Backdoor.Win32.ZAccess.eqwk / .epsi und HEUR:Exploit.Java.Generic auf meinem Rechner

Type: Trojan program (25)	
Backdoor.Win32.ZAccess.eqwk	Deleted	09.11.2013 15:18:33	d:\pmail\mail\admin\p5zj5lc5.cnm//message/rfc822//text/plain//[Subj Payroll Invoice]/invoice.zip//	invoice_58268293529235_239842wif.pdf.exe	
Backdoor.Win32.ZAccess.epsi	Deleted	09.11.2013 15:18:15	d:\pmail\mail\admin\pbjppee7.cnm//message/rfc822//text/plain//[Subj Payroll Invoice]/text/invoice.zip//	invoice_891640125661_24691ao.pdf.exe	
Backdoor.Win32.ZAccess.elub	Deleted	09.11.2013 15:18:14	d:\pmail\mail\admin\fol0127b.pmm//[From <webmaster@fazjob.net>][Date 23 Oct 2013 14:07:11][Subj BCC: Stellenangebot!]/[From <webmaster@fazjob.net>][Date 23 Oct 2013 14:03:41][Subj BCC: Stellenangebot!]/[From <webmaster@fazjob.net>][Date 23 Oct 2013 13:59:54][Subj BCC: Stellenangebot!]/[From <completingok815@atmagnan.com>][Date 22 Oct 2013 19:11:56][Subj [!! SPAM] *****SPAM***** Payroll Invoice]/message/[From completingok815@atmagnan.com][Date 22 Oct 2013 19:11:56][Subj Payroll Invoice]/text/invoice.zip//	invoice_09581-590324ap.pdf.exe	
Backdoor.Win32.Androm.bbqa	Deleted	09.11.2013 15:18:13	d:\pmail\mail\admin\fol0127b.pmm//[From <cn.hinton3@t-mobile.de>][Date 23 Oct 2013 13:33:02][Subj [!! SPAM] Foto MMS]/	23-10-2013 39_16_43.zip	
Backdoor.Win32.Androm.bbqa	Deleted	09.11.2013 15:17:59	d:\pmail\mail\admin\fol0127b.pmm//[From <pc.howe6@t-mobile.de>][Date 23 Oct 2013 14:36:22][Subj [!! SPAM] Foto MMS]/23-10-2013 74_90_60.zip//	23-10-2013 13_64_09.jpeg.exe	
HEUR:Exploit.Java.Generic	Detected; not processed	09.11.2013 12:33:30	C:\Documents and Settings\Jonas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\	3b48a03b-208bbc61	
Backdoor.Win32.ZAccess.eqwk	Detected; not processed	09.11.2013 10:03:51	[From:"payroll@adp.com" <sophistarb7@annettebekker.dk>][Subject:*****SPAM***** ][Time:2013/11/08 05:28:08]//message/rfc822//text/plain//[Subj Payroll Invoice]/invoice.zip//	invoice_58268293529235_239842wif.pdf.exe	
Backdoor.Win32.ZAccess.eqpf	Deleted	09.11.2013 10:03:24	[From:"payroll@adp.com" <overlaps56@alphametall.com>][Subject:*****SPAM***** Payroll Invoice][Time:2013/11/06 19:40:31]//message/rfc822//invoice.zip//	invoice_92582052304_2932323ska.pdf.exe	
Trojan.Win32.Inject.gmbg	Deleted	09.11.2013 10:03:09	[From:<karsten.q@t-online.de>][Subject:foto 11/06/2013][Time:2013/11/06 11:25:32]//DSC009474218.zip//	DSC0064003686.JPG.exe	
Trojan.Win32.Inject.gmbg	Deleted	09.11.2013 10:03:07	[From:<karl.t@t-online.de>][Subject:foto 11/06/2013][Time:2013/11/06 11:16:49]//DSC008627430.zip//	DSC0064003686.JPG.exe	
Trojan.Win32.Inject.gmbg	Deleted	09.11.2013 10:03:05	[From:<buchungsbestaetigung@bahn.de>][Subject:Der exklusive Vorschlag][Time:2013/11/06 10:26:58]//BAHN Exklusive Vorschlag.zip//	BAHN Exklusive Vorschlag.pdf.exe	
Trojan.Win32.Inject.glua	Deleted	09.11.2013 10:02:44	[From:<plagues81@vodafone.com>][Subject:*****SPAM***** Ihr Vodafone-Anschalttermin: 001599496386][Time:2013/11/05 11:13:05]//message/rfc822//VodafoneWillkommen_653967724206.zip//	VodafoneWillkommen_093746339221.pdf.exe	
Backdoor.Win32.ZAccess.epsi	Detected; not processed	09.11.2013 10:01:57	[From:<sontagmvq2@etsupport.org>][Subject:*****SPAM***** ][Time:2013/11/02 01:07:28]//message/rfc822//text/plain//[Subj Payroll Invoice]/text/invoice.zip//	invoice_891640125661_24691ao.pdf.exe	
