Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Log Files von OTL, Malewarebytes und Kaspersky nach GVU Trojaner (https://www.trojaner-board.de/130399-log-files-otl-malewarebytes-kaspersky-gvu-trojaner.html)

MurphymcManu 31.01.2013 15:38
Log Files von OTL, Malewarebytes und Kaspersky nach GVU Trojaner
 
Hallo zusammen,

System: Windows 7, SP1, Chrome ( während infizierung benutzt), Security Essentials

Folgendes war geschehen:
Vorgestern im Internet gesurft und auf einer Seite mit Flash Inhalt gewesen, gleichzeitig habe ich eine Datei aus einem Rar- File entpackt.
Plötzlich kam ein weißes Fenster hoch" Urheberrechtsverletzung usw. GVU mit Webcam einbezogen...bla bla bla ucash 100€" so wie schon sehr oft hier im Forum beschrieben.

Anschließend habe ich erstmal einen Neustart versucht, Desktop konne ich kurz sehen dann wurde das Fenster wieder geöffnet.
Bei abgezogenem Netzwerkkabel wurde das weiße Fenster ohne Inhalt angezeigt.
Der abgesicherte Modus war nicht möglich da nach dem Login sofort wieder runtergefahren.

Ich habe dann mit der Kaspersky Rettungsdisk 10 + Windowsunlocker den Desktop entsperrt und gescannt.
18 infizierungen wurden insgesamt gefunden ( Log angehängt, als Code)

Anschließend konnte ich schon normal auf den Desktop zugreifen.

Dann Scan mit:

- OTL ( Log angehängt in Rar weil der Text leider zu lange wurde)
- Malwarebytes ( -"-)
- adwcleaner ( -"-)

Anschließend noch einmal den Eset Onlinescanner der keine weitere Bedrohung mehr finden konnte.

Der PC läuft soweit wieder gut einziges Manko ist das Secunia PSI nicht richtig startet ( bleibt beim Ladefenster hängen, kann aber aus Erfahrung auch an deren Servern liegen)

Meine Bitte wäre die Logfiles wenn möglich bitte einmal durchzusehen und mir evtl. noch Tipps zu geben was ich noch machen kann, da Ihr ja die Profis seit :daumenhoc

Danke schonmal jetzt =)


