Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Conficer-A in Globalroot ? ? ?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.10.2009, 13:16   #1
guetz
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



Hallo zusammen


(eins vorweg, ich kenn mich mit PC`s nicht mega gut aus, habe mich aber jetzt 2 Tage mit dem Problem rumgeschlagen und komm nicht mehr weiter...)

anscheinend habe ich mit einer DVD mit selbstgebrannten Fotos, den genannten "Kollegen" mitgebrach ... Mein Virenscan "Sofos" hat in einem Ordner entdeckt und auch gelösch. Zusätzlich gibt er noch an, ihn hier zu finden:
\\GLOBALROOT\Device\HarddiskVolumeShadowcopy14\Users\***\Recycler\...jwgkvsq.vmx

kann ihn hier aber weder löschen, bereinigen, noch sonstwas unternehmen.

Der Scan mit MAM hat jetzt grad nix ergeben, irgendwie blick ich jetzt nicht mehr ganz durch... kann mir wohl jemand helfen??? (das System wurde auch mit CCleaner bereinigt)

Gruss

Markus

p.S. anbei der log des Scans
Angehängte Dateien
Dateityp: txt mbam-log-2009-10-30 (14-04-48).txt (1.008 Bytes, 243x aufgerufen)

Geändert von guetz (30.10.2009 um 13:26 Uhr) Grund: Nachtrag

Alt 30.10.2009, 13:57   #2
guetz
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



hier noch der log vom RSIT...

Guetz
Angehängte Dateien
Dateityp: txt log.txt (67,9 KB, 244x aufgerufen)
__________________


Alt 30.10.2009, 14:38   #3
Larusso
/// Selecta Jahrusso
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
Code:
ATTFilter
deine Logfile
         
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
__________________
__________________

Alt 30.10.2009, 15:24   #4
guetz
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



Vielen Dank für die Antwort, Gmer läuft gerade. (Bin mit dem Laptop im Netz...)
Ist eine Verbreitung über das WLAN möglich, sollte ich entsprechend auch den Laptop überprüfen (Sophos hat nichts gefunden...)

Markus

Alt 30.10.2009, 16:15   #5
guetz
 
Conficer-A in Globalroot ? ? ? - Icon21

Conficer-A in Globalroot ? ? ?



Gmer hat folgende Probleme verursacht:

1. zuerst meldete der Bildschirm kein Signal, etwas später war wider alles iO mit einer Meldung Windows habe ein Problem mit dem Bildschirm behoben

2. nach ca. 10 minuten die Meldeung dass das Programm nicht ordnungsgemäss ausgeführt wird und beendet wird.

3. nach nochmaligem Starten des Programmes nach kurzer Zeit blauer Bildschirm, einige Textzeilen die ich nicht entziffern konne, und der PC startet neu...

wie weiter???


Alt 30.10.2009, 19:55   #6
Larusso
/// Selecta Jahrusso
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



wurde folgendes eingehalten ?

Zitat:
Vista-User mit Rechtsklick und als Administrator starten.
Wenn nicht, nocheinmal versuchen

sonst folgendes versuchen

Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services
    Shadow SSDT

    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.
__________________
--> Conficer-A in Globalroot ? ? ?

Alt 30.10.2009, 22:01   #7
guetz
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



habe es natürlich als Administrator versucht, hat nix gebracht, auch neues downloaden hat nichts genützt.

dann den RootRepeal laufen lassen, nach ca. 2h erneuter Abbruch. Root repeal hat folgenden CrashReport erstellt:

Code:
ATTFilter
ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows Vista SP2
Exception Code: 0xc0000005
Exception Address: 0x76a29d72
Attempt to write to address: 0x00000000
         
hab die Kiste mal abgestellt, hoffe Du hast noch weitere Ideen???

Alt 30.10.2009, 22:45   #8
Larusso
/// Selecta Jahrusso
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



schritt 1

Rootkit mit AVZ Antiviral-Toolkit entfernen

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.
  • Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
  • Aktualisiere die Signaturen:
    Im Menü => File => Database Update => Start-Button drücken => OK
  • Im Menü => AVZPM
  • Dort aud "Install extended monitoring driver" drücken
  • AVZ wird nun einen Neustart verlangen, also neustarten.
  • Setze Häkchen vor die Laufwerke, die gescannt werden sollen.
  • Setze ein Häkchen rechts vor "Enable malware removal mode:"
  • Setze ein Häkchen vor "Copy suspicious files to Quarantine".
    .