Backdoor.Win32.ZAccess.epon	Deleted	09.11.2013 10:01:34	[From:<inflictionh24@atax.com>][Subject:*****SPAM***** Payroll Invoice][Time:2013/10/31 20:20:47]//message/rfc822//invoice.zip//	invoice_9103812-1232iq.pdf.exe	
Trojan.Win32.Inject.gkvh	Deleted	09.11.2013 10:00:55	[From:"o2 Team" <info@rechnung.o2online.de>][Subject:*****SPAM***** Ihre Online-Rechnung von o2][Time:2013/10/30 12:48:36]//message/rfc822//Rechnung_Ihre Kundennummer_58128098.zip//	Rechnung_Ihre Kundennummer_97330316.pdf.exe	
Trojan-PSW.Win32.Tepfer.rmwt	Deleted	09.11.2013 10:00:54	[From:"Booking.com" <invoice@booking.com>][Subject:Invoice 8209137401365960][Time:2013/10/30 12:39:44]//Invoice 8209137401365960 PRINT pdf.zip//	Invoice 8209137401365960 PRINT pdf.exe	
Trojan-PSW.Win32.Tepfer.rmwt	Deleted	09.11.2013 10:00:53	[From:"Booking.com" <invoice@booking.com>][Subject:*****SPAM***** Invoice 8209137401365960][Time:2013/10/30 12:20:59]//message/rfc822//Invoice 8209137401365960 PRINT pdf.zip//	Invoice 8209137401365960 PRINT pdf.exe	
Trojan-PSW.Win32.Tepfer.rmwt	Deleted	09.11.2013 10:00:51	[From:"Booking.com" <invoice@booking.com>][Subject:Invoice 8209137401365960][Time:2013/10/30 10:36:21]//Invoice 8209137401365960 PRINT pdf.zip//	Invoice 8209137401365960 PRINT pdf.exe	
Trojan.Win32.Inject.gkrs	Deleted	09.11.2013 10:00:40	[From:<online@booking-lufthansa.com>][Subject:*****SPAM***** Reiseinformation, Abflug am 02. November 2013; N28O8][Time:2013/10/29 14:21:43]//message/rfc822//20131029_elektronisches Ticket_XFJ9V4.zip//	20131029_elektronisches Ticket_9YHS58.pdf.exe	
Trojan.Win32.Inject.gkrs	Deleted	09.11.2013 10:00:26	[From:<online@booking-lufthansa.com>][Subject:*****SPAM***** Reiseinformation, Abflug am 05. November 2013; IL5R0][Time:2013/10/29 10:48:49]//message/rfc822//20131029_elektronisches Ticket_II80LG.zip//	20131029_elektronisches Ticket_9YHS58.pdf.exe	
Trojan.Win32.Inject.gkrs	Deleted	09.11.2013 10:00:24	[From:<online@booking-lufthansa.com>][Subject:Reiseinformation, Abflug am 01. November 2013; PWJEN][Time:2013/10/29 10:41:38]//20131029_elektronisches Ticket_1T36IE.zip//	20131029_elektronisches Ticket_9YHS58.pdf.exe	
Trojan-PSW.Win32.Fareit.amdr	Deleted	09.11.2013 10:00:07	[From:"FRITZ!Box " <pt5203-345@online.de>][Subject:Fax von 04018138550][Time:2013/10/28 15:05:49]//28 10 13_Telefax.04018138005.zip//	28 10 13_Telefax.04018138005.exe	
Trojan.Win32.Inject.gknp	Deleted	09.11.2013 10:00:05	[From:<ambrosg@aol.com>][Subject:*****SPAM***** Foto 27_Oktober IMG_10970923][Time:2013/10/28 12:48:34]//message/rfc822//27_Oktober IMG_45873458.zip//	27_Oktober IMG_90085331.jpeg.exe	
Trojan.Win32.Inject.gknp	Deleted	09.11.2013 09:59:52	[From:<felixh@aol.com>][Subject:*****SPAM***** Foto 27_Oktober IMG_99576978][Time:2013/10/28 12:41:54]//message/rfc822//27_Oktober IMG_84131582.zip//	27_Oktober IMG_90085331.jpeg.exe	
Trojan-PSW.Win32.Fareit.amdp	Deleted	09.11.2013 09:59:44	[From:"Booking.com" <invoice@booking.com>][Subject:Invoice 6201937401365960][Time:2013/10/28 10:42:02]//Invoice 6201937401365960 PRINT pdf.zip//	Invoice 6201937401365960 PRINT pdf.exe	
Type: Unknown (20)	
p5zj5lc5.cnm	Disinfected	09.11.2013 15:18:33	d:\pmail\mail\admin\	p5zj5lc5.cnm	
pbjppee7.cnm	Disinfected	09.11.2013 15:18:15	d:\pmail\mail\admin\	pbjppee7.cnm	
