Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan-Spy.Win32.Zbot und Konsorten

Trojan-Spy.Win32.Zbot und Konsorten


Plagegeister aller Art und deren Bekämpfung: Trojan-Spy.Win32.Zbot und Konsorten

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.11.2009, 12:36   #1
teechen
 
Trojan-Spy.Win32.Zbot und Konsorten - Standard

Trojan-Spy.Win32.Zbot und Konsorten


Liebes Forum,

mein Großvater hat sich durch zu viel Spielerei an diesem Notebook wohl den Trojaner Trojan-Spy.Win32.Zbot eingefangen.

Nach einiger Recherche habe das Kaspersky-Tool ZBotKiller (h**p://data2.kaspersky-labs.com:8080...tKiller_v2.zip) laufen lassen. Ergebnis:

Infected Files: 3
Infected Threades: 9
Hooked Imports: 983
Killed mutexes: 1
Cured Files: 3
Fixed registry keys: 1

Wie vermutet, reichte das noch nicht aus. Antivir fand

TR/PCK.Katusha.E.1497
TR/ATRAPS.Gen
TR/Banker.Bancos.ieu

Hier der komplette Report von Antivir:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 11. November 2009  11:08

Es wird nach 1883875 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SAMSUNG01

Versionsinformationen:
BUILD.DAT      : 9.0.0.407     17961 Bytes  29.07.2009 10:29:00
AVSCAN.EXE     : 9.0.3.7      466689 Bytes  21.07.2009 13:36:08
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 13:50:58
ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  24.06.2009 13:50:58
ANTIVIR2.VDF   : 7.1.6.160   5413376 Bytes  28.10.2009 13:41:44
ANTIVIR3.VDF   : 7.1.6.217    493568 Bytes  11.11.2009 08:29:40
Engineversion  : 8.2.1.61 
AEVDF.DLL      : 8.1.1.2      106867 Bytes  15.09.2009 15:58:02
AESCRIPT.DLL   : 8.1.2.44     586107 Bytes  06.11.2009 16:32:20
AESCN.DLL      : 8.1.2.5      127346 Bytes  03.09.2009 15:24:42
AERDL.DLL      : 8.1.3.2      479604 Bytes  02.10.2009 22:15:48
AEPACK.DLL     : 8.2.0.3      422261 Bytes  05.11.2009 14:21:24
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  17.06.2009 14:32:46
AEHEUR.DLL     : 8.1.0.180   2093432 Bytes  06.11.2009 16:32:18
AEHELP.DLL     : 8.1.7.0      237940 Bytes  03.09.2009 15:24:42
AEGEN.DLL      : 8.1.1.71     364916 Bytes  05.11.2009 14:21:22
AEEMU.DLL      : 8.1.1.0      393587 Bytes  02.10.2009 22:15:48
AECORE.DLL     : 8.1.8.2      184694 Bytes  05.11.2009 14:21:22
AEBB.DLL       : 8.1.0.3       53618 Bytes  15.10.2008 10:49:34
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 11:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 14:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 11. November 2009  11:08

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\lowsec
    [INFO]      Das Verzeichnis ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b718e16.qua erstellt ( QUARANTÄNE )
Es wurden '59341' Objekte überprüft, '1' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'japsetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchfilterhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchprotocolhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZBotKiller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SRS_PostInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SNMWLANService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Quickcam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Communications_Helper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '60' Prozesse mit '60' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '67' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FNS9G91\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0OYAGA0U\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1CQHZ8AM\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5PISUB4Y\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5PISUB4Y\swflash[2].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\79TQUCO5\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HWV7EE36\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HWV7EE36\swflash[2].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HWV7EE36\swflash[3].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HWV7EE36\swflash[4].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LZY0DCR3\fkina[2].exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.E.1497
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc772.rar
  [0] Archivtyp: RAR
    --> 104-amy_winehouse-just_friends-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc773.rar
  [0] Archivtyp: RAR
    --> 107-amy_winehouse-tears_dry_on_their_own-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc774.rar
  [0] Archivtyp: RAR
    --> 110-amy_winehouse-he_can_only_hold_her-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc775.rar
  [0] Archivtyp: RAR
    --> 202-amy_winehouse-cupid_(deluxe_edition_version)-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc776.rar
  [0] Archivtyp: RAR
    --> 203-amy_winehouse-monkey_man-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc777.rar
  [0] Archivtyp: RAR
    --> 206-amy_winehouse-youre_wondering_now-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc778.rar
  [0] Archivtyp: RAR
    --> 208-amy_winehouse-love_is_a_losing_game_(original_demo)-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{BCB67055-CF5F-41E6-A62D-60FE53B0B46A}\RP136\A0034699.exe
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\WINDOWS\Temp\873.tmp
    [FUND]      Ist das Trojanische Pferd TR/Banker.Bancos.ieu
Beginne mit der Suche in 'D:\' <Daten>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LZY0DCR3\fkina[2].exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.E.1497
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b639b5d.qua' verschoben!
C:\System Volume Information\_restore{BCB67055-CF5F-41E6-A62D-60FE53B0B46A}\RP136\A0034699.exe
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2a9b22.qua' verschoben!
C:\WINDOWS\Temp\873.tmp
    [FUND]      Ist das Trojanische Pferd TR/Banker.Bancos.ieu
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d9b29.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 11. November 2009  12:07
Benötigte Zeit: 55:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   7924 Verzeichnisse wurden überprüft
 348784 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 348780 Dateien ohne Befall
   3928 Archive wurden durchsucht
     35 Warnungen
      5 Hinweise
  59341 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden

Antivir hat die drei Bösewichte in Quarantäne verschoben. Ich bin mir aber noch unsicher, ob das System jetzt wirklich sauber ist.

