Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32/Zbot.gen!Y

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.06.2011, 11:17   #1
DaLendil
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



Hallo,

erstmal freue ich mich dieses Forum gefunden zu haben und hoffe hier die Hilfe zu bekommen, die ich leider bitter nötig habe.
Gestern während des Online-Bankings fielen mir ungewöhnliche "Sicherheitsabfragen" mit TAN-Eingabe auf. Meine Bank bestätigte mir, dass dies ein Trojaner sei und reagierte entsprechend.
Nun habe ich Avira Premium und den Windows Defender durchlaufen lassen, beide blieben aber ohne Ergebnis.
Erst Windows Malicious erkannte dann den Eindringling, konnte ihn aber selbst nicht entfernen: PWS:Win32/Zbot.gen!Y
Von dieser Seite her erfuhr ich auch, dass dieser Trojaner als schwerwiegend eingeschätzt wird.
Da mich das Neuaufsetzen des PC mehrere Tage kosten würde, würde ich gerne erstmal versuchen ihn zu säubern und erbitte eure Hilfe.


Viele Grüße und vielen Dank im voraus,
DaLendil

Alt 22.06.2011, 11:24   #2
markusg
/// Malware-holic
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



hi
1. bank anrufen, onlinebanking sperren.
2. naja, wenn man keine backups macht, muss man sich nicht wundern, damit wäre die sache in 10 minuten erledigt.
ich sehe jetzt schon das das system neu aufgesetzt gehört, wir werden es soweit machen das wir sicher daten sichern können, dann wird das system formatiert, also neu instaliert, und ich zeig dir wie mans dann richtig schützt
3. otl

achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.


:OTL
O4 - HKCU..\Run: [{CB16A380-7565-5E4C-C07B-FE10C805D740}] C:\Users\*\AppData\Roaming\Igyhvo\peges.exe ()
:Files
C:\Users\*\AppData\Roaming\Igyhvo
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html
__________________

__________________

Alt 22.06.2011, 11:51   #3
DaLendil
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



Danke für deine Hilfe.
Hier ist der Log:

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{CB16A380-7565-5E4C-C07B-FE10C805D740} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB16A380-7565-5E4C-C07B-FE10C805D740}\ not found.
File C:\Users\*\AppData\Roaming\Igyhvo\peges.exe not found.
========== FILES ==========
File\Folder C:\Users\*\AppData\Roaming\Igyhvo not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Bastian
->Flash cache emptied: 48821 bytes
 
User: Default
->Flash cache emptied: 41620 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
         
ZIP ist hochgeladen.
__________________

Alt 22.06.2011, 12:09   #4
markusg
/// Malware-holic
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



na wenn du im log deinen benutzernamen löschst ist es doch logisch das du in meinem script den benutzernamen wieder hinzufügen musst damits klappt... führs noch mal aus und lads dann hoch bitte, das gepackte moved files in den upload channel.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.06.2011, 13:11   #5
DaLendil
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



Sorry, das habe ich nicht gesehen.
OTL hat sich beim ersten Versuch direkt nach dem Klick auf FIX aufgehängt, nach einer Stunde ohne Weiterkommen habe ich den Rechner neugestartet und es nochmal versucht. Hier die beiden Logs, ZIP ist erneut hochgeladen.


Code:
ATTFilter
Files\Folders moved on Reboot...
C:\Users\X\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
         
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{CB16A380-7565-5E4C-C07B-FE10C805D740} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB16A380-7565-5E4C-C07B-FE10C805D740}\ not found.
File C:\Users\*\AppData\Roaming\Igyhvo\peges.exe not found.
========== FILES ==========
File\Folder C:\Users\X\AppData\Roaming\Igyhvo not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Bastian
->Flash cache emptied: 0 bytes
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
         


Alt 22.06.2011, 13:14   #6
markusg
/// Malware-holic
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



man dankt.
also, bei diesem befall würd ich in den sauren apfel beißen, daten sichern und neu machen.

