Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus JS/BlacoleRef.W.101 bei mir (https://www.trojaner-board.de/129381-virus-js-blacoleref-w-101-mir.html)

marcus_d 11.01.2013 22:45
Virus JS/BlacoleRef.W.101 bei mir
 
Hallo,
heute wurde leider meine Webseite wegen Verbreitung von Malware gesperrt. Habe mich mit dem Provider gleich in Verbindung gesetzt, um ein Backup zu erhalten und die Seiten zu erneuern. Als ich dieses herunterlade warnt Avira mich vor JS/BlacoleRef.W.101, die in der Backup.tar Datei steckt.
Nachdem ich versucht habe die Datei zu löschen, steckt diese nun in $Recycle.Bin und in der Avira Quarantäne.
Es ist wahrscheinlich, dass der ftp-Server geknackt wurde. Habe daher, habe daher Malwarebyte über den PC laufen lassen. Folgendes Ergebnis kam raus:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Database version: v2013.01.11.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
XXXX :: XXXX-PC [limited]

11.01.2013 11:38:25
mbam-log-2013-01-11 (11-38-25).txt

Scan type: Full scan (C:\|D:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 443060
Time elapsed: 3 hour(s), 29 minute(s), 44 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 3
HKCR\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549B5CA7-4A86-11D7-A4DF-000874180BB3} (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Values Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Data: C:\Users\XXXX\AppData\Roaming\appconf32.exe -> Quarantined and deleted successfully.

Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
(end)

Ich würde meinen PC gerne schadfrei bekommen, um dann auch die Webseite reparieren zu können. Freue mich über jede Hilfe! Danke!!
Viele Grüße
marcus

cosinus 12.01.2013 00:44
Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Zitat:
Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

marcus_d 12.01.2013 10:53
Hallo,
hier die Logs in chronologischer Reihenfolge.
Malwarebytes
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Database version: v2013.01.11.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
XXX:: XXXX-PC [limited]

11.01.2013 11:38:25
mbam-log-2013-01-11 (11-38-25).txt

Scan type: Full scan (C:\|D:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 443060
Time elapsed: 3 hour(s), 29 minute(s), 44 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 3
HKCR\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549B5CA7-4A86-11D7-A4DF-000874180BB3} (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Values Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Data: C:\Users\XXXXX\AppData\Roaming\appconf32.exe -> Quarantined and deleted successfully.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
ESET Online
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=1a6d34385825b541bfc3233c9c7bc062
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-11 07:51:11
# local_time=2013-01-11 08:51:12 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1799 16775165 100 100 20149 223357162 202096 0
# compatibility_mode=3073 16777213 40 89 119570846 119572012 0 0
# compatibility_mode=5892 16776573 100 95 8373210 195466574 0 0
# scanned=251634
# found=0
# cleaned=0
# scan_time=18282
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Database version: v2013.01.11.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
XXX:: XXXX-PC [limited]

11.01.2013 11:38:25
MBAM-log-2013-01-11 (15-09-13).txt

Scan type: Full scan (C:\|D:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 443060
Time elapsed: 3 hour(s), 29 minute(s), 44 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 3
HKCR\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549B5CA7-4A86-11D7-A4DF-000874180BB3} (Trojan.Agent) -> No action taken.

Registry Values Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Data: C:\Users\XXXXX\AppData\Roaming\appconf32.exe -> No action taken.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
Avira
Code:
Exportierte Ereignisse:
11.01.2013 22:15 [System Scanner] Malware gefunden
      Die Datei
      'D:\$RECYCLE.BIN\S-1-5-21-1432457705-2119149416-579073992-1002\$RWN70ZJ\Webspace
      \1und1-Backup.tar'
      enthielt einen Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55c82826.qua'
      verschoben!

11.01.2013 22:11 [Echtzeit Scanner] Malware gefunden
      In der Datei
      'D:\$RECYCLE.BIN\S-1-5-21-1432457705-2119149416-579073992-1002\$RWN70ZJ\Webspace
      \1und1-Backup.tar'
      wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.01.2013 22:04 [System Scanner] Malware gefunden
      Die Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar'
      enthielt einen Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus].
      Durchgeführte Aktion(en):
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
      Die Quelldatei konnte nicht gefunden werden.
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
      Fehler in der ARK Library.
      Die Datei wurde zum Löschen nach einem Neustart markiert.
      Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

11.01.2013 21:56 [Echtzeit Scanner] Malware gefunden
      In der Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar'
      wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.01.2013 21:02 [Echtzeit Scanner] Malware gefunden
      In der Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar'
      wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.01.2013 21:02 [Echtzeit Scanner] Malware gefunden
      In der Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar'
      wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]
      gefunden.
      Ausgeführte Aktion: Übergeben an Scanner

11.01.2013 21:02 [Echtzeit Scanner] Malware gefunden
      In der Datei 'D:\temp\1und1-Backup\Webspace\1und1-Backup.tar'
      wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.01.2013 10:22 [Browser Schutz] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://www.euphorum.org/"
      wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]
      gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

11.01.2013 10:22 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\WEBGUARD\00061F01.html'
      wurde ein Virus oder unerwünschtes Programm 'JS/BlacoleRef.W.101' [virus]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Database version: v2013.01.11.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
XXXX:: XXX-PC [limited]

11.01.2013 21:05:42
mbam-log-2013-01-11 (21-05-42).txt

Scan type: Full scan (D:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 249910
Time elapsed: 53 minute(s), 21 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

cosinus 12.01.2013 15:46
Machst du Onlinebanking mit diesem Rechner?

marcus_d 13.01.2013 12:07
Jetzt nicht mehr.
Was sollte ich denn nun tun?

cosinus 13.01.2013 20:31
Wenn du in Zukunft irgendwann mal wieder banken willst solltest du lieber eine Neuinstallation von Windows machen. Überleg dir das.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131