    .
  • Drücke auf den Button "Start", um den Suchlauf zu starten.
  • Geduld, der Suchlauf kann eine Weile dauern.
  • Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
  • Poste das Logfile hier in den Thread.
Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.


schritt 2

RSIT erneut das System scannen lassen
  • Schließe alle Fenster und Programme inkl. Browser.
  • Lösche C:\rsit\info.txt manuell.
  • Start => ausführen (bei Vista: im Feld "Suche starten")
  • "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
    damit die alten Logdateien von RSIT überschrieben werden.
  • Bitte poste den Inhalt folgender Logs hier in den Thread:
    C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).


Bitte poste in Deiner nächsten Antwort
Beide RSIT logfiles
Logfile von AVZ
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 01.11.2009, 16:10   #9
guetz
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



So, hat jetzt alles soweit geklappt

hier das AVZ-logfile:
Code:
ATTFilter
AVZ Antiviral Toolkit log; AVZ version is 4.32
Scanning started at 31.10.2009 09:38:48
Database loaded: signatures - 247554, NN profile(s) - 2, malware removal microprograms - 56, signature database released 31.10.2009 09:42
Heuristic microprograms loaded: 374
PVS microprograms loaded: 9
Digital signatures of system files loaded: 151774
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: enabled
Windows version is: 6.0.6002, Service Pack 2 ; AVZ is run with administrator rights
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .text
 Analysis: ntdll.dll, export table found in section .text
 Analysis: user32.dll, export table found in section .text
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
 Driver loaded successfully
 SDT found (RVA=137B00)
 Kernel ntkrnlpa.exe found in memory at address 8223A000
   SDT = 82371B00
   KiST = 822E682C (391)
Functions checked: 391, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
 Analyzing CPU 1
 Analyzing CPU 2
 Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Masking process with PID=504, name = ""
 >> PID substitution detected (current PID is=0, real = 504)
Masking process with PID=552, name = ""
 >> PID substitution detected (current PID is=0, real = 552)
Masking process with PID=608, name = ""
 >> PID substitution detected (current PID is=0, real = 608)
Masking process with PID=1012, name = ""
 >> PID substitution detected (current PID is=0, real = 1012)
Masking process with PID=828, name = ""
 >> PID substitution detected (current PID is=0, real = 828)
Masking process with PID=848, name = ""
 >> PID substitution detected (current PID is=0, real = 848)
Masking process with PID=2076, name = ""
 >> PID substitution detected (current PID is=0, real = 2076)
Masking process with PID=2172, name = ""
 >> PID substitution detected (current PID is=0, real = 2172)
Masking process with PID=2276, name = ""
 >> PID substitution detected (current PID is=0, real = 2276)
Masking process with PID=2996, name = ""
 >> PID substitution detected (current PID is=0, real = 2996)
Masking process with PID=3036, name = ""
 >> PID substitution detected (current PID is=0, real = 3036)
Masking process with PID=3052, name = ""
 >> PID substitution detected (current PID is=0, real = 3052)
Masking process with PID=3188, name = ""
 >> PID substitution detected (current PID is=0, real = 3188)
Masking process with PID=3200, name = ""
 >> PID substitution detected (current PID is=0, real = 3200)
Masking process with PID=3216, name = ""
 >> PID substitution detected (current PID is=0, real = 3216)
Masking process with PID=3224, name = ""
 >> PID substitution detected (current PID is=0, real = 3224)
Masking process with PID=3264, name = ""
 >> PID substitution detected (current PID is=0, real = 3264)
Masking process with PID=3324, name = ""
 >> PID substitution detected (current PID is=0, real = 3324)
Masking process with PID=3396, name = ""
 >> PID substitution detected (current PID is=0, real = 3396)
Masking process with PID=3404, name = ""
 >> PID substitution detected (current PID is=0, real = 3404)
Masking process with PID=3452, name = ""
 >> PID substitution detected (current PID is=0, real = 3452)
Masking process with PID=3888, name = ""
 >> PID substitution detected (current PID is=0, real = 3888)
Masking process with PID=4000, name = ""
 >> PID substitution detected (current PID is=0, real = 4000)
Masking process with PID=3104, name = ""
 >> PID substitution detected (current PID is=0, real = 3104)
Masking process with PID=2360, name = ""
 >> PID substitution detected (current PID is=0, real = 2360)
Masking process with PID=3704, name = ""
 >> PID substitution detected (current PID is=0, real = 3704)
Masking process with PID=848, name = ""
 >> PID substitution detected (current PID is=0, real = 848)
Masking process with PID=2060, name = ""
 >> PID substitution detected (current PID is=0, real = 2060)
Masking process with PID=232, name = ""
 >> PID substitution detected (current PID is=0, real = 232)
Masking process with PID=3232, name = ""
 >> PID substitution detected (current PID is=0, real = 3232)
Masking process with PID=2128, name = ""
 >> PID substitution detected (current PID is=0, real = 2128)
Masking process with PID=3320, name = ""
 >> PID substitution detected (current PID is=0, real = 3320)
 Searching for masking processes and drivers - complete
 Driver loaded successfully
1.5 Checking IRP handlers
 Checking - complete
2. Scanning RAM
 Number of processes found: 61
 Number of modules loaded: 485
Scanning RAM - complete
3. Scanning disks
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\AppData\Local\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Documents and Settings\Guetz\Lokale Einstellungen\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFF1DF.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFF1DF.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFF1DF.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\AppData\Local\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Dokumente und Einstellungen\Guetz\Lokale Einstellungen\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\AppData\Local\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Anwendungsdaten\Temp\~DFEE56.tmp
Direct reading: C:\Users\Guetz\Lokale Einstellungen\Temp\~DFEE56.tmp
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL>>> Behaviour analysis 
 Behaviour typical for keyloggers was not detected
File quarantined succesfully (C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL)
Note: Do NOT delete suspicious files, send them for analysis  (see FAQ for more details),  because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious software
 Checking - disabled by user
7. Heuristic system check
Latent DLL loading through AppInit_DLLs suspected: "C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Services: potentially dangerous service allowed: SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Services: potentially dangerous service allowed: Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
 >>  HDD autorun is allowed
 >>  Network drives autorun is allowed
 >>  Removable media autorun is allowed
Checking - complete
Files scanned: 39971569, extracted from archives: 7528450, malicious software found 0, suspicions - 0
Scanning finished at 01.11.2009 06:19:46
Time of scanning: 20:41:00
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
         
