Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.06.2011, 20:35   #1
jhFriese
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



Hallo,

es geht um einen PC mit Windows XP Home SP3.

Seit ca. 3 Wochen befindet sich ein Trojaner im Systemverzeichnis c:\windows\system32, der
öfter mal seinen Dateinamen und die Trojanerbezeichnung wechselt.
(siehe Antivir-Scan AVSCAN-20110619-162845-A95F91B7.LOG im Anhang)

Die aktuelle Dateiname ist memmvsetup.exe (Trojaner TR/Spy.ZBot.bque).
Der vorherige Dateiname war memymem.exe (Trojaner TR/Kazy.25272).

Diese Dateien ließen sich nicht reparieren (umbenennen, löschen, in Quarantäne verschieben), da Windows sich dann nicht mehr starten läßt.

Als Vorsichtsmaßnahme hatte ich diese Dateien mit einer Rettungs-CD gesichert (mit Windows
ließen sich die Dateien nicht kopieren oder umbenennen), so dass sich Windows wiederherstellen ließ.
Ich habe den PC sofort vom Netz genommen.
Alle Anwenderdaten sind gesichert.
Ich habe dieses Problem schon im Avira-Support-Forrum vorgestellt und dort als Lösung vorgeschlagen bekommen, alles neu zu installieren. Diese Lösung möchte ich unbedingt vermeiden, da auf dem PC eine SW_Konfiguration ist, die sich nur schwer wiederherstellen läßt. Da dieses Thema im Avira Support Forum aus meiner Sicht beendet ist, hoffe ich, dass dieser Beitrag nicht unter Crosspostng fällt und ihr mir eventuell weiterhelfen könnt.

Ich habe die von Euch angegebenen Scanner Defogger, OTL und GMER angewendet und die Protokolle im Dateianhang mitgeschickt.
Bin mir allerdings nicht sicher, ob das Programm defogger korrekt gelaufen ist.

Ich bedanke mich schon mal im voraus für Eure Bemühungen und bin gespannt darauf, was ihr vorschlagt.

jhFriese

Alt 21.06.2011, 09:48   #2
markusg
/// Malware-holic
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



hi
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________

__________________

Alt 21.06.2011, 17:41   #3
jhFriese
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



Hallo markusg,

danke für Deine Antwort.
Nach Lesen der Anleitung zu Combofix habe ich versucht, die Wiederherstellungskonsole manuell zu installieren.
Das war allerdings erfolglos, da nach Eingabe des Befels

d:\i386\winnt32.exe /cmdcons

sofort die Meldung kommt:

Die aktuelle XP-Version auf dem Rechner (SP3) ist aktueller
als die auf CD (SP1A).


Danach lässt sich die Installation nur abbrechen.
Allerdings läßt sich die Wiederherstellungskonsole aufrufen, wenn ich
direkt von der Installationscd boote.
Reicht das als Sicherheitsmaßnahme aus, wenn ich combofix starte und
den Punkt "Wiederherstellungskonsole installieren" überspringe ?

Schon mal danke im voraus für eine Antwort

jhFriese
__________________

Alt 21.06.2011, 17:46   #4
markusg
/// Malware-holic
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



ja führe combofix einfach so aus. und poste das log
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.06.2011, 19:32   #5
jhFriese
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



Hallo, markusg,

als Dateianlage sende ich das Logfile von Combofix.

Noch zur Information:
Den infizierten PC bearbeite ich Offline, da jeder Kontakt zum Netz anscheinend neue Viren auf dem PC erzeugt. Wegen des Versuchs, die
Wiederherstellungskonsole zu installieren, war ich kurz am Netz, was anscheinend dazu geführt hat, dass in c:\windows\system32 an Stelle der Datei memmvsetup.exe nun ein neues Schadprogramm logonphlp.exe
vorhanden ist, das noch gar nicht als Trojaner von Antivir erkannt wird.
(ich habe nur gescannt, aber nichts repariert).

Danke schon mal im voraus !

jhFriese


Alt 21.06.2011, 20:17   #6
markusg
/// Malware-holic
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



dieses system muss formatiert werden.
bitte bringe es online, ich möchte mir was ansehen.
gehe auf arbeitsplatz, c: dort qoobox, rechtsklick und mit winrar oder zip packen, datei hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?
__________________
--> Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe

Alt 21.06.2011, 21:55   #7
jhFriese
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



Das ist der Pc meiner Tochter. Sie schreibt darauf ihre Examensarbeit.
(Winword und Excel).
Ansonsten mail, Internet surfen, mal nen Flug buchen und neuerdings auch
Onlinebanking. Seit infiziert, wird der Pc nur noch Offline genutzt bzw.
im Moment von mir untersucht.
Muss ich die Zip-Datei vom infizierten Computer schicken oder kann ich die
Datei Qoobox.zip (indem ich sie umbenenne, z.B. in Qoobox.xxx) auch von
einem anderen PC uploaden ?

jhFriese

Alt 22.06.2011, 10:11   #8
markusg
/// Malware-holic
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



ok danke für den upload.
die bank muss umgehend!!! angerufen werden, hier ist ein banking trojaner ders auf logins abgesehen hatt.
endert von nem sauberen pc, falls vorhanden, alle passwörter.
dieses gerät muss, wie gesagt, formatiert werden.
datensicherung vorbereitung:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
deaktiviere autorun, dann sichere bilder, dokumente etc.
formatieren, falls hilfe benötigt wird, melded euch.
pc absichern, hier kann, und muss man, in der heutigen zeit mehr tun, als ein antivirus drauf zu hauen und zu hoffen, das geht bei der stetig steigenden zahl von ausgeklügelter malware, schief, deswegen zeige ich euch, wie man das system mit einfachen mitteln wirksam schützt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.06.2011, 18:35   #9
jhFriese
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



Hallo markusg,

das hatte ich schon befürchtet, dass eine Neuinstallation nötig ist.