Code:
Untersuchung von Objekten: wurde abgeschlossen vor 4 Minuten  (Ereignis: 94, Objekte: 4129065, Zeit: 04:14:54)       
30.01.13 20:04        Aufgabe wurde abgeschlossen                       
30.01.13 20:04        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE        Vom Benutzer übersprungen       
30.01.13 19:40        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE               
30.01.13 19:07        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp        Zurückgestellt       
30.01.13 19:07        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp               
30.01.13 19:07        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp        Zurückgestellt       
30.01.13 19:07        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp               
30.01.13 19:07        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe        Zurückgestellt       
30.01.13 19:07        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe               
30.01.13 19:05        Nicht desinfizierte Objekte: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5        Zurückgestellt       
30.01.13 19:05        Gefunden: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5               
30.01.13 18:33        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        C:/Users/Zaphod/AppData/Roaming/skype.dat        Zurückgestellt       
30.01.13 18:33        Gefunden: Trojan.Win32.Yakes.bwjs        C:/Users/Zaphod/AppData/Roaming/skype.dat               
30.01.13 18:33        Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2013-0422.gen        C:/Users/Zaphod/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3a319852-75f411ce        Zurückgestellt       
30.01.13 18:33        Gefunden: HEUR:Exploit.Java.CVE-2013-0422.gen        C:/Users/Zaphod/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3a319852-75f411ce               
30.01.13 18:31        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        C:/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp        Zurückgestellt       
30.01.13 18:31        Gefunden: Trojan.Win32.Yakes.bwjs        C:/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp               
30.01.13 18:31        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        C:/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp        Zurückgestellt       
30.01.13 18:31        Gefunden: Backdoor.Win32.Hlux.rkl        C:/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp               
30.01.13 18:31        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        C:/Users/Zaphod/AppData/Local/Temp/S1A27.exe        Zurückgestellt       
30.01.13 18:31        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        C:/Users/Zaphod/AppData/Local/Temp/S1A27.exe               
30.01.13 18:28        Nicht desinfizierte Objekte: HEUR:Trojan.Script.Generic        C:/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5        Zurückgestellt       
30.01.13 18:28        Gefunden: HEUR:Trojan.Script.Generic        C:/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5               
30.01.13 18:26        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat        Zurückgestellt       
30.01.13 18:26        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat               
30.01.13 18:25        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{CDAEDC08-D46B-2635-3437-4DA0D920818C}-S1A27.exe/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 18:25        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{CDAEDC08-D46B-2635-3437-4DA0D920818C}-S1A27.exe/PE-Crypt.XorPE               
30.01.13 18:25        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{AE4A1FE5-94AA-F46F-39AB-2E25799B3253}-~!#7344.tmp/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 18:25        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{AE4A1FE5-94AA-F46F-39AB-2E25799B3253}-~!#7344.tmp/PE-Crypt.XorPE               
30.01.13 18:25        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 18:25        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE               
30.01.13 18:05        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        C:/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{CDAEDC08-D46B-2635-3437-4DA0D920818C}-S1A27.exe/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 18:05        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        C:/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{CDAEDC08-D46B-2635-3437-4DA0D920818C}-S1A27.exe/PE-Crypt.XorPE               
30.01.13 18:05        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        C:/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{AE4A1FE5-94AA-F46F-39AB-2E25799B3253}-~!#7344.tmp/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 18:05        Gefunden: Trojan.Win32.Yakes.bwjs        C:/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{AE4A1FE5-94AA-F46F-39AB-2E25799B3253}-~!#7344.tmp/PE-Crypt.XorPE               
30.01.13 18:05        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        C:/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 18:05        Gefunden: Backdoor.Win32.Hlux.rkl        C:/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE               
30.01.13 17:12        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp        Zurückgestellt       
30.01.13 17:12        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp               
30.01.13 17:12        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp        Zurückgestellt       
30.01.13 17:12        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp               
30.01.13 17:12        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe        Zurückgestellt       
30.01.13 17:12        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe               
30.01.13 17:09        Nicht desinfizierte Objekte: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5        Zurückgestellt       
30.01.13 17:09        Gefunden: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5               
