![]() |
|
Log-Analyse und Auswertung: Backdoor.Win32.ZAccess.eqwk / .epsi und HEUR:Exploit.Java.Generic auf meinem RechnerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() ![]() | ![]() Backdoor.Win32.ZAccess.eqwk / .epsi und HEUR:Exploit.Java.Generic auf meinem Rechner Guten Tag! Kaspersky auf meinem Win7 Rechner sagt mir, ich hätte folgende Probleme: HEUR:Exploid.Java.Generic und BackdoorWin32.ZAccsess.eqwk, sowie BackdoorWin32.ZAccsess.epsi Der Rechner läuft eigentlic relativ normal, eventuell etwas langsamer als sonst. Keine besonderen Fehlermeldungen. Kasperskylog von heute: Code:
ATTFilter Type: Trojan program (25) Backdoor.Win32.ZAccess.eqwk Deleted 09.11.2013 15:18:33 d:\pmail\mail\admin\p5zj5lc5.cnm//message/rfc822//text/plain//[Subj Payroll Invoice]/invoice.zip// invoice_58268293529235_239842wif.pdf.exe Backdoor.Win32.ZAccess.epsi Deleted 09.11.2013 15:18:15 d:\pmail\mail\admin\pbjppee7.cnm//message/rfc822//text/plain//[Subj Payroll Invoice]/text/invoice.zip// invoice_891640125661_24691ao.pdf.exe Backdoor.Win32.ZAccess.elub Deleted 09.11.2013 15:18:14 d:\pmail\mail\admin\fol0127b.pmm//[From <webmaster@fazjob.net>][Date 23 Oct 2013 14:07:11][Subj BCC: Stellenangebot!]/[From <webmaster@fazjob.net>][Date 23 Oct 2013 14:03:41][Subj BCC: Stellenangebot!]/[From <webmaster@fazjob.net>][Date 23 Oct 2013 13:59:54][Subj BCC: Stellenangebot!]/[From <completingok815@atmagnan.com>][Date 22 Oct 2013 19:11:56][Subj [!! SPAM] *****SPAM***** Payroll Invoice]/message/[From completingok815@atmagnan.com][Date 22 Oct 2013 19:11:56][Subj Payroll Invoice]/text/invoice.zip// invoice_09581-590324ap.pdf.exe Backdoor.Win32.Androm.bbqa Deleted 09.11.2013 15:18:13 d:\pmail\mail\admin\fol0127b.pmm//[From <cn.hinton3@t-mobile.de>][Date 23 Oct 2013 13:33:02][Subj [!! SPAM] Foto MMS]/ 23-10-2013 39_16_43.zip Backdoor.Win32.Androm.bbqa Deleted 09.11.2013 15:17:59 d:\pmail\mail\admin\fol0127b.pmm//[From <pc.howe6@t-mobile.de>][Date 23 Oct 2013 14:36:22][Subj [!! SPAM] Foto MMS]/23-10-2013 74_90_60.zip// 23-10-2013 13_64_09.jpeg.exe HEUR:Exploit.Java.Generic Detected; not processed 09.11.2013 12:33:30 C:\Documents and Settings\Jonas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\ 3b48a03b-208bbc61 Backdoor.Win32.ZAccess.eqwk Detected; not processed 09.11.2013 10:03:51 [From:"payroll@adp.com" <sophistarb7@annettebekker.dk>][Subject:*****SPAM***** ][Time:2013/11/08 05:28:08]//message/rfc822//text/plain//[Subj Payroll Invoice]/invoice.zip// invoice_58268293529235_239842wif.pdf.exe Backdoor.Win32.ZAccess.eqpf Deleted 09.11.2013 10:03:24 [From:"payroll@adp.com" <overlaps56@alphametall.com>][Subject:*****SPAM***** Payroll Invoice][Time:2013/11/06 19:40:31]//message/rfc822//invoice.zip// invoice_92582052304_2932323ska.pdf.exe Trojan.Win32.Inject.gmbg Deleted 09.11.2013 10:03:09 [From:<karsten.q@t-online.de>][Subject:foto 11/06/2013][Time:2013/11/06 11:25:32]//DSC009474218.zip// DSC0064003686.JPG.exe Trojan.Win32.Inject.gmbg Deleted 09.11.2013 10:03:07 [From:<karl.t@t-online.de>][Subject:foto 11/06/2013][Time:2013/11/06 11:16:49]//DSC008627430.zip// DSC0064003686.JPG.exe Trojan.Win32.Inject.gmbg Deleted 09.11.2013 10:03:05 [From:<buchungsbestaetigung@bahn.de>][Subject:Der exklusive Vorschlag][Time:2013/11/06 10:26:58]//BAHN Exklusive Vorschlag.zip// BAHN Exklusive Vorschlag.pdf.exe Trojan.Win32.Inject.glua Deleted 09.11.2013 10:02:44 [From:<plagues81@vodafone.com>][Subject:*****SPAM***** Ihr Vodafone-Anschalttermin: 001599496386][Time:2013/11/05 