Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 14.06.2011, 10:28   #1
Atina
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Hallo Leute,
es scheint also doch nicht überstanden.
Nachdem ich schon im ersten Thread:
http://www.trojaner-board.de/98156-w...er-y-14-a.html
meine Probleme und logs gepostet habe, versuche ich jetzt hier den nächsten Anlauf.

Antivir spuckt erstmal folgendes aus. Wichtig ist zu wissen, dass hier ne zweite Platte aus meinem Ex-Laptop dran hängt, die anscheinend auch nicht ganz jungfräulich in Bezug auf Trojaner war:

Code:
ATTFilter
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Basta\Desktop\Desktop\Ablage\usb\eigene Dats\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Conficker.Y.12
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Basta\Desktop\Desktop\Neuer Ordner (2)\progs\Online Malware scan-Dateien\ELIBAGLA.AGA%D8B%D8%D8H.EXE
  [FUND]      Ist das Trojanische Pferd TR/Gendal.57355.A
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Basta\Lokale Einstellungen\Temp\jar_cache2160939286116540888.tmp
  [FUND]      Ist das Trojanische Pferd TR/Banker.Agent.ckj
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Programme\SarasSoft\UFS\UFS_SAMs\Boot\SW_D500_FLp(0001).bin
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
  [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP27\A0008259.dll
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Conficker.Y.14
  [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP75\A0031745.exe
  [FUND]      Ist das Trojanische Pferd TR/Banker.Agent.ckj
  [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A7814DBD}\RP75\A0032736.dll
  [FUND]      Ist das Trojanische Pferd TR/Spy.Farko.f
  [WARNUNG]   Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <BOOT>
D:\Dokumente und Einstellungen\Basta\Eigene Dateien\philosophie und weitere literatur\Klassische Philologie\Lumina Lernsoftware Latein (CloneCD Image).ace
[0] Archivtyp: ACE
--> Lumina.ccd
[WARNUNG]   Zu wenig Speicher! Die Datei wurde nicht durchsucht!
D:\Programme\Image-Line\FL Studio 7\Plugins\VST\Instruments\SYNTH-VirtualAnalog\Angular_Momentum_Warefare_2.0\AMAnalogWarfare2.zip
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MDH.G.16
--> Angular Momentum Analog Warfare 2.exe
[FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MDH.G.16
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\hts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\jts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\kts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\ots[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\qts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.81920.26
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\rts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.bglc
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\sts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.37
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\uts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.34
  [WARNUNG]   Die Datei wurde ignoriert.
D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHYB61U5\vts[1].exe
  [FUND]      Ist das Trojanische Pferd TR/Agentbypass.K.36
  [WARNUNG]   Die Datei wurde ignoriert.
         
Schritt 1: defogger
...bringt bei mir kein Logfile. Warum?

Schritt 2: OTL
bei mir wird nur eine OTL.txt Datei erzeut. Von extra.txt sehe ich nichts.
OTL.txt im Anhang.

Schritt 3: Gmer
txt im Anhang.

Vielen Dank für eure Mithilfe

Edit:
Schritt 4: Quickscan mit Malwarebytes -
Ergebnisse:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6852

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.06.2011 12:17:34
mbam-log-2011-06-14 (12-17-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 164511
Laufzeit: 5 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> No action taken.

Infizierte Dateien:
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> No action taken.
c:\dokumente und einstellungen\Basta\eigene dateien\downloads\svchostanalyzer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
         

Geändert von Atina (14.06.2011 um 11:20 Uhr)

Alt 14.06.2011, 12:52   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________

Alt 14.06.2011, 23:39   #3
Atina
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Danke für die Antwort.
Log ist im Anhang. Noch nichts wurde unternommen - mwb ist aber noch geöffnet...
__________________

Alt 15.06.2011, 09:15   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Zitat:
c:\dokumente und einstellungen\Basta\Desktop\Desktop\neuer ordner\Musik\novation\novation.v-station.vsti.v1.11-arctic\trope.exe (Malware.Packer.Gen)
e:\standardsoftware\!-itees-extras\xp-einstellung\wpa_kill_sp3\CRYPT.DLL (Hacktool)

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.06.2011, 13:39   #5
Atina
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Tut mir leid - dieses "hacktool" stammt von einem USB aus einem schlechten Hardwaresupport, bei dem ich mal ein Praktikum gemacht habe. Ich habe weder das programm je genutzt noch hatte ich die Intention dazu.
Sorry, aber Neuinstallation kommt nicht in Frage, zumal einige Schädlinge ja nicht auf C liegen.
Aber es ist ja euer Forum...
Danke vielmals...


Alt 15.06.2011, 14:15   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Zitat:
Sorry, aber Neuinstallation kommt nicht in Frage,
Zu spät! Du hättest die Finger von illegaler Software lassen müssen.
__________________
--> WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...

