Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Noch ein eMail der Telekom zum Thema ZeuS/ZBot

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.02.2013, 22:30   #1
pablos013
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hallo,

vorausgeschickt, es geht um den ZeuS/ZBot. Ich habe Donnerstag 14.2. 10 Uhr von dem Telekom Abuse Team aufgrund dem Hinweise von einem spezialisierten IT-Sicherheitsunternehmen eine eMail bekommen, dass an meinem Internetzugang ein Computer betrieben wird, der durch die schädliche Software "ZeuS/ZBot" infiziert worden sein könnte.
Zeitpunkt de Vorfalles: 13.02.2013, 00:13:19 (MEZ)

Zu diesem Zeitpunkt hatte ich allerdings schon von meinem Avira Virenmeldungen bekommen und diese entsprechend befolgt bzw. bereinigt. Aber nun zum chronologischen Zeitablauf:

- Virenmeldung in der Nacht zum Mittwoch 13.2.13: siehe Avira Protokoll 1
- Nochmaliger Scan Mittwoch Abend (nach Arbeit) 13.2.13: siehe Avira Protokoll 2
- Bereinigung Registry und Temp-Files mit CCleaner (mach ich immer so...)
- Nochmaliger Scan Avira Do 14.2.13; beendet ca. 8:00 Uhr ohne Befund
- Mail der Telekom 14.2.13; 10:00 mit obiger Nachricht
- DE-Cleaner und Maleswarebytes gemäss Anweisung Telekom o.Befund (oberflächlich betrachtet) am Abend 14.2.13 laufen lassen: siehe Protokoll MBAM
- Da es mir aber zu heiss wurde habe ich heute recherchiert und bin auf das Trojaner-Board gestoßen.
- Hänge nun OTL und GMER an gemäß Anweisung für Hilfesuchende (Schritt 1 Defogger wurde beachtet)
- Ich wollte, da in anderen Postings immer auch nach TDSS und aswMBR gefragt wurde diese
laufen lassen. TDSS-Killer lief durch und hänge ich an, aber bei Lauf von aswMBR kam gerade eine neue Avira Meldung mit einem Fund von 'TR/Crypt.ZPACK.Gen8' Bericht kann ich - warum auch immer nicht aus Avira abspeichern - dubios!? Habe aswMBR abgebrochen und hänge das Avira Ereignis als letztes an.

Der Rechner hat übrigens 3 User da von verschiedenen Familienmitgliedern genutzt. Auf dem Account meiner Frau wo die ersten 3 Funde waren ist hin uns wieder auch mein Sohn (4. Klasse) verbotener Weise auf Spieleseiten unterwegs.

Nun die Logs:

Avira Protokoll 1:
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 13. Februar 2013  01:08

Es wird nach 4995859 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : VHP-DACHTLER05H

