Trojaner-Board - WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...

Hallo Leute,
es scheint also doch nicht überstanden.
Nachdem ich schon im ersten Thread:
http://www.trojaner-board.de/98156-w...er-y-14-a.html
meine Probleme und logs gepostet habe, versuche ich jetzt hier den nächsten Anlauf.

Antivir spuckt erstmal folgendes aus. Wichtig ist zu wissen, dass hier ne zweite Platte aus meinem Ex-Laptop dran hängt, die anscheinend auch nicht ganz jungfräulich in Bezug auf Trojaner war:

Code:

Beginne mit der Suche in 'C:\'

C:\Dokumente und Einstellungen\Basta\Desktop\Desktop\Ablage\usb\eigene Dats\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Conficker.Y.12

  [WARNUNG]   Die Datei wurde ignoriert.

C:\Dokumente und Einstellungen\Basta\Desktop\Desktop\Neuer Ordner (2)\progs\Online Malware scan-Dateien\ELIBAGLA.AGA%D8B%D8%D8H.EXE

  [FUND]      Ist das Trojanische Pferd TR/Gendal.57355.A

  [WARNUNG]   Die Datei wurde ignoriert.

C:\Dokumente und Einstellungen\Basta\Lokale Einstellungen\Temp\jar_cache2160939286116540888.tmp

  [FUND]      Ist das Trojanische Pferd TR/Banker.Agent.ckj

  [WARNUNG]   Die Datei wurde ignoriert.

C:\Programme\SarasSoft\UFS\UFS_SAMs\Boot\SW_D500_FLp(0001).bin

  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

  [WARNUNG]   Die Datei wurde ignoriert.

C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP27\A0008259.dll

  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Conficker.Y.14

  [WARNUNG]   Die Datei wurde ignoriert.

C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP75\A0031745.exe

  [FUND]      Ist das Trojanische Pferd TR/Banker.Agent.ckj

  [WARNUNG]   Die Datei wurde ignoriert.

C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP75\A0032736.dll

  [FUND]      Ist das Trojanische Pferd TR/Spy.Farko.f

  [WARNUNG]   Die Datei wurde ignoriert.

Beginne mit der Suche in 'D:\' <BOOT>

D:\Dokumente und Einstellungen\Basta\Eigene Dateien\philosophie und weitere literatur\Klassische Philologie\Lumina Lernsoftware Latein (CloneCD Image).ace

[0] Archivtyp: ACE

--> Lumina.ccd

[WARNUNG]   Zu wenig Speicher! Die Datei wurde nicht durchsucht!

D:\Programme\Image-Line\FL Studio 7\Plugins\VST\Instruments\SYNTH-VirtualAnalog\Angular_Momentum_Warefare_2.0\AMAnalogWarfare2.zip

[0] Archivtyp: ZIP

[FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MDH.G.16

--> Angular Momentum Analog Warfare 2.exe

[FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MDH.G.16

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\hts[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\jts[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\kts[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\ots[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\qts[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Kazy.81920.26

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\rts[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.bglc

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\sts[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.37

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\uts[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.34

  [WARNUNG]   Die Datei wurde ignoriert.

D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\vts[1].exe

  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.36

  [WARNUNG]   Die Datei wurde ignoriert.

Schritt 1: defogger
...bringt bei mir kein Logfile. Warum?:wtf:

Schritt 2: OTL
bei mir wird nur eine OTL.txt Datei erzeut. Von extra.txt sehe ich nichts. :wtf:
OTL.txt im Anhang.

Schritt 3: Gmer
txt im Anhang.

Vielen Dank für eure Mithilfe

Edit:
Schritt 4: Quickscan mit Malwarebytes -
Ergebnisse:

Code:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org
 

Datenbank Version: 6852
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

14.06.2011 12:17:34

mbam-log-2011-06-14 (12-17-24).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 164511

Laufzeit: 5 Minute(n), 13 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 1

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
 

Infizierte Verzeichnisse:

c:\WINDOWS\system32\xmldm (Stolen.Data) -> No action taken.
 

Infizierte Dateien:

c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> No action taken.

c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> No action taken.

c:\dokumente und einstellungen\Basta\eigene dateien\downloads\svchostanalyzer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.