30.01.13 16:44        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat        Zurückgestellt       
30.01.13 16:44        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat               
30.01.13 16:44        Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2013-0422.gen        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3a319852-75f411ce        Zurückgestellt       
30.01.13 16:44        Gefunden: HEUR:Exploit.Java.CVE-2013-0422.gen        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3a319852-75f411ce               
30.01.13 16:42        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp        Zurückgestellt       
30.01.13 16:42        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp               
30.01.13 16:42        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp        Zurückgestellt       
30.01.13 16:42        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp               
30.01.13 16:42        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe        Zurückgestellt       
30.01.13 16:42        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe               
30.01.13 16:40        Nicht desinfizierte Objekte: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5        Zurückgestellt       
30.01.13 16:40        Gefunden: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5               
30.01.13 16:37        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat        Zurückgestellt       
30.01.13 16:37        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat               
30.01.13 16:36        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{CDAEDC08-D46B-2635-3437-4DA0D920818C}-S1A27.exe/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 16:36        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{CDAEDC08-D46B-2635-3437-4DA0D920818C}-S1A27.exe/PE-Crypt.XorPE               
30.01.13 16:36        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{AE4A1FE5-94AA-F46F-39AB-2E25799B3253}-~!#7344.tmp/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 16:36        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{AE4A1FE5-94AA-F46F-39AB-2E25799B3253}-~!#7344.tmp/PE-Crypt.XorPE               
30.01.13 16:36        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 16:36        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE               
30.01.13 16:31        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp        Zurückgestellt       
30.01.13 16:31        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp               
30.01.13 16:31        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp        Zurückgestellt       
30.01.13 16:31        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp               
30.01.13 16:31        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe        Zurückgestellt       
30.01.13 16:31        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe               
30.01.13 16:28        Nicht desinfizierte Objekte: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5        Zurückgestellt       
30.01.13 16:28        Gefunden: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5               
30.01.13 16:03        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat        Zurückgestellt       
30.01.13 16:03        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat               
30.01.13 16:03        Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2013-0422.gen        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3a319852-75f411ce        Zurückgestellt       
30.01.13 16:03        Gefunden: HEUR:Exploit.Java.CVE-2013-0422.gen        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3a319852-75f411ce               
30.01.13 16:01        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp        Zurückgestellt       
30.01.13 16:01        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#7344.tmp               
30.01.13 16:01        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp        Zurückgestellt       
30.01.13 16:01        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/~!#5C78.tmp               
30.01.13 16:01        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe        Zurückgestellt       
30.01.13 16:01        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Temp/S1A27.exe               
30.01.13 15:57        Nicht desinfizierte Objekte: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5        Zurückgestellt       
30.01.13 15:57        Gefunden: HEUR:Trojan.Script.Generic        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0011b5               
30.01.13 15:55        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat        Zurückgestellt       
30.01.13 15:55        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/Users/Zaphod/AppData/Roaming/skype.dat               
30.01.13 15:53        Nicht desinfizierte Objekte: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{AE4A1FE5-94AA-F46F-39AB-2E25799B3253}-~!#7344.tmp/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 15:53        Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{CDAEDC08-D46B-2635-3437-4DA0D920818C}-S1A27.exe/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 15:53        Nicht desinfizierte Objekte: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE        Zurückgestellt       
30.01.13 15:53        Gefunden: Trojan-Downloader.Win32.Karagany.bfa        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{CDAEDC08-D46B-2635-3437-4DA0D920818C}-S1A27.exe/PE-Crypt.XorPE               
30.01.13 15:53        Gefunden: Trojan.Win32.Yakes.bwjs        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{AE4A1FE5-94AA-F46F-39AB-2E25799B3253}-~!#7344.tmp/PE-Crypt.XorPE               
30.01.13 15:53        Gefunden: Backdoor.Win32.Hlux.rkl        /mnt/MountedDevices/PD-40625CCC-0000000006500000/ProgramData/Microsoft/Microsoft Antimalware/LocalCopy/{0051E628-D14E-15DD-D5B0-F16D1F3B5631}-~!#5c78.tmp/PE-Crypt.XorPE               
30.01.13 15:45        Aufgabe wurde gestartet