ich erkläre dir, wie man formatiert, falls dies nötig ist.
und wie man das system richtig absichert, heißt auch mit automatischer datensicherung etc, damits beim nächsten mal nur 5 minuten dauert um das system sauber mit allen daten zurück zu setzen.

das ist zwar erst mal viel arbeit, lohnt sich aber.
__________________
--> Win32/Zbot.gen!Y

Alt 22.06.2011, 13:33   #7
DaLendil
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



Gut, dann werde ich dies tun. Für jede Art der Hilfe um es das nächste Mal zu verhindern, bzw. schmerzfreier zu gestalten wäre ich sehr dankbar.
Kannst du mir etwas über die Art des Befalls erzählen? Ich bin zwar nicht völlig unbedarft, aber nah dran.

PS: Kann ich Datenträger risikofrei anschließen oder könnte sich der Trojaner auch darauf einnisten?

Geändert von DaLendil (22.06.2011 um 14:05 Uhr)

Alt 22.06.2011, 14:57   #8
markusg
/// Malware-holic
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



hi, datenträger kannst du anschließen.
dieser trojaner nennt sich zbot, oder wahlweise auch zeus.
er hat es, wie dir ja selbst aufgefallen ist, auf bank daten und sonstiges abgesehen, womit sich geld machen lässt.
deaktiviere autorun:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
sichere daten.
normalerweise sollte es auch so gehen, aber sicher ist sicher.
die tipps gibts, wenn du die daten gesichert hast.
weist du, wie man formatiert oder soll das in die anleitung?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.06.2011, 15:09   #9
DaLendil
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



Wenn ich Win7 neu aufspiele sollte mir die Wahlmöglichkeit Formatieren geboten werden, ich denke das ist nicht das Problem.
Daten sind in in ein paar Minuten gesichert, kopiert nur noch.

Alt 22.06.2011, 15:12   #10
markusg
/// Malware-holic
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



ja, benutzerdefiniert auswählen, dann bis zu dem screen wo du die partitionen bzw festplatten siehst, dort unter erweiterte optionen auf formatieren, dann auf windows instalieren, falls daten nach windows.old verschoben werden sollen ist was falsch gelaufen.
wenn du treiber cds hast, bzw support cds vom hersteller die danach instalieren.
dann öffnest du start, suchen
tippe:
windows update
enter
dann klicke auf optionale updates, instaliere so lange, bis es nichts neues mehr gibt.
der pc wird neustarten, dann musst du die seite erneut aufrufen.
das selbe mit den optionalen updates.
dann kommt diese anleitung, sie ist lang, lies und arbeite langsam, dafür richtig.
wenn du die funktionsweise eines programmes, einer funktion nicht verstehst, lasse sie nicht weg, sondern frage, dafür sind wir hier.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter windows xp / und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.06.2011, 15:22   #11
DaLendil
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



Ich danke dir und werde mich durcharbeiten.
Eine Frage noch vorher:
Ich habe eine Avira Premium Lizenz, zum Zeitpunkt des Befalls war aber nur die Freeware installiert. Die Premium-Version habe ich erst nach dem Befall installiert, weswegen es wahrscheinlich nicht verwunderlich ist, dass sie nichts gefunden hat.
Kann ich Avira Premium weiter verwenden, oder ist Avast Free trotzdem ratsamer?

Alt 22.06.2011, 15:24   #12
markusg
/// Malware-holic
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



naja wenn du schon ne lizenz hast wäre es ja blöd jetzt was anderes zu instalieren.
obwohl ich im moment avast beforzuge.
avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.

die anleitung ist zwar für die free, passt aber größtenteils für die premium.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.06.2011, 20:53   #13
DaLendil
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



So, ich denke ich bin soweit durch. Einzig bei Panda habe ich noch Schwierigkeiten, da ich nicht finde wo es zu konfigurieren ist, und Back-ups sind noch nicht gemacht, weil meine Platte noch nicht leer ist, bzw ich nur eine habe.

