Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
WORM/Conficker.Z.02

WORM/Conficker.Z.02


Plagegeister aller Art und deren Bekämpfung: WORM/Conficker.Z.02

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.11.2009, 12:30   #1
Dagobert
 
WORM/Conficker.Z.02 - Standard

WORM/Conficker.Z.02


Hallo!
Ich habe mir irgendwie den "WORM/Conficker.Z.02" eingefangen und werde ihn nicht mehr los. Als der Wurm das erste Mal gefunden wurde, tauchte alle 30 Sekunden eine Meldung auf. Ich hab dann auf "löschen merken" eingestellt. Nun habe ich schon mehrere Scans mit Antivir gemacht und so den Wurm gelöscht, aber einen Tag später ist er wieder da, wenn auch nur mit einer oder zwei Meldungen.
Auch das Removal Tool von Microsoft hat nicht geholfen: http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=de
Mit Spybot Search & Destroy habe ich ebenfalls eine Suche durchgeführt. Laut diesem Programm ist alles in Ordnung

Ich habe verschiedene Sicherheitseinstellungen, die ich auf diesem Board gelesen habe, durchgeführt:
- Systemwiederherstellung deaktiviert
- Windows Firewall eingeschaltet
- CCleaner-Scan durchgeführt
- Gmer-Scan durchgeführt
- Hijack-this-Scan durchgeführt

Bekomme ich den Wurm wieder los ohne mein System neu aufsetzen zu müssen? Danke für die Hilfe!
Alt 28.11.2009, 13:05   #2
Dagobert
 
WORM/Conficker.Z.02 - Standard

WORM/Conficker.Z.02


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:16, on 27.11.2009
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\ESRI\LICENSE\arcgis9x\lmgrd.exe
C:\Acer\Empowering Technology\admServ.exe
C:\PROGRA~1\ESRI\LICENSE\arcgis9x\lmgrd.exe
C:\PROGRA~1\ESRI\LICENSE\arcgis9x\ARCGIS.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\OpenOffice.org 3\program\swriter.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.aceradvantage.com/stdreg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02C92DB8-1513-4596-9A90-BBB1D230BBC3}: NameServer = 136.199.8.101,136.199.8.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E7A21F-4C0E-4E46-8376-0A268052E8D1}: Domain = uni-trier.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E7A21F-4C0E-4E46-8376-0A268052E8D1}: NameServer = 136.199.8.101,136.199.8.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-trier.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{02C92DB8-1513-4596-9A90-BBB1D230BBC3}: NameServer = 136.199.8.101,136.199.8.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{02C92DB8-1513-4596-9A90-BBB1D230BBC3}: NameServer = 136.199.8.101,136.199.8.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-trier.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ArcGIS License Manager - Macrovision Corporation - C:\PROGRA~1\ESRI\LICENSE\arcgis9x\lmgrd.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate1c99507ccd7e842) (gupdate1c99507ccd7e842) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 9974 bytes
__________________
Alt 28.11.2009, 13:07   #3
Dagobert
 
WORM/Conficker.Z.02 - Standard

WORM/Conficker.Z.02


GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-28 11:30:49
Windows 5.1.2600 Service Pack 3, v.3311
Running: 3lko3cme.exe; Driver: C:\DOKUME~1\admin\LOKALE~1\Temp\kxloafow.sys


---- System - GMER 1.0.15 ----

SSDT F7D964FE ZwCreateKey
SSDT F7D964F4 ZwCreateThread
SSDT F7D96503 ZwDeleteKey
SSDT F7D9650D ZwDeleteValueKey
SSDT spmm.sys ZwEnumerateKey [0xF7470CA2]
SSDT spmm.sys ZwEnumerateValueKey [0xF7471030]
SSDT F7D96512 ZwLoadKey
SSDT spmm.sys ZwOpenKey [0xF74520C0]
SSDT F7D964E0 ZwOpenProcess
SSDT F7D964E5 ZwOpenThread
SSDT spmm.sys ZwQueryKey [0xF7471108]
SSDT spmm.sys ZwQueryValueKey [0xF7470F88]
SSDT F7D9651C ZwReplaceKey
SSDT F7D96517 ZwRestoreKey
SSDT F7D96508 ZwSetValueKey
SSDT F7D964EF ZwTerminateProcess