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 21:44:41
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 07:55:06
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 07:55:07
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 07:54:43
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 13:22:30
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:57:29
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 14:03:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:28:07
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:24:08
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 21:04:56
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 13:22:23
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 09:26:14
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 09:26:14
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 09:26:14
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 09:26:14
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 09:26:14
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 09:25:32
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 12:00:51
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 14:18:25
VBASE016.VDF   : 7.11.60.178     2048 Bytes  11.02.2013 14:18:25
VBASE017.VDF   : 7.11.60.179     2048 Bytes  11.02.2013 14:18:25
VBASE018.VDF   : 7.11.60.180     2048 Bytes  11.02.2013 14:18:26
VBASE019.VDF   : 7.11.60.181     2048 Bytes  11.02.2013 14:18:26
VBASE020.VDF   : 7.11.60.182     2048 Bytes  11.02.2013 14:18:26
VBASE021.VDF   : 7.11.60.183     2048 Bytes  11.02.2013 14:18:26
VBASE022.VDF   : 7.11.60.184     2048 Bytes  11.02.2013 14:18:26
VBASE023.VDF   : 7.11.60.185     2048 Bytes  11.02.2013 14:18:26
VBASE024.VDF   : 7.11.60.186     2048 Bytes  11.02.2013 14:18:26
VBASE025.VDF   : 7.11.60.187     2048 Bytes  11.02.2013 14:18:26
VBASE026.VDF   : 7.11.60.188     2048 Bytes  11.02.2013 14:18:26
VBASE027.VDF   : 7.11.60.189     2048 Bytes  11.02.2013 14:18:26
VBASE028.VDF   : 7.11.60.190     2048 Bytes  11.02.2013 14:18:26
VBASE029.VDF   : 7.11.60.191     2048 Bytes  11.02.2013 14:18:26
VBASE030.VDF   : 7.11.60.192     2048 Bytes  11.02.2013 14:18:26
VBASE031.VDF   : 7.11.60.218   111616 Bytes  12.02.2013 14:18:27
Engineversion  : 8.2.10.250
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 17:31:38
AESCRIPT.DLL   : 8.1.4.88      471417 Bytes  08.02.2013 09:26:34
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 12:51:12
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 17:42:40
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 17:40:18
AEPACK.DLL     : 8.3.1.2       819574 Bytes  21.12.2012 08:46:41
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 15:22:18
AEHEUR.DLL     : 8.1.4.198    5751159 Bytes  08.02.2013 09:26:33
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 12:34:26
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 20:03:13
AEEXP.DLL      : 8.3.0.24      188787 Bytes  09.02.2013 09:25:33
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 17:31:38
AECORE.DLL     : 8.1.30.0      201079 Bytes  14.12.2012 12:51:11
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 15:22:15
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 07:55:06
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 21:44:41
AVREP.DLL      : 12.3.0.15     179208 Bytes  09.05.2012 07:54:43
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 21:44:40
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 07:55:06
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 07:55:07
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 12:35:43
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 07:55:07
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 12:35:41
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 21:44:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 13. Februar 2013  01:08

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'AnyDVDtray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'aaCenter.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4231' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Public\Documents\ManiaPlanet\Cache\6BF6C668F19B0AF72D74F8C1B4B5C3C922F3500574682A114882DD967AD763B71ED2F914EF283AECCDDA8F4C3A44BDC5.zip
  [WARNUNG]   Mögliche Archivbombe: die maximale Komprimierungsrate wurde überschritten.
C:\Users\Susanne\AppData\Local\Temp\1093043063.exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.140043.1
C:\Users\Susanne\AppData\Local\Temp\msimg32.dll
  [FUND]      Ist das Trojanische Pferd TR/Kazy.140043.1
C:\Users\Susanne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\5ccf682f-5669a077
  [0] Archivtyp: ZIP
  --> hw.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Treams.JL
  --> m.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dermit.GJ
  --> test.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dermit.GK
  --> test2.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.XH
  --> vcs.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.XM
C:\Users\Susanne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4c98ec7b-725eb0ff
  [FUND]      Ist das Trojanische Pferd TR/Dldr.JPUI.1

Beginne mit der Desinfektion:
C:\Users\Susanne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4c98ec7b-725eb0ff
  [FUND]      Ist das Trojanische Pferd TR/Dldr.JPUI.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55e2e8b3.qua' verschoben!
C:\Users\Susanne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\5ccf682f-5669a077
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.XM
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5fc714.qua' verschoben!
C:\Users\Susanne\AppData\Local\Temp\msimg32.dll
  [FUND]      Ist das Trojanische Pferd TR/Kazy.140043.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1ffa9dec.qua' verschoben!
C:\Users\Susanne\AppData\Local\Temp\1093043063.exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.140043.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '791dd263.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 13. Februar 2013  08:51
Benötigte Zeit:  7:41:05 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  27525 Verzeichnisse wurden überprüft
 594710 Dateien wurden geprüft
      8 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 594702 Dateien ohne Befall
   5121 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise
 776914 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Avira Protokoll 2:
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 13. Februar 2013  21:20

Es wird nach 4995952 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : Paul
Computername   : VHP-DACHTLER05H