11:13:05]//message/rfc822//VodafoneWillkommen_653967724206.zip// VodafoneWillkommen_093746339221.pdf.exe Backdoor.Win32.ZAccess.epsi Detected; not processed 09.11.2013 10:01:57 [From:<sontagmvq2@etsupport.org>][Subject:*****SPAM***** ][Time:2013/11/02 01:07:28]//message/rfc822//text/plain//[Subj Payroll Invoice]/text/invoice.zip// invoice_891640125661_24691ao.pdf.exe Backdoor.Win32.ZAccess.epon Deleted 09.11.2013 10:01:34 [From:<inflictionh24@atax.com>][Subject:*****SPAM***** Payroll Invoice][Time:2013/10/31 20:20:47]//message/rfc822//invoice.zip// invoice_9103812-1232iq.pdf.exe Trojan.Win32.Inject.gkvh Deleted 09.11.2013 10:00:55 [From:"o2 Team" <info@rechnung.o2online.de>][Subject:*****SPAM***** Ihre Online-Rechnung von o2][Time:2013/10/30 12:48:36]//message/rfc822//Rechnung_Ihre Kundennummer_58128098.zip// Rechnung_Ihre Kundennummer_97330316.pdf.exe Trojan-PSW.Win32.Tepfer.rmwt Deleted 09.11.2013 10:00:54 [From:"Booking.com" <invoice@booking.com>][Subject:Invoice 8209137401365960][Time:2013/10/30 12:39:44]//Invoice 8209137401365960 PRINT pdf.zip// Invoice 8209137401365960 PRINT pdf.exe Trojan-PSW.Win32.Tepfer.rmwt Deleted 09.11.2013 10:00:53 [From:"Booking.com" <invoice@booking.com>][Subject:*****SPAM***** Invoice 8209137401365960][Time:2013/10/30 12:20:59]//message/rfc822//Invoice 8209137401365960 PRINT pdf.zip// Invoice 8209137401365960 PRINT pdf.exe Trojan-PSW.Win32.Tepfer.rmwt Deleted 09.11.2013 10:00:51 [From:"Booking.com" <invoice@booking.com>][Subject:Invoice 8209137401365960][Time:2013/10/30 10:36:21]//Invoice 8209137401365960 PRINT pdf.zip// Invoice 8209137401365960 PRINT pdf.exe Trojan.Win32.Inject.gkrs Deleted 09.11.2013 10:00:40 [From:<online@booking-lufthansa.com>][Subject:*****SPAM***** Reiseinformation, Abflug am 02. November 2013; N28O8][Time:2013/10/29 14:21:43]//message/rfc822//20131029_elektronisches Ticket_XFJ9V4.zip// 20131029_elektronisches Ticket_9YHS58.pdf.exe Trojan.Win32.Inject.gkrs Deleted 09.11.2013 10:00:26 [From:<online@booking-lufthansa.com>][Subject:*****SPAM***** Reiseinformation, Abflug am 05. November 2013; IL5R0][Time:2013/10/29 10:48:49]//message/rfc822//20131029_elektronisches Ticket_II80LG.zip// 20131029_elektronisches Ticket_9YHS58.pdf.exe Trojan.Win32.Inject.gkrs Deleted 09.11.2013 10:00:24 [From:<online@booking-lufthansa.com>][Subject:Reiseinformation, Abflug am 01. November 2013; PWJEN][Time:2013/10/29 10:41:38]//20131029_elektronisches Ticket_1T36IE.zip// 20131029_elektronisches Ticket_9YHS58.pdf.exe Trojan-PSW.Win32.Fareit.amdr Deleted 09.11.2013 10:00:07 [From:"FRITZ!Box " <pt5203-345@online.de>][Subject:Fax von 04018138550][Time:2013/10/28 15:05:49]//28 10 13_Telefax.04018138005.zip// 28 10 13_Telefax.04018138005.exe Trojan.Win32.Inject.gknp Deleted 09.11.2013 10:00:05 [From:<ambrosg@aol.com>][Subject:*****SPAM***** Foto 27_Oktober IMG_10970923][Time:2013/10/28 12:48:34]//message/rfc822//27_Oktober IMG_45873458.zip// 27_Oktober IMG_90085331.jpeg.exe Trojan.Win32.Inject.gknp Deleted 09.11.2013 09:59:52 [From:<felixh@aol.com>][Subject:*****SPAM***** Foto 27_Oktober IMG_99576978][Time:2013/10/28 12:41:54]//message/rfc822//27_Oktober IMG_84131582.zip// 27_Oktober IMG_90085331.jpeg.exe Trojan-PSW.Win32.Fareit.amdp Deleted 09.11.2013 09:59:44 [From:"Booking.com" <invoice@booking.com>][Subject:Invoice 6201937401365960][Time:2013/10/28 10:42:02]//Invoice 6201937401365960 PRINT pdf.zip// Invoice 6201937401365960 PRINT pdf.exe Type: Unknown (20) p5zj5lc5.cnm Disinfected 09.11.2013 15:18:33 