Somit hoffe ich, dass der PC jetzt wieder Virefrei ist und es auch auf absehbare Zeit bleibt.
Danke dir!

Alt 22.06.2011, 20:54   #14
markusg
/// Malware-holic
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



du meinst panda vaccine?
hast du ein symbol neben der uhr, da drauf klicken und über die programm oberfläche konfigurieren.
ansonsten kommst du mit allen programmen klar, sandboxie
secunia
filehippo?
einstellungen gemacht, also eingeschrenktes nutzerkonto für die tägliche arbeit etc?
updates konfiguriert?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.06.2011, 10:13   #15
DaLendil
 
Win32/Zbot.gen!Y - Standard

Win32/Zbot.gen!Y



Alle Programme aufgespielt und konfiguriert, Konten sind getrennt.

Bei Panda Vaccine find ich in der Programm-Oberfläche keinen Punkt zum konfigurieren, auch ein Rechtsklick auf das Symbol neben der Uhr bietet mir nur nur Show und Exit als Möglichkeiten.
Bin ich mit Blindheit geschlagen?
Miniaturansicht angehängter Grafiken
Win32/Zbot.gen!Y-vaccine.jpg  

Antwort

Themen zu Win32/Zbot.gen!Y
avira, defender, eindringling, entferne, entfernen, erbitte, forum, freue, gefunde, hoffe, konnte, kosten, malicious, neuaufsetzen, nötig, premium, seite, säubern, troja, trojaner, versuche, win, win32/zbot.gen!y, windows, würde



Ähnliche Themen: Win32/Zbot.gen!Y


  1. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  2. PWS:WIN32/Zbot.gen!AM
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (15)
  3. PWS:WIN32/Zbot.gen!AM
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (10)
  4. Win32.ZBot (und...?)
    Log-Analyse und Auswertung - 31.05.2013 (15)
  5. PWS:Win32/Zbot.gen!AJ die x.
    Plagegeister aller Art und deren Bekämpfung - 01.05.2013 (25)
  6. PWS:WIn32/ZBOT.gen!AJ von MSE erkannt
    Log-Analyse und Auswertung - 19.04.2013 (8)
  7. PWS:Win32/Zbot.gen!AJ
    Plagegeister aller Art und deren Bekämpfung - 30.03.2013 (9)
  8. PWS:win32/zbot
    Plagegeister aller Art und deren Bekämpfung - 13.03.2013 (25)
  9. PWS:Win32/Zbot
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (24)
  10. PWS:Win32/Zbot.gen!Y
    Log-Analyse und Auswertung - 12.01.2012 (9)
  11. MSPAPING.DLL + win32/zbot.gen!Y + Win32/Skintrim.c
    Plagegeister aller Art und deren Bekämpfung - 16.11.2010 (23)
  12. Probleme mit Scareware (Win32/Cryptor) und Trojanern (Win32/ZBot)
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (3)
  13. Win32\Zbot.A
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (9)
  14. Trojan-Spy.Win32.Zbot
    Log-Analyse und Auswertung - 24.01.2010 (1)
  15. Win32.Zbot
    Log-Analyse und Auswertung - 28.12.2009 (3)
  16. Win32.ZBOT
    Plagegeister aller Art und deren Bekämpfung - 19.12.2009 (12)
  17. Probleme mit Trojaner WIN32.delf -MGZ & Win32.zbot -MKK
    Plagegeister aller Art und deren Bekämpfung - 03.12.2009 (5)

Zum Thema Win32/Zbot.gen!Y - Hallo, erstmal freue ich mich dieses Forum gefunden zu haben und hoffe hier die Hilfe zu bekommen, die ich leider bitter nötig habe. Gestern während des Online-Bankings fielen mir ungewöhnliche - Win32/Zbot.gen!Y...
Archiv
Du betrachtest: Win32/Zbot.gen!Y auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.