Werde nun noch Malwarebytes, CCCleaner und ihre Freunde laufen lassen. Falls jemand mir aber verbindlich sagen könnte, ob das System noch infiziert ist und wie ich den Schaden ggf. beheben könnte, wäre das grandios.



teechen

Alt 11.11.2009, 12:37   #2
teechen
 
Trojan-Spy.Win32.Zbot und Konsorten - Standard

Trojan-Spy.Win32.Zbot und Konsorten


Nachtrag: Mit HijackThis konnte ich keine schädlichen Dateien erkennen.


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:37:35, on 11.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avwsc.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Java\jre6\bin\javaws.exe
C:\Programme\Java\jre6\bin\javaw.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnui.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: 55963676-2F5E-4BAF-AC28-CF26AA587566 - vpnweb.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://sbsserver/connectcomputer/nshelp.dll
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://dd-standard.dyndns.org/Remote/msrdp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFC17866-9C13-43F1-86BD-2D40D81D8EFB}: Domain = vpn.uni-hamburg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFC17866-9C13-43F1-86BD-2D40D81D8EFB}: NameServer = 134.100.33.240,134.100.9.61
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.uni-hamburg.de,wlan.uni-hamburg.de,uni-hamburg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.uni-hamburg.de,wlan.uni-hamburg.de,uni-hamburg.de
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

--
End of file - 10942 bytes
__________________
Antwort

Themen zu Trojan-Spy.Win32.Zbot und Konsorten
.dll, 0 bytes, 1.exe, antivir, avgnt.exe, content.ie5, desktop, einstellungen, firefox.exe, helper.exe, hijack, infiziert, internet, logon.exe, lsass.exe, malwarebytes, microsoft, modul, namen, nmindexstoresvr.exe, notebook, notepad.exe, nt.dll, programme, prozesse, registry, rundll, sched.exe, services.exe, skype.exe, suchlauf, svchost.exe, system volume information, trojan-spy.win32.zbot, trojaner, versteckte objekte, verweise, virus gefunden, warnung, windows, windows\temp, winlogon.exe, wuauclt.exe


« TR/Spy.8192.92 [trojan] von Antivir gefunden | TR/Dropper.Gen und A000++++.exe Dateien »


Ähnliche Themen: Trojan-Spy.Win32.Zbot und Konsorten


  1. Trojan-Ransom.Win32.Blocker.cbsn & Trojan-Spy.Win.32.Zbot.nsur eingefangen -.-
    Plagegeister aller Art und deren Bekämpfung - 12.04.2014 (23)
  2. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  3. Laptop Windows 7: trojan-spy.win32.zbot.qehs (<-name laut kaspersky)
    Log-Analyse und Auswertung - 10.12.2013 (10)
  4. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  5. Windows7 Eset Scanner meldet Infizierung Operating memory win32/spy.zbot.aao trojan
    Log-Analyse und Auswertung - 23.10.2013 (7)
  6. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  7. Befall von Trojan-Spy.Win32.Zbot.mzqa laut Disinfec't 2013
    Log-Analyse und Auswertung - 13.07.2013 (11)
  8. Trojan Downloader: Win 32/Dofoil/U und PWS.Win32/Zbot.gen!Y auf PC gefunden
    Log-Analyse und Auswertung - 02.06.2013 (1)
  9. lt.: Virus Total: Trojan-Spy.Win32.ZBot
    Plagegeister aller Art und deren Bekämpfung - 28.02.2013 (15)
  10. PWS:Win32/Zbot malware : Trojan.Phex.TGen (File) und Trojan.Agent.IET (Registry Value und File)
    Log-Analyse und Auswertung - 16.01.2013 (15)
  11. Trojan-Spy.Win32.Zbot.eois und weitere
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (15)
  12. win32:zbot-ncp und trojan fakeav
    Log-Analyse und Auswertung - 15.05.2011 (12)
  13. Ableger von Trojan-Spy.Win32.Zbot gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.09.2010 (2)
  14. Trojan-Spy.Win32.Zbot.ammj / xaozit.exe
    Plagegeister aller Art und deren Bekämpfung - 23.08.2010 (5)
  15. Trojaner Trojan-Spy.Win32.Zbot.gen in C:\windows\system32\sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 19.03.2010 (4)
  16. Trojan-Spy.Win32.Zbot
    Log-Analyse und Auswertung - 24.01.2010 (1)
  17. Trojan-spy.Win32.Zbot.edu
    Plagegeister aller Art und deren Bekämpfung - 13.01.2009 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan-Spy.Win32.Zbot und Konsorten - Liebes Forum, mein Großvater hat sich durch zu viel Spielerei an diesem Notebook wohl den Trojaner Trojan-Spy.Win32.Zbot eingefangen. Nach einiger Recherche habe das Kaspersky-Tool ZBotKiller (h**p://data2.kaspersky-labs.com:8080...tKiller_v2.zip) laufen lassen. Ergebnis: Infected - Trojan-Spy.Win32.Zbot und Konsorten...
Archiv
Du betrachtest: Trojan-Spy.Win32.Zbot und Konsorten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129