d:\pmail\mail\admin\ p5zj5lc5.cnm pbjppee7.cnm Disinfected 09.11.2013 15:18:15 d:\pmail\mail\admin\ pbjppee7.cnm fol0127b.pmm Deleted 09.11.2013 15:18:14 d:\pmail\mail\admin\ fol0127b.pmm rfc822 Disinfected 09.11.2013 10:03:24 [From:"payroll@adp.com" <overlaps56@alphametall.com>][Subject:*****SPAM***** Payroll Invoice][Time:2013/11/06 19:40:31]//message/ rfc822 DSC009474218.zip Disinfected 09.11.2013 10:03:09 [From:<karsten.q@t-online.de>][Subject:foto 11/06/2013][Time:2013/11/06 11:25:32]// DSC009474218.zip DSC008627430.zip Disinfected 09.11.2013 10:03:07 [From:<karl.t@t-online.de>][Subject:foto 11/06/2013][Time:2013/11/06 11:16:49]// DSC008627430.zip BAHN Exklusive Vorschlag.zip Disinfected 09.11.2013 10:03:05 [From:<buchungsbestaetigung@bahn.de>][Subject:Der exklusive Vorschlag][Time:2013/11/06 10:26:58]// BAHN Exklusive Vorschlag.zip rfc822 Disinfected 09.11.2013 10:02:44 [From:<plagues81@vodafone.com>][Subject:*****SPAM***** Ihr Vodafone-Anschalttermin: 001599496386][Time:2013/11/05 11:13:05]//message/ rfc822 rfc822 Disinfected 09.11.2013 10:01:34 [From:<inflictionh24@atax.com>][Subject:*****SPAM***** Payroll Invoice][Time:2013/10/31 20:20:47]//message/ rfc822 rfc822 Disinfected 09.11.2013 10:00:55 [From:"o2 Team" <info@rechnung.o2online.de>][Subject:*****SPAM***** Ihre Online-Rechnung von o2][Time:2013/10/30 12:48:36]//message/ rfc822 Invoice 8209137401365960 PRINT pdf.zip Disinfected 09.11.2013 10:00:54 [From:"Booking.com" <invoice@booking.com>][Subject:Invoice 8209137401365960][Time:2013/10/30 12:39:44]// Invoice 8209137401365960 PRINT pdf.zip rfc822 Disinfected 09.11.2013 10:00:53 [From:"Booking.com" <invoice@booking.com>][Subject:*****SPAM***** Invoice 8209137401365960][Time:2013/10/30 12:20:59]//message/ rfc822 Invoice 8209137401365960 PRINT pdf.zip Disinfected 09.11.2013 10:00:51 [From:"Booking.com" <invoice@booking.com>][Subject:Invoice 8209137401365960][Time:2013/10/30 10:36:21]// Invoice 8209137401365960 PRINT pdf.zip rfc822 Disinfected 09.11.2013 10:00:40 [From:<online@booking-lufthansa.com>][Subject:*****SPAM***** Reiseinformation, Abflug am 02. November 2013; N28O8][Time:2013/10/29 14:21:43]//message/ rfc822 rfc822 Disinfected 09.11.2013 10:00:26 [From:<online@booking-lufthansa.com>][Subject:*****SPAM***** Reiseinformation, Abflug am 05. November 2013; IL5R0][Time:2013/10/29 10:48:49]//message/ rfc822 20131029_elektronisches Ticket_1T36IE.zip Disinfected 09.11.2013 10:00:24 [From:<online@booking-lufthansa.com>][Subject:Reiseinformation, Abflug am 01. November 2013; PWJEN][Time:2013/10/29 10:41:38]// 20131029_elektronisches Ticket_1T36IE.zip 28 10 13_Telefax.04018138005.zip Disinfected 09.11.2013 10:00:07 [From:"FRITZ!Box " <pt5203-345@online.de>][Subject:Fax von 04018138550][Time:2013/10/28 15:05:49]// 28 10 13_Telefax.04018138005.zip rfc822 Disinfected 09.11.2013 10:00:05 [From:<ambrosg@aol.com>][Subject:*****SPAM***** Foto 27_Oktober IMG_10970923][Time:2013/10/28 12:48:34]//message/ rfc822 rfc822 Disinfected 09.11.2013 09:59:52 [From:<felixh@aol.com>][Subject:*****SPAM***** Foto 27_Oktober IMG_99576978][Time:2013/10/28 12:41:54]//message/ rfc822 Invoice 6201937401365960 PRINT pdf.zip Disinfected 09.11.2013 09:59:44 [From:"Booking.com" <invoice@booking.com>][Subject:Invoice 6201937401365960][Time:2013/10/28 10:42:02]// Invoice 6201937401365960 PRINT pdf.zip Code:
ATTFilter Type: Unknown (1) 700271--FileV_7103_01.zip Disinfected 08.05.2013 15:13:39 [From:"Gene Burnette" <harper91@gmail.com>][Subject:ACTION REQUIED: Notice for your account][Time:2013/05/08 15:12:39]// 700271--FileV_7103_01.zip Type: Trojan program (1) HEUR:Trojan.Win32.Generic Inactive 11.05.2013 21:39:05 hxxp://199.91.153.36/4otgdm4982ug/8ncvunqtw288haa/jpg_facebook_img66898899897774366569.zip// jpg_facebook_img66898899897774366569.exe Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net Rootkit scan 2013-11-09 16:16:54 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 ST932032 rev.0001 298,09GB Running: c2s6z3fi.exe; Driver: C:\Users\Jonas\AppData\Local\Temp\kgtcypob.sys ---- Kernel code sections - GMER 2.1 ---- INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528 fffff800033b7000 63 bytes [00, 00, 0D, 02, 4B, 4C, 73, ...] INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 592 fffff800033b7040 22 bytes [58, C6, B9, 08, 80, FA, FF, ...] ---- User code sections - GMER 2.1 ---- .text C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe[1632] C:\Windows\SysWOW64\ntdll.dll!NtQueryValueKey 000000007768faa8 5 bytes JMP 00000001747f19e8 .text C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe[1632] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077690038 5 bytes JMP 00000001747f209e .text C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe[4308] C:\Windows\SysWOW64\ntdll.dll!NtQueryValueKey 000000007768faa8 5 bytes JMP 00000001747f19e8 .text C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe[4308] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077690038 5 bytes JMP 00000001747f209e ---- Kernel IAT/EAT - GMER 2.1 ---- IAT C:\Windows\System32\win32k.sys[ntoskrnl.exe!KeUserModeCallback] [fffff88004b81ea4] \SystemRoot\system32\DRIVERS\klif.sys [PAGE] ---- EOF - GMER 2.1 ---- Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.11.09.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16721 Jonas :: SANDWICH [Administrator] Schutz: Aktiviert 09.11.2013 16:23:22 MBAM-log-2013-11-09 (16-35-27).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 304613 Laufzeit: 6 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 2 C:\Users\Jonas\AppData\Roaming\loadtbs (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\html (PUP.LoadTubes) -> Keine Aktion durchgeführt. Infizierte Dateien: 12 C:\Program Files (x86)\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Local\Temp\bvPSoKCy.exe.part (PUP.Optional.OneClickDownloader.A) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\keyHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\config.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\domHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\evHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\uninstall.exe (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\updateHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\html\dimensions.ini (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\html\install.html (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\html\uninstall.html (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\Jonas\AppData\Roaming\loadtbs\html\uninstallComplete.html (PUP.LoadTubes) -> Keine Aktion durchgeführt. (Ende) eiskorn ![]() |
Themen zu Backdoor.Win32.ZAccess.eqwk / .epsi und HEUR:Exploit.Java.Generic auf meinem Rechner |
.com, administrator, anti-malware, autostart, dateien, explorer, firefox, folge, foto, harddisk, heur, html, install.exe, internet, kunde, malwarebytes, mozilla, ntdll.dll, ntoskrnl.exe, probleme, rechner, security, spam, system, system32, temp, trojan, win32k.sys, win7 |