die beiden RSIT Dateien sind angehängt, gäbe sonst etwa 6 Teile...
Angehängte Dateien
Dateityp: txt info.txt (23,6 KB, 343x aufgerufen)
Dateityp: txt log.txt (67,8 KB, 231x aufgerufen)

Geändert von guetz (01.11.2009 um 16:17 Uhr)

Alt 01.11.2009, 16:13   #10
guetz
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



soweit also alles abgearbeitet, bin schon ganz neugierig wie weiter...

gruss

Markus

Alt 01.11.2009, 16:55   #11
Larusso
/// Selecta Jahrusso
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



Einen Versuchen wir noch

Rootkitsuche mit SysProt
  • Lade dir SysProt auf den Desktop und starte das Tool
  • Gehe dort auf den Reiter "Log"
  • Setze nun einen Haken bei:
    • Kernel Modules
    • Kernel Hooks
    • Hidden Files
    • Und unten bei "Hidden Objects Only"
  • Drücke nun auf "Create Log"
  • Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
  • Wenn der Scan abgeschlossen ist, beende SysProt.
  • Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 01.11.2009, 17:02   #12
guetz
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



Leider funktioniert der Link zu SysProt nicht...

Was meinst du mit einen Versuchen wir noch, ich hab keinen Plan wo ich stehe, kurz vor dem Sieg, oder eher in der Nähe des Formatieren???