cosinus 31.01.2013 16:08
:hallo:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

MurphymcManu 31.01.2013 16:11
Danke für die schnelle Antwort!

Code:
Malwarebytes Anti-Rootkit BETA 1.01.0.1017
www.malwarebytes.org

Database version: v2013.01.30.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Zaphod :: ZAPHOD-PC [administrator]

30.01.2013 20:38:01
mbar-log-2013-01-30 (20-38-01).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 30607
Time elapsed: 11 minute(s), 57 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 6
c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81 (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81 (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 2
c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\@ (Trojan.Siredef.C) -> Delete on reboot.

(end)

Code:
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1017

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x64

Account is Administrative

Internet Explorer version: 9.0.8112.16421

Java version: 1.6.0_37

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, G:\ DRIVE_FIXED, Q:\ DRIVE_FIXED
CPU speed: 3.292000 GHz
Memory total: 4271308800, free: 2838589440

------------ Kernel report ------------
    01/30/2013 20:25:45
------------ Loaded modules -----------
\SystemRoot\system32\ntoskrnl.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kdcom.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\CLFS.SYS
\SystemRoot\system32\CI.dll
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\ACPI.sys
\SystemRoot\system32\drivers\WMILIB.SYS
\SystemRoot\system32\drivers\msisadrv.sys
\SystemRoot\system32\drivers\pci.sys
\SystemRoot\system32\drivers\vdrvroot.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\system32\drivers\volmgr.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\system32\DRIVERS\iaStor.sys
\SystemRoot\system32\drivers\atapi.sys
\SystemRoot\system32\drivers\ataport.SYS
\SystemRoot\system32\drivers\msahci.sys
\SystemRoot\system32\drivers\PCIIDEX.SYS
\SystemRoot\system32\drivers\amdxata.sys
\SystemRoot\system32\drivers\fltmgr.sys
\SystemRoot\system32\drivers\fileinfo.sys
\SystemRoot\system32\DRIVERS\MpFilter.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\msrpc.sys
\SystemRoot\System32\Drivers\ksecdd.sys
\SystemRoot\System32\Drivers\cng.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\system32\drivers\volsnap.sys
\SystemRoot\System32\Drivers\spldr.sys
\SystemRoot\SysWOW64\speedfan.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\drivers\hwpolicy.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\system32\drivers\disk.sys
\SystemRoot\system32\drivers\CLASSPNP.SYS
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\drivers\VIDEOPRT.SYS
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\system32\drivers\rdpencdd.sys
\SystemRoot\system32\drivers\rdprefmp.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\drivers\ws2ifsl.sys
\SystemRoot\system32\DRIVERS\wfplwf.sys
\SystemRoot\system32\DRIVERS\pacer.sys
\SystemRoot\system32\DRIVERS\vwififlt.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\System32\drivers\truecrypt.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\System32\drivers\discache.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\DRIVERS\blbdrive.sys
\SystemRoot\system32\DRIVERS\tunnel.sys
\SystemRoot\system32\DRIVERS\atikmpag.sys
\SystemRoot\system32\DRIVERS\atikmdag.sys
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\dxgmms1.sys
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\HECIx64.sys
\SystemRoot\system32\DRIVERS\e1c62x64.sys
\SystemRoot\system32\drivers\usbehci.sys
\SystemRoot\system32\drivers\USBPORT.SYS
\SystemRoot\system32\DRIVERS\nusb3xhc.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\DRIVERS\CompositeBus.sys
\SystemRoot\system32\DRIVERS\mcvidrv_x64.sys
\SystemRoot\system32\DRIVERS\STREAM.SYS
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\drivers\ksthunk.sys
\SystemRoot\system32\drivers\mcaudrv_x64.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\DRIVERS\AgileVpn.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\rassstp.sys
\SystemRoot\system32\drivers\SaiBus.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\drivers\WmBEnum.sys
\SystemRoot\system32\drivers\WmXlCore.sys
\SystemRoot\system32\DRIVERS\umbus.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\system32\DRIVERS\nusb3hub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\DRIVERS\SaiMini.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\system32\drivers\AtihdW76.sys