fol0127b.pmm	Deleted	09.11.2013 15:18:14	d:\pmail\mail\admin\	fol0127b.pmm	
rfc822	Disinfected	09.11.2013 10:03:24	[From:"payroll@adp.com" <overlaps56@alphametall.com>][Subject:*****SPAM***** Payroll Invoice][Time:2013/11/06 19:40:31]//message/	rfc822	
DSC009474218.zip	Disinfected	09.11.2013 10:03:09	[From:<karsten.q@t-online.de>][Subject:foto 11/06/2013][Time:2013/11/06 11:25:32]//	DSC009474218.zip	
DSC008627430.zip	Disinfected	09.11.2013 10:03:07	[From:<karl.t@t-online.de>][Subject:foto 11/06/2013][Time:2013/11/06 11:16:49]//	DSC008627430.zip	
BAHN Exklusive Vorschlag.zip	Disinfected	09.11.2013 10:03:05	[From:<buchungsbestaetigung@bahn.de>][Subject:Der exklusive Vorschlag][Time:2013/11/06 10:26:58]//	BAHN Exklusive Vorschlag.zip	
rfc822	Disinfected	09.11.2013 10:02:44	[From:<plagues81@vodafone.com>][Subject:*****SPAM***** Ihr Vodafone-Anschalttermin: 001599496386][Time:2013/11/05 11:13:05]//message/	rfc822	
rfc822	Disinfected	09.11.2013 10:01:34	[From:<inflictionh24@atax.com>][Subject:*****SPAM***** Payroll Invoice][Time:2013/10/31 20:20:47]//message/	rfc822	
rfc822	Disinfected	09.11.2013 10:00:55	[From:"o2 Team" <info@rechnung.o2online.de>][Subject:*****SPAM***** Ihre Online-Rechnung von o2][Time:2013/10/30 12:48:36]//message/	rfc822	
Invoice 8209137401365960 PRINT pdf.zip	Disinfected	09.11.2013 10:00:54	[From:"Booking.com" <invoice@booking.com>][Subject:Invoice 8209137401365960][Time:2013/10/30 12:39:44]//	Invoice 8209137401365960 PRINT pdf.zip	
rfc822	Disinfected	09.11.2013 10:00:53	[From:"Booking.com" <invoice@booking.com>][Subject:*****SPAM***** Invoice 8209137401365960][Time:2013/10/30 12:20:59]//message/	rfc822	
Invoice 8209137401365960 PRINT pdf.zip	Disinfected	09.11.2013 10:00:51	[From:"Booking.com" <invoice@booking.com>][Subject:Invoice 8209137401365960][Time:2013/10/30 10:36:21]//	Invoice 8209137401365960 PRINT pdf.zip	
rfc822	Disinfected	09.11.2013 10:00:40	[From:<online@booking-lufthansa.com>][Subject:*****SPAM***** Reiseinformation, Abflug am 02. November 2013; N28O8][Time:2013/10/29 14:21:43]//message/	rfc822	
rfc822	Disinfected	09.11.2013 10:00:26	[From:<online@booking-lufthansa.com>][Subject:*****SPAM***** Reiseinformation, Abflug am 05. November 2013; IL5R0][Time:2013/10/29 10:48:49]//message/	rfc822	
20131029_elektronisches Ticket_1T36IE.zip	Disinfected	09.11.2013 10:00:24	[From:<online@booking-lufthansa.com>][Subject:Reiseinformation, Abflug am 01. November 2013; PWJEN][Time:2013/10/29 10:41:38]//	20131029_elektronisches Ticket_1T36IE.zip	
28 10 13_Telefax.04018138005.zip	Disinfected	09.11.2013 10:00:07	[From:"FRITZ!Box " <pt5203-345@online.de>][Subject:Fax von 04018138550][Time:2013/10/28 15:05:49]//	28 10 13_Telefax.04018138005.zip	
rfc822	Disinfected	09.11.2013 10:00:05	[From:<ambrosg@aol.com>][Subject:*****SPAM***** Foto 27_Oktober IMG_10970923][Time:2013/10/28 12:48:34]//message/	rfc822	
rfc822	Disinfected	09.11.2013 09:59:52	[From:<felixh@aol.com>][Subject:*****SPAM***** Foto 27_Oktober IMG_99576978][Time:2013/10/28 12:41:54]//message/	rfc822	
Invoice 6201937401365960 PRINT pdf.zip	Disinfected	09.11.2013 09:59:44	[From:"Booking.com" <invoice@booking.com>][Subject:Invoice 6201937401365960][Time:2013/10/28 10:42:02]//	Invoice 6201937401365960 PRINT pdf.zip
         