INT 0x62 ? 871B9BF8
INT 0x82 ? 871B9BF8
INT 0x83 ? 86CBDBF8
INT 0x94 ? 86CBDBF8
INT 0xB1 ? 871BCBF8
INT 0xB1 ? 871BCBF8

---- Kernel code sections - GMER 1.0.15 ----

? spmm.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6B31360, 0x33AACD, 0xE8000020]
.text USBPORT.SYS!DllUnload F69658AC 5 Bytes JMP 86CBD1D8
.text asew4tpf.SYS F67D5386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text asew4tpf.SYS F67D53AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text asew4tpf.SYS F67D53C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text asew4tpf.SYS F67D53C9 1 Byte [2E]
.text asew4tpf.SYS F67D53C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...
? System32\Drivers\a4tfz5jp.SYS Das System kann den angegebenen Pfad nicht finden. !
.text C:\WINDOWS\system32\drivers\oreans32.sys section is writeable [0xF7225280, 0x7B04, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7453040] spmm.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F745313C] spmm.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74530BE] spmm.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74537FC] spmm.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74536D2] spmm.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7463048] spmm.sys
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!KfAcquireSpinLock] 8BEC8B55
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!READ_PORT_UCHAR] 00C73445
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!KeGetCurrentIrql] 00000000
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!KfRaiseIrql] 830C458B
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!KfLowerIrql] C0840CEC
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!HalGetInterruptVector] 053C0D74
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!HalTranslateBusAddress] 57B80974
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!KeStallExecutionProcessor] 8B000000
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!KfReleaseSpinLock] 56C35DE5
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D08758B
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!READ_PORT_USHORT] 8D51FC4D
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 8D52FD55
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[HAL.dll!WRITE_PORT_UCHAR] 8D51FE4D
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[WMILIB.SYS!WmiSystemControl] 8D51F84D
IAT \SystemRoot\System32\Drivers\asew4tpf.SYS[WMILIB.SYS!WmiCompleteRequest] 5052F455

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Fastfat \FatCdrom 871331F8
Device \Driver\PCI_PNP9404 \Device\0000009b spmm.sys
Device \Driver\PCI_PNP9404 \Device\0000009c spmm.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{02C92DB8-1513-4596-9A90-BBB1D230BBC3} 86CCB500

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\sptd \Device\4165669404 spmm.sys

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\sptd \Device\4165825654 spmm.sys
Device \Driver\usbuhci \Device\USBPDO-0 86CBC1F8
Device \Driver\usbuhci \Device\USBPDO-1 86CBC1F8
Device \Driver\usbuhci \Device\USBPDO-2 86CBC1F8
Device \Driver\usbuhci \Device\USBPDO-3 86CBC1F8
Device \Driver\usbehci \Device\USBPDO-4 86C8F1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 871BA1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 871BA1F8
Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
Device \Driver\Cdrom \Device\CdRom0 86C471F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 871BA1F8
Device \Driver\Cdrom \Device\CdRom1 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
Device \Driver\Cdrom \Device\CdRom1 86C471F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F73ADB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F73ADB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F73ADB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e [F73ADB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBT_Tcpip_{D4234911-A527-474C-8223-B69611F7D001} 86CCB500
Device \Driver\NetBT \Device\NetBt_Wins_Export 86CCB500
Device \Driver\NetBT \Device\NetbiosSmb 86CCB500
Device \Driver\NetBT \Device\NetBT_Tcpip_{A3DF8916-0B2B-4773-B2FB-2C80BA4C2806} 86CCB500
Device \Driver\usbuhci \Device\USBFDO-0 86CBC1F8
Device \Driver\usbuhci \Device\USBFDO-1 86CBC1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86D78500
Device \Driver\usbuhci \Device\USBFDO-2 86CBC1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86D78500
Device \Driver\usbuhci \Device\USBFDO-3 86CBC1F8
Device \Driver\Ftdisk \Device\FtControl 871BA1F8
Device \Driver\usbehci \Device\USBFDO-4 86C8F1F8
Device \Driver\a4tfz5jp \Device\Scsi\a4tfz5jp1 86C381F8
Device \Driver\a4tfz5jp \Device\Scsi\a4tfz5jp1Port2Path0Target0Lun0 86C381F8
Device \Driver\asew4tpf \Device\Scsi\asew4tpf1 86C3C500
Device \FileSystem\Fastfat \Fat 871331F8

AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 86D71500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0014a4fde349
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cee3c02b
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1096632415
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1077661798
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x41 0x04 0xF0 0xCC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x66 0xB0 0x3C 0x64 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x84 0x5F 0x6A 0xB8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFE 0x53 0x8D 0x65 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6F 0x6E 0x3F 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xEE 0x6D 0x09 0xA1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cee3c02b (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x41 0x04 0xF0 0xCC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x66 0xB0 0x3C 0x64 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x84 0x5F 0x6A 0xB8 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFE 0x53 0x8D 0x65 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6F 0x6E 0x3F 0x6D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xEE 0x6D 0x09 0xA1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x27 0xC5 0x32 0xE5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xE2 0x67 0xA4 0xD0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x84 0x5F 0x6A 0xB8 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFE 0x53 0x8D 0x65 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6F 0x6E 0x3F 0x6D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xEE 0x6D 0x09 0xA1 ...