\SystemRoot\system32\drivers\RTKVHD64.sys
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\dump_iaStor.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\system32\DRIVERS\monitor.sys
\SystemRoot\system32\DRIVERS\USBSTOR.SYS
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\System32\TSDDD.dll
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\DRIVERS\Sftvollh.sys
\SystemRoot\system32\DRIVERS\lltdio.sys
\SystemRoot\system32\DRIVERS\nwifi.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\rspndr.sys
\SystemRoot\system32\DRIVERS\TurboB.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb10.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\System32\DRIVERS\srv.sys
\SystemRoot\system32\DRIVERS\NisDrvWFP.sys
\SystemRoot\system32\drivers\peauth.sys
\SystemRoot\System32\Drivers\secdrv.SYS
\SystemRoot\system32\DRIVERS\Sftfslh.sys
\SystemRoot\system32\DRIVERS\Sftplaylh.sys
\SystemRoot\System32\drivers\tcpipreg.sys
\SystemRoot\system32\DRIVERS\Sftredirlh.sys
\SystemRoot\system32\drivers\WudfPf.sys
\SystemRoot\system32\DRIVERS\WUDFRd.sys
\SystemRoot\system32\DRIVERS\psi_mf.sys
\??\C:\Windows\system32\drivers\mbamchameleon.sys
\??\C:\Windows\system32\drivers\mbamswissarmy.sys
\Windows\System32\ntdll.dll
\Windows\System32\smss.exe
\Windows\System32\apisetschema.dll
\Windows\System32\autochk.exe
\Windows\System32\lpk.dll
\Windows\System32\sechost.dll
\Windows\System32\ws2_32.dll
\Windows\System32\difxapi.dll
\Windows\System32\msvcrt.dll
\Windows\System32\advapi32.dll
\Windows\System32\psapi.dll
\Windows\System32\imagehlp.dll
\Windows\System32\clbcatq.dll
\Windows\System32\iertutil.dll
\Windows\System32\imm32.dll
\Windows\System32\comdlg32.dll
\Windows\System32\normaliz.dll
\Windows\System32\shlwapi.dll
\Windows\System32\usp10.dll
\Windows\System32\ole32.dll
\Windows\System32\kernel32.dll
\Windows\System32\user32.dll
\Windows\System32\gdi32.dll
\Windows\System32\urlmon.dll
\Windows\System32\setupapi.dll
\Windows\System32\msctf.dll
\Windows\System32\nsi.dll
\Windows\System32\shell32.dll
\Windows\System32\Wldap32.dll
\Windows\System32\oleaut32.dll
\Windows\System32\wininet.dll
\Windows\System32\rpcrt4.dll
\Windows\System32\crypt32.dll
\Windows\System32\comctl32.dll
\Windows\System32\KernelBase.dll
\Windows\System32\cfgmgr32.dll
\Windows\System32\devobj.dll
\Windows\System32\wintrust.dll
\Windows\System32\msasn1.dll
\Windows\SysWOW64\normaliz.dll
----------- End -----------
<<<1>>>
Upper Device Name: \Device\Harddisk3\DR3
Upper Device Object: 0xfffffa8007a94790
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\00000081\
Lower Device Object: 0xfffffa8007b10b60
Lower Device Driver Name: \Driver\USBSTOR\
Driver name found: USBSTOR
Initialization returned 0x0
Load Function returned 0x0
<<<1>>>
Upper Device Name: \Device\Harddisk2\DR2
Upper Device Object: 0xfffffa80073d9790
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\00000080\
Lower Device Object: 0xfffffa8007b0ab60
Lower Device Driver Name: \Driver\USBSTOR\
Driver name found: USBSTOR
<<<1>>>
Upper Device Name: \Device\Harddisk1\DR1
Upper Device Object: 0xfffffa8007cb1790
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\0000007f\
Lower Device Object: 0xfffffa8007b03b60
Lower Device Driver Name: \Driver\USBSTOR\
Driver name found: USBSTOR
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xfffffa800602e060
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IAAStorageDevice-1\
Lower Device Object: 0xfffffa8004dd1050
Lower Device Driver Name: \Driver\iaStor\
Driver name found: iaStor
Initialization returned 0x0
Load Function returned 0x0
Downloaded database version: v2013.01.30.07
Downloaded database version: v2013.01.23.01
Initializing...
Done!
<<<2>>>
Device number: 0, partition: 2
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xfffffa800602e060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa800602eb90, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa800602e060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa8004dd1050, DeviceName: \Device\Ide\IAAStorageDevice-1\, DriverName: \Driver\iaStor\
------------ End ----------
Upper DeviceData: 0xfffff8a001dfe010, 0xfffffa800602e060, 0xfffffa8008dfd090
Lower DeviceData: 0xfffff8a009f3b1a0, 0xfffffa8004dd1050, 0xfffffa8007ba2cf0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning directory: C:\Windows\system32\drivers...
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 40625CCC