Geändert von guetz (01.11.2009 um 17:09 Uhr)

Alt 01.11.2009, 17:14   #13
Larusso
/// Selecta Jahrusso
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



Nimm den hier
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 01.11.2009, 17:43   #14
guetz
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



bitteschön, läuft ja wie am schnürchen
Code:
ATTFilter
SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_iaStor.sys
Service Name: ---
Module Base: 8670C000
Module End: 867C4000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: K:\System Volume Information\tracking.log
Status: Access denied

Object: K:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: K:\System Volume Information\{fb0e3f02-aa08-11de-82db-00247e8ba72b}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: J:\privat\Masterstudium\Literatur\Literaturverzeichnis Diplomarbeit 1993 ? Dipl.-Ing. Wilfried Böhling (Landespflege) Landschaftsplaner aus Stade nahe Hamburg - Auswertung faunistisch-ökologischer Untersuchungen an Schmetterlingen und Heuschrecken. Holzmi
Status: Hidden

Object: J:\privat\Masterstudium\Literatur\._Literaturverzeichnis Diplomarbeit 1993 ? Dipl.-Ing. Wilfried Böhling (Landespflege) Landschaftsplaner aus Stade nahe Hamburg - Auswertung faunistisch-ökologischer Untersuchungen an Schmetterlingen und Heuschrecken. Holz
Status: Hidden

Object: D:\System Volume Information\SPP
Status: Access denied

Object: D:\System Volume Information\tracking.log
Status: Access denied

Object: D:\System Volume Information\{47966bd5-6ece-11de-963e-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{7ab057e6-7179-11de-9b97-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{a75e3883-6f09-11de-b058-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{c9d86c05-6f72-11de-b62d-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\SPP
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\Windows Backup
Status: Access denied

Object: C:\System Volume Information\{2cc8e08d-c4a4-11de-90ad-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{4ee74213-c455-11de-b280-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{4ee74254-c455-11de-b280-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{4ee7425c-c455-11de-b280-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{61324d9f-c52d-11de-9028-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{61324db2-c52d-11de-9028-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{7f20973e-be73-11de-bba5-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{9bbe5b60-bf91-11de-aa0c-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{9bbe5ba8-bf91-11de-aa0c-001a92d0d998}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl
Status: Access denied
         

Alt 01.11.2009, 19:02   #15
Larusso
/// Selecta Jahrusso
 
Conficer-A in Globalroot ? ? ? - Standard

Conficer-A in Globalroot ? ? ?



Specialfall :/

here we go

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu Conficer-A in Globalroot ? ? ?
anbei, bereinigen, blick, device, dvd, entdeck, entdeckt, fotos, gebrannte, gebrannten, hallo zusammen, kollege, log, löschen, nicht mehr, ordner, problem, recycler, scan, scans, schei, users, virenscan, zusammen, zusätzlich



Ähnliche Themen: Conficer-A in Globalroot ? ? ?


  1. Trojan.Generic.2913791 in <System>=>globalroot\systemroot\system32\H8SRTumybfdopyx.dl
    Plagegeister aller Art und deren Bekämpfung - 07.01.2010 (1)
  2. globalroot/systemroot/system32/gasvkyviextpqs.dll
    Plagegeister aller Art und deren Bekämpfung - 07.10.2009 (37)
  3. globalroot\systemroot\system32\SKYNETueityvjt.dll
    Plagegeister aller Art und deren Bekämpfung - 07.09.2009 (28)
  4. \\?\globalroot\systemroot\system32\... infos nötig
    Diskussionsforum - 07.09.2009 (4)
  5. Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll
    Plagegeister aller Art und deren Bekämpfung - 24.08.2009 (17)
  6. virus in //?/globalroot/systemroot/
    Log-Analyse und Auswertung - 25.07.2009 (18)
  7. rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"
    Log-Analyse und Auswertung - 22.07.2009 (4)
  8. globalroot/systemroot/system32/SKYNETvrdltpu.dll ist das ein Virus?
    Log-Analyse und Auswertung - 12.07.2009 (1)

Zum Thema Conficer-A in Globalroot ? ? ? - Hallo zusammen (eins vorweg, ich kenn mich mit PC`s nicht mega gut aus, habe mich aber jetzt 2 Tage mit dem Problem rumgeschlagen und komm nicht mehr weiter...) anscheinend habe - Conficer-A in Globalroot ? ? ?...
Archiv
Du betrachtest: Conficer-A in Globalroot ? ? ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.