Type: Unknown (1)	
700271--FileV_7103_01.zip	Disinfected	08.05.2013 15:13:39	[From:"Gene Burnette" <harper91@gmail.com>][Subject:ACTION REQUIED: Notice for your account][Time:2013/05/08 15:12:39]//	700271--FileV_7103_01.zip	
Type: Trojan program (1)	
HEUR:Trojan.Win32.Generic	Inactive	11.05.2013 21:39:05	hxxp://199.91.153.36/4otgdm4982ug/8ncvunqtw288haa/jpg_facebook_img66898899897774366569.zip//	jpg_facebook_img66898899897774366569.exe
         

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-11-09 16:16:54
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 ST932032 rev.0001 298,09GB
Running: c2s6z3fi.exe; Driver: C:\Users\Jonas\AppData\Local\Temp\kgtcypob.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528                                                                        fffff800033b7000 63 bytes [00, 00, 0D, 02, 4B, 4C, 73, ...]
INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 592                                                                        fffff800033b7040 22 bytes [58, C6, B9, 08, 80, FA, FF, ...]

---- User code sections - GMER 2.1 ----

.text     C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe[1632] C:\Windows\SysWOW64\ntdll.dll!NtQueryValueKey         000000007768faa8 5 bytes JMP 00000001747f19e8
.text     C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe[1632] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory  0000000077690038 5 bytes JMP 00000001747f209e
.text     C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe[4308] C:\Windows\SysWOW64\ntdll.dll!NtQueryValueKey         000000007768faa8 5 bytes JMP 00000001747f19e8
.text     C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe[4308] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory  0000000077690038 5 bytes JMP 00000001747f209e

---- Kernel IAT/EAT - GMER 2.1 ----

IAT       C:\Windows\System32\win32k.sys[ntoskrnl.exe!KeUserModeCallback]                                                                           [fffff88004b81ea4] \SystemRoot\system32\DRIVERS\klif.sys [PAGE]

---- EOF - GMER 2.1 ----
         

 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.11.09.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
Jonas :: SANDWICH [Administrator]

Schutz: Aktiviert

09.11.2013 16:23:22
MBAM-log-2013-11-09 (16-35-27).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 304613
Laufzeit: 6 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\Users\Jonas\AppData\Roaming\loadtbs (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\html (PUP.LoadTubes) -> Keine Aktion durchgeführt.

Infizierte Dateien: 12
C:\Program Files (x86)\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Local\Temp\bvPSoKCy.exe.part (PUP.Optional.OneClickDownloader.A) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\keyHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\config.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\domHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\evHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\uninstall.exe (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\updateHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\html\dimensions.ini (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\html\install.html (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\html\uninstall.html (PUP.LoadTubes) -> Keine Aktion durchgeführt.
C:\Users\Jonas\AppData\Roaming\loadtbs\html\uninstallComplete.html (PUP.LoadTubes) -> Keine Aktion durchgeführt.

(Ende)