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 2048  Numsec = 204800
    Partition file system is NTFS
    Partition is bootable

    Partition 1 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 206848  Numsec = 3906820096

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

Disk Size: 2000398934016 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-2047-3907009168-3907029168)...
Physical Sector Size: 512
Drive: 1, DevicePointer: 0xfffffa8007cb1790, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa8007b05b90, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa8007cb1790, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa8007b03b60, DeviceName: \Device\0000007f\, DriverName: \Driver\USBSTOR\
------------ End ----------
Upper DeviceData: 0xfffff8a009f5bed0, 0xfffffa8007cb1790, 0xfffffa8008e806d0
Lower DeviceData: 0xfffff8a00a5ae180, 0xfffffa8007b03b60, 0xfffffa8008545bb0
Drive 1
Scanning MBR on drive 1...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 32ECF1CA

Partition information:

    Partition 0 type is Other (0xc)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 63  Numsec = 1953520002

    Partition 1 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

Disk Size: 1000204886016 bytes
Sector size: 512 bytes

Physical Sector Size: 0
Drive: 2, DevicePointer: 0xfffffa80073d9790, DeviceName: \Device\Harddisk2\DR2\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa8007b11b90, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa80073d9790, DeviceName: \Device\Harddisk2\DR2\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa8007b0ab60, DeviceName: \Device\00000080\, DriverName: \Driver\USBSTOR\
------------ End ----------
Physical Sector Size: 0
Drive: 3, DevicePointer: 0xfffffa8007a94790, DeviceName: \Device\Harddisk3\DR3\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa8007b12b90, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa8007a94790, DeviceName: \Device\Harddisk3\DR3\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa8007b10b60, DeviceName: \Device\00000081\, DriverName: \Driver\USBSTOR\
------------ End ----------
Done!
Performing system, memory and registry scan...
Infected: c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\@ --> [Trojan.Siredef.C]
Infected: c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\@ --> [Trojan.Siredef.C]
Infected: c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\U --> [Trojan.Siredef.C]
Infected: c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\U --> [Trojan.Siredef.C]
Infected: c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\L --> [Trojan.Siredef.C]
Infected: c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\L --> [Trojan.Siredef.C]
Infected: c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81 --> [Trojan.Siredef.C]
Infected: c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81 --> [Trojan.Siredef.C]
Done!
Scan finished
Creating System Restore point...
Scheduling clean up...
<<<2>>>
Device number: 0, partition: 2
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Removal successful. No system shutdown is required.
=======================================


---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1017

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x64

Account is Administrative

Internet Explorer version: 9.0.8112.16421

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, G:\ DRIVE_FIXED, Q:\ DRIVE_FIXED
CPU speed: 3.292000 GHz
Memory total: 4271308800, free: 2787221504

Removal queue found; removal started
Removing c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\@...
Removing c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\@...
Removing c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\U...
Removing c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\U...
Removing c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81\L...
Removing c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81\L...
Removing c:\$Recycle.Bin\S-1-5-18\$099ba5beb158271a40886e947cc0ea81...
Removing c:\$Recycle.Bin\S-1-5-21-957327615-4136104846-3581501417-1000\$099ba5beb158271a40886e947cc0ea81...
Removal finished
=======================================

cosinus 31.01.2013 16:12
Du hast ein ZeroAccess im System. Machst du Onlinebanking mit diesem Rechner bzw. hast du das noch vor?

MurphymcManu 31.01.2013 16:15
Ja im Normalfall mache ich das. Mit Chiptan, allerdings habe ich das jetzt nach der Infizierung bewusst vermieden.

Kannst du mir zeroaccess kurz erläutern?

cosinus 31.01.2013 16:16
ZeroAccess ist ein fieses Rootkit. Wenn du weiterhin sicher banken, musst du eine Neuinstallation machen
Bank anrufen und Banking sperren lassen mit Hinweis auf ZeroAccess ist ebenfalls anzuraten.

MurphymcManu 31.01.2013 16:20
Ok alles klar! Danke dir für die äusserst schnelle Hilfe!

Arg und ich wollte eine Neuinstallation vermeiden =)

cosinus 31.01.2013 16:21
Musst du wissen. Man kann eine Bereinigung probieren aber sicher ist das nicht

MurphymcManu 31.01.2013 16:27
Ja gut da häng die Waagschale schon stark bei der Neuinstallation, ausserdem verlasse ich mich als Laie natürlich auf die Aussagen hier im Forum.
Das ist soooo ärgerlich einmal kurz nicht aufgepasst ^^

Ähm wie dringlich ist die Neuinstallation aus deiner Sicht. Wenn ich Onlinebanking bis zum Wochenende meide bzw. sperre reicht das dann am Wochenende?

cosinus 31.01.2013 16:47
Naja, bis zum WE sollte vertretbar sein

MurphymcManu 31.01.2013 16:49
Hab das Banking gerade gesperrt und werd mich dann am Wochenende über die Maschine hermachen.

Danke für die schnelle & unkomplizierte Hilfe ihr macht wirklich super Arbeit!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:51 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129