Alt 15.06.2011, 21:41   #7
Atina
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Gut, da der offizielle Support gestorben ist, wende ich mich an den letzten Thread, der sich mit Conficker Y14 beschäftigt hat:
http://www.trojaner-board.de/88234-a...ne-erfolg.html
und werde alle Schritte dokumentieren.
Ich hoffe, ihr seid nicht so restriktiv und schliesst mir den Thread - es könnten vielleicht andere davon profitieren....
Poz

Alt 15.06.2011, 23:29   #8
Atina
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Schritt 1: hjtscanlist + hijackthis im Anhang (ASK toolbar gefixt - nach automatischer Auswertung
Schritt 2:
Zugriff auf System Volume Information Ordner erwirkt
hxxp://www.administrator.de/index.php?content=11353
Schritt 3: CCleaner

Alt 16.06.2011, 09:47   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Sry aber mit dem Fixen über HijackThis von irgendwelchen Ask-Toolbars kann man doch nciht ernsthaft erwarten, den Conficker zu entfernen
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.06.2011, 10:18   #10
Atina
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Hab jetzt bei avira im Forum nochmal meine av logs und hijackthislogs geposted. Aber schön, dass du dich ueber meine Versuche freust, dem Problem Herr zu werden.
Ist echt aktiv dieses Forum.
Viele Grüße,
Atina

Alt 16.06.2011, 10:49   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Nein, freuen tu ich mich nicht wirklich. Ich wollte dir nur deutlich machen, dass halbherzige Bereinigungsversuche Zeitverschwendung sind. Dann biste besser mit format c dran
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.06.2011, 15:58   #12
Atina
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Kann ich mir zur Zeit nicht leisten, dass System neu aufzusetzen. Muss jetzt erstmal geflickt werden...

Alt 16.06.2011, 19:35   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Standard

WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...



Hm, keine Datensicherung vorhanden?
System schnell plätten, neu aufziehen, die wichtigsten Programme nachinstallieren. Wenn man richtig schnell ist, ist das nur ne Sache wenigen Stunden - je nachdem welche Ausstattung man hat.
Noch schneller gehts wenn man ein aktuelles Image ohne Malware und Cracks/Keygens hätte
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...
adspy/mdh.g.16, conficker, heuristics.reserved.word.exploit, hijack.userinit, jar_cache, malware.trace, pum.hijack.system.hidden, stolen.data, system volume information, tr/agentbypass.k.34, tr/agentbypass.k.36, tr/agentbypass.k.37, tr/banker.agent.ckj, tr/crypt.epack.gen, tr/crypt.epack.gen2, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/gendal.57355.a, tr/kazy.81920.26, tr/spy.farko.f, tr/spy.zbot.bglc, trojan.banker, warum, worm/conficker.y.12, worm/conficker.y.14



Ähnliche Themen: WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...


  1. AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)
    Plagegeister aller Art und deren Bekämpfung - 15.02.2013 (11)
  2. Trojan.Agent/Gen-Kazy[Ico] in C:\SYSTEM VOLUME INFORMATION\_RESTORE{6037B4AE-60D5-4ABD-B660-DFA1EAAD6D52}\RP441\A0130476.EXE gefunden
    Log-Analyse und Auswertung - 14.10.2012 (28)
  3. Trojaner Funde in CC:\System Volume Information\_restore und andere Pfade
    Log-Analyse und Auswertung - 31.10.2011 (4)
  4. Trojanerfund TR/Eyestye.n.763 , Datei: C:\System Volume Information\_restore{E5C0502A-7E6B-48C6-820F
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (44)
  5. Externe Festplatte / TR/HORSE.LFM / System Volume Information\_restore
    Plagegeister aller Art und deren Bekämpfung - 26.02.2011 (3)
  6. Verschiedene Trojaner in C:\System Volume Information\_restore
    Log-Analyse und Auswertung - 06.01.2011 (19)
  7. gefunden: Adware.WidgiToolbar in "C:\System Volume Information\_restore..."
    Log-Analyse und Auswertung - 10.11.2010 (2)
  8. TR/Trash.Gen in 'C:\System Volume Information\_restore [...].DLL'
    Plagegeister aller Art und deren Bekämpfung - 30.07.2010 (6)
  9. TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB
    Plagegeister aller Art und deren Bekämpfung - 16.02.2010 (6)
  10. Troja TR/Spy.79360.15 in C:\System Volume Information\_restore........A0082264.exe
    Log-Analyse und Auswertung - 10.02.2010 (4)
  11. C:\System Volume Information\_restore .... Trojaner, Quarantäne
    Plagegeister aller Art und deren Bekämpfung - 25.02.2009 (4)
  12. DataMiner in "C:System Volume Information\_restore\...
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (4)
  13. Hilfe!WORM/generic in D://System Volume Information (Mit HJT LOG-FILE!)
    Log-Analyse und Auswertung - 16.08.2008 (8)
  14. Was ist C:\System Volume Information\_restore{...}.dll oder .exe
    Antiviren-, Firewall- und andere Schutzprogramme - 20.01.2008 (10)
  15. Was ist C:\System Volume Information\_restore{...}.dll oder .exe
    Mülltonne - 14.01.2008 (0)
  16. trojaner in C:\ system volume information\_restore,...
    Plagegeister aller Art und deren Bekämpfung - 02.07.2007 (5)
  17. WORM/IRCBot.65536 in System Volume Information
    Log-Analyse und Auswertung - 26.11.2006 (3)

Zum Thema WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... - Hallo Leute, es scheint also doch nicht überstanden. Nachdem ich schon im ersten Thread: http://www.trojaner-board.de/98156-w...er-y-14-a.html meine Probleme und logs gepostet habe, versuche ich jetzt hier den nächsten Anlauf. Antivir spuckt - WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78......
Archiv
Du betrachtest: WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.