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236          Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 21:44:41
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 07:55:06
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 07:55:07
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 07:54:43
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 13:22:30
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:57:29
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 14:03:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:28:07
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:24:08
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 21:04:56
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 13:22:23
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 09:26:14
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 09:26:14
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 09:26:14
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 09:26:14
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 09:26:14
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 09:25:32
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 12:00:51
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 14:18:25
VBASE016.VDF   : 7.11.60.178     2048 Bytes  11.02.2013 14:18:25
VBASE017.VDF   : 7.11.60.179     2048 Bytes  11.02.2013 14:18:25
VBASE018.VDF   : 7.11.60.180     2048 Bytes  11.02.2013 14:18:26
VBASE019.VDF   : 7.11.60.181     2048 Bytes  11.02.2013 14:18:26
VBASE020.VDF   : 7.11.60.182     2048 Bytes  11.02.2013 14:18:26
VBASE021.VDF   : 7.11.60.183     2048 Bytes  11.02.2013 14:18:26
VBASE022.VDF   : 7.11.60.184     2048 Bytes  11.02.2013 14:18:26
VBASE023.VDF   : 7.11.60.185     2048 Bytes  11.02.2013 14:18:26
VBASE024.VDF   : 7.11.60.186     2048 Bytes  11.02.2013 14:18:26
VBASE025.VDF   : 7.11.60.187     2048 Bytes  11.02.2013 14:18:26
VBASE026.VDF   : 7.11.60.188     2048 Bytes  11.02.2013 14:18:26
VBASE027.VDF   : 7.11.60.189     2048 Bytes  11.02.2013 14:18:26
VBASE028.VDF   : 7.11.60.190     2048 Bytes  11.02.2013 14:18:26
VBASE029.VDF   : 7.11.60.191     2048 Bytes  11.02.2013 14:18:26
VBASE030.VDF   : 7.11.60.192     2048 Bytes  11.02.2013 14:18:26
VBASE031.VDF   : 7.11.60.246   197632 Bytes  13.02.2013 14:17:27
Engineversion  : 8.2.10.250
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 17:31:38
AESCRIPT.DLL   : 8.1.4.88      471417 Bytes  08.02.2013 09:26:34
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 12:51:12
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 17:42:40
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 17:40:18
AEPACK.DLL     : 8.3.1.2       819574 Bytes  21.12.2012 08:46:41
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 15:22:18
AEHEUR.DLL     : 8.1.4.198    5751159 Bytes  08.02.2013 09:26:33
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 12:34:26
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 20:03:13
AEEXP.DLL      : 8.3.0.24      188787 Bytes  09.02.2013 09:25:33
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 17:31:38
AECORE.DLL     : 8.1.30.0      201079 Bytes  14.12.2012 12:51:11
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 15:22:15
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 07:55:06
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 21:44:41
AVREP.DLL      : 12.3.0.15     179208 Bytes  09.05.2012 07:54:43
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 21:44:40
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 07:55:06
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 07:55:07
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 12:35:43
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 07:55:07
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 12:35:41
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 21:44:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\Paul\AppData\Local\Temp\a6772691.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 13. Februar 2013  21:20

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users'
C:\Users\Paul\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GSC7WQ6K\defined_regulations-frequently[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/EXP.Pede.A
C:\Users\Public\Documents\ManiaPlanet\Cache\6BF6C668F19B0AF72D74F8C1B4B5C3C922F3500574682A114882DD967AD763B71ED2F914EF283AECCDDA8F4C3A44BDC5.zip
  [WARNUNG]   Mögliche Archivbombe: die maximale Komprimierungsrate wurde überschritten.

