GData Boot CD findet Win32: Gremo und andere in .vhd / .vdi - Dateien

cosinus · 13.10.2012, 13:42

Sieht für mich auch eher nach Fehlalarmen aus.

Zitat:

HKCU\Software\Schmidt-Pro (Trojan.Agent)

Das kennst du?

Zitat:

Zur Erklärung: W7 64 SP1 ist eine virtuelle Windows 7 - Maschine,

Daher die VHD-Dateien, sind das die virtuellen Disks der VMs?
Hast du das Wirts-OS gescannt und die Logs sind das Ergebnis oder hast du auch eine der VMs gescannt abgesehen von den VHD-Dateien?

User1578 · 14.10.2012, 21:33

Zitat:

Zitat von cosinus

Sieht für mich auch eher nach Fehlalarmen aus.

Code:

ATTFilter

HKCU\Software\Schmidt-Pro (Trojan.Agent)

Das kennst du?

Ich kann dir leider nicht sagen, was das ist, aber ich habe, seit dieser Schlüssel entfernt wurde, auch keine Veränderung feststellen können.

Zitat:

Zitat von cosinus

Sieht für mich auch eher nach Fehlalarmen aus.

Daher die VHD-Dateien, sind das die virtuellen Disks der VMs?

Nochmal im Klartext:

Die drei gefundenen .vdi - Dateien sind die von VirtualBox erstellten virtuellen Disks der beschriebenen virtuellen Maschinen. Die einzelne .vhd - Datei ist das von der Windows - Sicherung erstellte Systemabbild und den fünften Fund kann ich nicht so richtig einschätzen, da ich nur raten kann, dass die Partition E: meine OEM-Partition ist und darauf liegen vermutlich die ganzen Recovery - Tools. Übrigens heißt das von Lenovo auf meinem PC vorinstallierte Recovery - Programm "Lenovo OneKey Recovery", daher vermute ich, dass der Fund diesem Programm zuzuordnen ist.

Zitat:

Zitat von cosinus

Sieht für mich auch eher nach Fehlalarmen aus.

Hast du das Wirts-OS gescannt und die Logs sind das Ergebnis oder hast du auch eine der VMs gescannt abgesehen von den VHD-Dateien?

Sämtliche bisher geposteten Logs und Informationen bezogen sich ausschließlich auf das Wirts - System (Windows 7 Home Premium SP1 64 bit).

Die VMs benutze ich selten und ich hatte sie, abgesehen vom Scan ihrer .vdi - Dateien vom Wirtssystem aus, auch noch nicht gescannt. Vorsichtshalber habe ich jedoch soeben die virtuelle Maschine "W7 64 SP1" per GDATA BootScan auf dieselbe Weise gescannt wie das Wirtssystem. Hier das Ergebnislog:

Code:

ATTFilter

Virenprüfung mit G Data AntiVirus
Version 10.0 (02.02.2011)
Virensignaturen vom 14.10.2012
Startzeit: 14.10.2012 21:20
Engine(s): EngineA (AVA 22.6426) EngineB (AVB 22.1191) 
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfe Systembereiche....
Prüfung folgender Verzeichnisse und Dateien:
	/mnt/


Analyse vollständig ausgeführt: 14.10.2012 21:55
71625 Dateien geprüft
0 infizierte Dateien gefunden
0 verdächtige Dateien gefunden

Übrigends ist der GData - Virenscan des Wirtssystems unter Windows ohne Fund:

Code:

ATTFilter

Virenprüfung mit G Data InternetSecurity 2013
Version 23.0.5.9 (17.09.2012)
Virensignaturen vom 09.10.2012
Startzeit: 09.10.2012 18:51:28
Engine(s): Engine A (AVA 22.6369), Engine B (AVL 22.1241)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung aller im Speicher befindlichen Prozesse und Verweise im Autostart...
Prüfung auf RootKits...
Prüfung aller lokalen Festplatten...
Analyse vollständig durchgeführt: 09.10.2012 19:30:18
    176271 Dateien überprüft
    0 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden


Der Zugriff auf die folgenden Dateien wurde verweigert:
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession7.etl
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\03c672c9332a61f1e1629caff4dd7367_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\05106cfa2216d2d4dc6d6f5e7e9bf5a2_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\0016dac98b10f40171a9497cb009cddc_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\0c7895275ea1aa90dbbae804c71660e4_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\105ccbf74b96473cafb8ff5033c7485c_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\12a0c72d4940064d40be65bf19e583e3_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\0d61276fd58abc85b620e1bf9e216d2e_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\18fb411aacea181f8a39ae4f38ed18f5_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\1c7f14182476d8a30f09993c04cda80e_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\2992579982c73275a3a034c656834e3a_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\2bee2d803a526872b08f77323b31028d_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\2d04d99a5dfe95334eeda91d3599e23c_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\348b0ed8d8c859a5e5dddbd3e0b0105c_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\351dffbfa2303f774b05739a57197fd2_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\36097ecf2784237bb74a7ee3518d448e_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\3ab535b50222b76ba950ea479496bcec_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\4540492a359fe9ed9d931b5407b90ca2_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\47541811460572ada13b9a0ab7a5cd74_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\4f3f5bdffea30591d76a821be04d322d_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\5206e7eb62f87f96d6e44b2005a8d5ef_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\53bd2eb23b5dbd19f0aa732a640faccb_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\570855bb372cf6407eed4b2f6ffdcb41_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\5d8f9ed17c9784af3ae37aac7f294ad0_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\65afad19c8198c84f88db50de04c5041_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\63331267f2962dc1c2db52a08e21b48e_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6c935854942c402fc296cafcc126e0c3_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\7032330fcc7f967edb817eacf2baf71c_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\703d10df6e91b4959c344bceffe95241_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\784b512cfac3081c424c3c4d19299f2e_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\78527943dbeb0cf7c986c555745d86df_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\7339ad4da8041cd8cc06bb1eee9584fd_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\7be1ab09cc9eabec56f2547a04030132_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\7c27c1326cd1cba193b41211b6b07bb4_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\7db7418e278914d3dc86fe3808d2e387_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\826ac8d86ce4083dae182594d328f03f_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\92e333a4e39605ffc262631579153c70_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\95a35a5e1d7e7c53698c9a7bad7fc572_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\970db30e13f22752d0b616381af6d54e_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\9ecbcf36e110c96b9a66abc0d288f3c2_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\9d91d8ea49de04e4c0d40ff1d97cfc59_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\a141865289e34592f217672cbffe6517_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\a332370874f1669135f85e76accf903d_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\a7144e5b44b8e1f7b1e64777263772a4_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\a92cf8d89bed0e8671eba2528611f74a_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\ab23c232d0d6f9301e6635d6f299d081_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\b021c2bb2d50953dc905956064b8528b_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\b0f82f61d41aed5e9763f1a1663f7e0c_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\b2829a1fe58d226de8b52e039a3669df_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\b2ca6d5d6977ac1d42a0175f915d367c_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\b9f4abae5b7c56c839ae1b7ad7826178_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\bafc11964f75daf47d4037460bf82478_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\bd5cf3b6af4943554be661fa302c3010_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\be41a4761a8f9e8bf389fd1c58f46f40_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\c96e749d2e6c5d4a1d9f18cd408e8e87_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\c3a5b821df88379ca2aa8424dc34c0da_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\c9fd4331c5a0c7c0ff20f5c8f7a3a008_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\cdaf441f95b4156d06eff708e5a81e0c_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\cebf596b8302798a14563ced4be33950_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\d3de91c7eba2c3a8b438f2317d924c07_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\d2fadf1613485c0c68767aac468d588b_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\ca0eface921f4e2eb87dad6a27269ee1_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\d1fad6301d6a02cdfab695f6c413ddf0_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\d40282033be66ab0908409b45d9ca0ae_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\d63d38e0496c5031c9ac045b087c80a0_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\da399712eb944769c60b4427c995fb7e_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e63103616bace33eeadd587eb36b0edb_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f2ccb8612d06b5da1efd5c69b399845e_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\eaa6c6d3734707389b3a60f37cdae9f9_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f79ed1428bdbedb5e471068485fdb42d_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\db1b4cdef04c29a7ef98785f2ecf594b_b36b96c0-a8a3-4fe3-86d0-f48dde7d5b42
C:\System Volume Information\Syscache.hve
C:\System Volume Information\Syscache.hve.LOG1
C:\System Volume Information\MountPointManagerRemoteDatabase
C:\System Volume Information\Syscache.hve.LOG2
C:\System Volume Information\WindowsImageBackup\Catalog\BackupGlobalCatalog
C:\System Volume Information\WindowsImageBackup\Catalog\GlobalCatalog
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{4883cf1f-620e-4925-b9d8-b82b8d28fcca}
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{35f2173a-c3fa-4dc5-b798-07949ebe5c33}
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{61794463-fffb-480b-aa11-d077201e02b8}

Wie geht es nun weiter?

GData Boot CD findet Win32: Gremo und andere in .vhd / .vdi - Dateien

Plagegeister aller Art und deren Bekämpfung: GData Boot CD findet Win32: Gremo und andere in .vhd / .vdi - Dateien

GData Boot CD findet Win32: Gremo und andere in .vhd / .vdi - Dateien

GData Boot CD findet Win32: Gremo und andere in .vhd / .vdi - Dateien

Ähnliche Themen: GData Boot CD findet Win32: Gremo und andere in .vhd / .vdi - Dateien