|
Plagegeister aller Art und deren Bekämpfung: Virus JS/BlacoleRef.W.101 bei mirWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.01.2013, 22:45 | #1 |
| Virus JS/BlacoleRef.W.101 bei mir Hallo, heute wurde leider meine Webseite wegen Verbreitung von Malware gesperrt. Habe mich mit dem Provider gleich in Verbindung gesetzt, um ein Backup zu erhalten und die Seiten zu erneuern. Als ich dieses herunterlade warnt Avira mich vor JS/BlacoleRef.W.101, die in der Backup.tar Datei steckt. Nachdem ich versucht habe die Datei zu löschen, steckt diese nun in $Recycle.Bin und in der Avira Quarantäne. Es ist wahrscheinlich, dass der ftp-Server geknackt wurde. Habe daher, habe daher Malwarebyte über den PC laufen lassen. Folgendes Ergebnis kam raus: Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Database version: v2013.01.11.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 7.0.6002.18005 XXXX :: XXXX-PC [limited] 11.01.2013 11:38:25 mbam-log-2013-01-11 (11-38-25).txt Scan type: Full scan (C:\|D:\|) Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 443060 Time elapsed: 3 hour(s), 29 minute(s), 44 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 3 HKCR\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker) -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549B5CA7-4A86-11D7-A4DF-000874180BB3} (Trojan.Agent) -> Quarantined and deleted successfully. Registry Values Detected: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Data: C:\Users\XXXX\AppData\Roaming\appconf32.exe -> Quarantined and deleted successfully. Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) Ich würde meinen PC gerne schadfrei bekommen, um dann auch die Webseite reparieren zu können. Freue mich über jede Hilfe! Danke!! Viele Grüße marcus |
12.01.2013, 00:44 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus JS/BlacoleRef.W.101 bei mir Hallo und
__________________Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!
__________________ |
12.01.2013, 10:53 | #3 |
| Virus JS/BlacoleRef.W.101 bei mir Hallo,
__________________hier die Logs in chronologischer Reihenfolge. Malwarebytes Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Database version: v2013.01.11.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 7.0.6002.18005 XXX:: XXXX-PC [limited] 11.01.2013 11:38:25 mbam-log-2013-01-11 (11-38-25).txt Scan type: Full scan (C:\|D:\|) Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 443060 Time elapsed: 3 hour(s), 29 minute(s), 44 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 3 HKCR\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker) -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549B5CA7-4A86-11D7-A4DF-000874180BB3} (Trojan.Agent) -> Quarantined and deleted successfully. Registry Values Detected: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Data: C:\Users\XXXXX\AppData\Roaming\appconf32.exe -> Quarantined and deleted successfully. Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6844 # api_version=3.0.2 # EOSSerial=1a6d34385825b541bfc3233c9c7bc062 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-01-11 07:51:11 # local_time=2013-01-11 08:51:12 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=1799 16775165 100 100 20149 223357162 202096 0 # compatibility_mode=3073 16777213 40 89 119570846 119572012 0 0 # compatibility_mode=5892 16776573 100 95 8373210 195466574 0 0 # scanned=251634 # found=0 # cleaned=0 # scan_time=18282 Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Database version: v2013.01.11.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 7.0.6002.18005 XXX:: XXXX-PC [limited] 11.01.2013 11:38:25 MBAM-log-2013-01-11 (15-09-13).txt Scan type: Full scan (C:\|D:\|) Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 443060 Time elapsed: 3 hour(s), 29 minute(s), 44 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 3 HKCR\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker) -> No action taken. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> No action taken. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549B5CA7-4A86-11D7-A4DF-000874180BB3} (Trojan.Agent) -> No action taken. Registry Values Detected: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Data: C:\Users\XXXXX\AppData\Roaming\appconf32.exe -> No action taken. Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) Code:
ATTFilter Exportierte Ereignisse: 11.01.2013 22:15 [System Scanner] Malware gefunden Die Datei 'D:\$RECYCLE.BIN\S-1-5-21-1432457705-2119149416-579073992-1002\$RWN70ZJ\Webspace \1und1-Backup.tar' enthielt einen Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55c82826.qua' verschoben! 11.01.2013 22:11 [Echtzeit Scanner] Malware gefunden In der Datei 'D:\$RECYCLE.BIN\S-1-5-21-1432457705-2119149416-579073992-1002\$RWN70ZJ\Webspace \1und1-Backup.tar' wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern 11.01.2013 22:04 [System Scanner] Malware gefunden Die Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar' enthielt einen Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]. Durchgeführte Aktion(en): Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004. Die Quelldatei konnte nicht gefunden werden. Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! Fehler in der ARK Library. Die Datei wurde zum Löschen nach einem Neustart markiert. Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. 11.01.2013 21:56 [Echtzeit Scanner] Malware gefunden In der Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar' wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern 11.01.2013 21:02 [Echtzeit Scanner] Malware gefunden In der Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar' wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern 11.01.2013 21:02 [Echtzeit Scanner] Malware gefunden In der Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar' wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus] gefunden. Ausgeführte Aktion: Übergeben an Scanner 11.01.2013 21:02 [Echtzeit Scanner] Malware gefunden In der Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar' wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern 11.01.2013 10:22 [Browser Schutz] Malware gefunden Beim Zugriff auf Daten der URL "hxxp://www.euphorum.org/" wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus] gefunden. Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert 11.01.2013 10:22 [Echtzeit Scanner] Malware gefunden In der Datei 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\WEBGUARD\00061F01.html' wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Database version: v2013.01.11.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 7.0.6002.18005 XXXX:: XXX-PC [limited] 11.01.2013 21:05:42 mbam-log-2013-01-11 (21-05-42).txt Scan type: Full scan (D:\|) Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 249910 Time elapsed: 53 minute(s), 21 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) |
12.01.2013, 15:46 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus JS/BlacoleRef.W.101 bei mir Machst du Onlinebanking mit diesem Rechner?
__________________ Logfiles bitte immer in CODE-Tags posten |
13.01.2013, 12:07 | #5 |
| Virus JS/BlacoleRef.W.101 bei mir Jetzt nicht mehr. Was sollte ich denn nun tun? |
13.01.2013, 20:31 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus JS/BlacoleRef.W.101 bei mir Wenn du in Zukunft irgendwann mal wieder banken willst solltest du lieber eine Neuinstallation von Windows machen. Überleg dir das.
__________________ --> Virus JS/BlacoleRef.W.101 bei mir |
Themen zu Virus JS/BlacoleRef.W.101 bei mir |
anti-malware, appdata, avira, browser, datei, detected, ergebnis, explorer, file, folge, helper, hilfe!, löschen, malware, microsoft, recycle.bin, registry, roaming, seiten, software, system, trojan.agent, verbindung, virus, vista |