnatalie-portman-benjamin-millepied-we-belong-together[1].html Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\42F8RGWJ Status: Datei in Quarantäne verschoben Virus: HTML:Script-inf (Engine B) Objekt: dref=http%253A%252F%252Fstarsjournal.com%252F10514%252Fnatalie-portman-benjamin-millepied-we-belong-together[2].html Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\42F8RGWJ Status: Datei in Quarantäne verschoben Virus: HTML:Script-inf (Engine B) Objekt: dref=http%253A%252F%252Fstarsjournal.com%252F10514%252Fnatalie-portman-benjamin-millepied-we-belong-together[2].html Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G21EP14J Status: Datei in Quarantäne verschoben Virus: HTML:Script-inf (Engine B) Objekt: dref=http%253A%252F%252Fstarsjournal.com%252F10514%252Fnatalie-portman-benjamin-millepied-we-belong-together[1].html Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G21EP14J Status: Datei in Quarantäne verschoben Virus: HTML:Script-inf (Engine B) Objekt: farmfrenzypc_com[1].htm Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G21EP14J Status: Datei in Quarantäne verschoben Virus: HTML:Iframe-inf (Engine B) Archiv: ad_track[1].htm Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RCTEBXQF Status: Virus gefunden Virus: JS:Trojan.Script.EY (Engine A) Objekt: (INFECTED_JS) In Archiv: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RCTEBXQF\ad_track[1].htm Status: Virus gefunden Virus: JS:Trojan.Script.EY (Engine A) Objekt: betty-white-flirts-with-ryan-seacrest-on-twitter[1].html Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RCTEBXQF Status: Datei in Quarantäne verschoben Virus: HTML:Script-inf (Engine B) Objekt: kanye-west-plays-the-role-of-dutiful-boyfriend-for-kim-kardashian-again[1].html Pfad: C:\Users\daniel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RCTEBXQF Status: Datei in Quarantäne verschoben Virus: HTML:Script-inf (Engine B) Objekt: A19F.tmp Pfad: C:\Users\daniel\AppData\Local\Temp Status: Datei in Quarantäne verschoben Virus: Win32:Sirefef-AIG [Trj] (Engine B) Objekt: msimg32.dll Pfad: C:\Users\daniel\AppData\Local\Temp Status: Datei in Quarantäne verschoben Virus: Win32:Sirefef-AIG [Trj] (Engine B) Objekt: plugin-wAM_Bubs Pfad: C:\Users\daniel\AppData\Local\Temp\plugtmp-1 Status: Datei in Quarantäne verschoben Virus: JS:Pdfka-gen [Expl] (Engine B) Der Zugriff auf die folgenden Dateien wurde verweigert: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\d950e38f96acca9f61b972b2c7e0f586_63685ec0-3cb2-4162-b9b6-ac9c03491f1f C:\System Volume Information\ISwift3.dat C:\System Volume Information\MountPointManagerRemoteDatabase D:\System Volume Information\MountPointManagerRemoteDatabase Geändert von Diddie (21.08.2012 um 18:14 Uhr) Grund: Zusatz |
| Themen zu Trojan.Zaccess-Befall, bitte um Hilfe |
| acer, acer aspire, administrator, anti-malware, antimalware, appdata, autostart, code, crypto, explorer, gdata, gelöscht, google, iframe-inf, internet, js:pdfka-gen, laptop, live, log-datei, malwarebytes, microsoft, nicht mehr, programm, rechner, roaming, scan, security, software, trojan.sirefef.jd, verweise, vista |
Baum-Darstellung