---- EOF - GMER 1.0.15 ----
__________________
Alt 28.11.2009, 13:55   #4
Dagobert
 
WORM/Conficker.Z.02 - Standard

WORM/Conficker.Z.02


Noch eine Ergänzung:
Der Wurm war immer in den beiden Ordnern:
C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3G1IHNW3\fiyi[1].png

und

C:\WINDOWS\system32\x

Alt 28.11.2009, 18:07   #5
Dagobert
 
WORM/Conficker.Z.02 - Standard

WORM/Conficker.Z.02


weitere Ergänzung (ich finde die Editierfunktion nicht):
Eben habe ich nochmal ein Conficker-Removal-Tool von Symantec laufen gelassen. Ergebnis des Scans: Keine Funde des Conficker-Virus. Während des Scans meldete sich jedoch Antivir mit den Funden: TR/Crypt.XPACK.Gen und TR/Dropper.Gen
Mir kommt das alles sehr merkwürdig vor, denn eigentlich funktioniert mein System auch weiterhin ganz gut, wären da nicht die Virenmeldungen. Dabei ist mein Windows und mein Antivir doch auf dem neuesten Stand


Antwort

Themen zu WORM/Conficker.Z.02
antivir, aufsetzen, board, eingefangen, erste mal, firewall, gelöscht, gmer-scan, löschen, meldung, microsoft, neu, neu aufsetzen, programm, search, sekunden, sicherheitseinstellungen, spybot, suche, system neu, system neu aufsetzen, systemwiederherstellung, tool, verschiedene, windows, windows firewall, worm/conficker.z.02, wurm


« Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch | Diverse Viren - Wie soll ich weiter machen? »


Ähnliche Themen: WORM/Conficker.Z.02


  1. [Worm:Win32/Conficker.B!inf] Conficker Befall
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  2. Windows XP Security Center / Conficker Worm
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (23)
  3. Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen?
    Log-Analyse und Auswertung - 29.01.2012 (25)
  4. WORM/Conficker.Z.59 in C:\WINDOWS\system32\kncyqhg.dll gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.11.2011 (1)
  5. WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...
    Log-Analyse und Auswertung - 16.06.2011 (12)
  6. Kurzer Check - WORM.Conficker.Y.14
    Log-Analyse und Auswertung - 18.05.2011 (6)
  7. WORM/Conficker.Y.14
    Log-Analyse und Auswertung - 26.04.2011 (4)
  8. WORM/Conficker.Y.14
    Mülltonne - 26.04.2011 (0)
  9. Conficker-Virus ohne Admin-Rechte entfernen? (Conficker, Downadup, Kido,...)
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (9)
  10. worm.conficker auf PC, verbreitet der sich auch auf Sticks oder CDRs ?
    Diskussionsforum - 26.02.2011 (5)
  11. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  12. Worm/conficker.BK
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (11)
  13. WORM/ Conficker.Z.59; wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 30.11.2010 (8)
  14. WORM/Conficker.Y.13 in G:\RECYCLER\...\jwgkvsq.vmx
    Plagegeister aller Art und deren Bekämpfung - 27.08.2010 (8)
  15. WORM/Conficker.W und BDS/Backdoor.GEN
    Plagegeister aller Art und deren Bekämpfung - 16.02.2010 (3)
  16. Worm.Kido auf USB-Stick: Conficker?!
    Plagegeister aller Art und deren Bekämpfung - 14.02.2010 (5)
  17. Tip zur Entfernung von W32/Conficker.worm.gen.a
    Mülltonne - 19.01.2009 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema WORM/Conficker.Z.02 - Hallo! Ich habe mir irgendwie den "WORM/Conficker.Z.02" eingefangen und werde ihn nicht mehr los. Als der Wurm das erste Mal gefunden wurde, tauchte alle 30 Sekunden eine Meldung auf. Ich - WORM/Conficker.Z.02...
Archiv
Du betrachtest: WORM/Conficker.Z.02 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131