Das Problem, das besteht, ist, das wir eine Software für
Literaturrecherche von einer Hochschule installiert haben, die, falls wir den
Rechner plattmachen, neu beantragt und installiert werden muss und das kann nach
unseren Erfahrungen mit der vorherigen Installation Monate dauern.Das ist der
Grund, weshalb ich den Rechner nicht plattmachen möchte. Die Recherchen sind
zwar zum größten Teil abgeschlossen, aber eben nicht zu 100%.
Der Rechner geht definitiv nicht mehr ans Netz, es sei denn, das noch eine
Recherche notwendig ist.

Ich werde einen neuen Rechner fürs Internet besorgen und möchte gern auf Dein Angebot zurückkommen, diesen Rechner mit Eurer Hilfe von vornherein optimal gegen Schadenssoftware abzusichern.

Vielen Dank im voraus

jhFriese

Alt 22.06.2011, 18:48   #10
markusg
/// Malware-holic
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



kann man die lizenz nicht sichern? bzw könnt ihr den pc dann nach dem die arbeit getan ist neu machen?
das angebot steht natürlich auch für pc2
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.06.2011, 19:43   #11
jhFriese
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



sobald die Arbeit abgeschlossen ist, wird der infizierte PC natürlich neu installiert und wird mir dann als Test-Pc dienen.
Auch da würde ich gern auf eure Hilfe für optimale Sicherheit zrückkommen.
Wie nehme ich zu Euck Kontakt auf: über ein neues Thema oder Weiterführung von diesem Thema ?

Danke

jhFriese

Alt 22.06.2011, 19:47   #12
markusg
/// Malware-holic
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



hier in diesem thema, falls ichs nicht sehe, private nachicht.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.06.2011, 20:00   #13
jhFriese
 
Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Standard

Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe



OK! Vielen Dank

Antwort

Themen zu Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe
beendet, c:\windows, datei, dateianhang, dateien, forum, gmer, home, konfiguration, kopieren, löschen, lösung, neu, nicht mehr, nicht sicher, problem, programm, quarantäne, reparieren, starten, system, system32, tr/spy.zbot.bque, trojaner, unbedingt, windows, windows xp, xp home



Ähnliche Themen: Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe


  1. Windows 7: Avira meldet diverse Trojaner TR/Spy.Zbot.***
    Log-Analyse und Auswertung - 04.01.2015 (18)
  2. Windows 8 Trojaner Zbot.gen gefunden in C:\Users\*****\Appdata\Roaming\Cuyfzy\piutfas.exe
    Log-Analyse und Auswertung - 22.08.2014 (6)
  3. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  4. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  5. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  6. C:\WINDOWS\System32\winlogon.exe Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 22.01.2011 (3)
  7. C:\Windows\system32\sshnas21.dll -- Trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (32)
  8. C:\WINDOWS\system32\sdra64.exe mit TR/Spy.ZBot.ahgi infiziert
    Log-Analyse und Auswertung - 19.04.2010 (12)
  9. Trojaner C:\Windows\System32\kbdqulo.dll
    Mülltonne - 29.03.2010 (3)
  10. Trojaner Trojan-Spy.Win32.Zbot.gen in C:\windows\system32\sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 19.03.2010 (4)
  11. Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc
    Log-Analyse und Auswertung - 02.03.2010 (6)
  12. Trojaner 'TR/Silentbanker.J' in WINDOWS/system32
    Log-Analyse und Auswertung - 19.12.2009 (20)
  13. Trojaner in C:\Windows\System32\tdlcmd.dll
    Mülltonne - 17.12.2009 (2)
  14. C:\Windows\system32\twext.exe TR/Spy.ZBot.dp.6 Trojan gefunden
    Log-Analyse und Auswertung - 29.09.2009 (2)
  15. Trojaner in C:\WINDOWS\system32\MSIVXcount
    Plagegeister aller Art und deren Bekämpfung - 15.08.2009 (1)
  16. 3 tw. unbekannte Trojaner TR/Spy.ZBot.hkp.2, TR/Dropper.Gen und TR/Spy.ZBot.hss
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  17. Trojaner C:\WINDOWS\System32\vbsys2.dll
    Plagegeister aller Art und deren Bekämpfung - 20.10.2005 (10)

Zum Thema Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe - Hallo, es geht um einen PC mit Windows XP Home SP3. Seit ca. 3 Wochen befindet sich ein Trojaner im Systemverzeichnis c:\windows\system32, der öfter mal seinen Dateinamen und die Trojanerbezeichnung - Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe...
Archiv
Du betrachtest: Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.