Beginne mit der Desinfektion:
C:\Users\Paul\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GSC7WQ6K\defined_regulations-frequently[1].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/EXP.Pede.A
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548056e3.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 13. Februar 2013  21:36
Benötigte Zeit: 14:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   2929 Verzeichnisse wurden überprüft
  50704 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
  50703 Dateien ohne Befall
    349 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         

Malewarebytes nach Telekom Mail:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.14.08

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Paul :: VHP-DACHTLER05H [Administrator]

14.02.2013 19:55:18
mbam-log-2013-02-14 (19-55-18).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 62681
Laufzeit: 6 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

OTL:
siehe Anhang wg. Länge


Extra:
siehe Anhang wg. Länge


GMER:
Code:
ATTFilter
GMER 2.0.18454 - hxxp://www.gmer.net
Rootkit scan 2013-02-15 21:11:34
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 SAMSUNG_HD501LJ rev.CR100-12 465,76GB
Running: gmer_2.0.18454.exe; Driver: C:\Users\Paul\AppData\Local\Temp\kglciuow.sys


---- System - GMER 2.0 ----

SSDT     8CB1CD56                                  ZwCreateSection
SSDT     8CB1CD60                                  ZwRequestWaitReplyPort
SSDT     8CB1CD5B                                  ZwSetContextThread
SSDT     8CB1CD65                                  ZwSetSecurityObject
SSDT     8CB1CD6A                                  ZwSystemDebugControl
SSDT     8CB1CCF7                                  ZwTerminateProcess

---- Kernel code sections - GMER 2.0 ----

.text    ntkrnlpa.exe!KeSetEvent + 215             82ABD8D8 4 Bytes  [56, CD, B1, 8C]
.text    ntkrnlpa.exe!KeSetEvent + 539             82ABDBFC 4 Bytes  [60, CD, B1, 8C]
.text    ntkrnlpa.exe!KeSetEvent + 56D             82ABDC30 4 Bytes  [5B, CD, B1, 8C]
.text    ntkrnlpa.exe!KeSetEvent + 5D1             82ABDC94 4 Bytes  [65, CD, B1, 8C]
.text    ntkrnlpa.exe!KeSetEvent + 619             82ABDCDC 4 Bytes  [6A, CD, B1, 8C] {PUSH -0x33; MOV CL, 0x8c}
.text    ...                                       
.text    C:\Windows\system32\DRIVERS\atikmdag.sys  section is writeable [0x8F810000, 0x3BEEC5, 0xE8000020]
.text    C:\Windows\system32\drivers\SSHDRV85.sys  section is writeable [0x9105D000, 0x24A24, 0xE8000020]
.pklstb  C:\Windows\system32\drivers\SSHDRV85.sys  entry point in ".pklstb" section [0x91090000]
.relo2   C:\Windows\system32\drivers\SSHDRV85.sys  unknown last section [0x910A6000, 0x8E, 0x42000040]
.text    C:\Windows\system32\drivers\ACEDRV05.sys  section is writeable [0x81E0F000, 0x30A4A, 0xE8000020]
.pklstb  C:\Windows\system32\drivers\ACEDRV05.sys  entry point in ".pklstb" section [0x81E51000]
.relo2   C:\Windows\system32\drivers\ACEDRV05.sys  unknown last section [0x81E6C000, 0x8E, 0x42000040]

---- EOF - GMER 2.0 ----
         

TDSS-Killer:
siehe Anhang wg. Länge


Letzte Meldung von Avira beim Lauf von aswMBR, die sich aber nicht als Report abspeichern läßt:
Code:
ATTFilter
Die Datei 'C:\Users\Paul\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\1ac47fa3-5ebb3b11'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen8' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '542d3221.qua' verschoben!
         

Ich hoffe ich habe nichts vergessen. Ich war ja schon guter Hoffung, nachdem scheinbar nichts mehr zu sehen war, aber die letzte Avira Meldung macht micht fertig. Ich hoffe ihr könnt mir helfen, es kann aber sein, dass ich heute abend nicht mehr am Rechner bin wenn noch etwas benötigt wird (wir haben Besuch und Büro mit PC = Gästezimmer).

Vielen Dank im Voraus!

Alt 15.02.2013, 22:40   #2
markusg
/// Malware-holic
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hi
nutzt du diesen PC für onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?
__________________

__________________

Alt 15.02.2013, 22:47   #3
pablos013
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hi,

"nutzt du diesen PC für onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?"

ich nutze den PC für Online Banking aber nicht über den Browser sondern über WISO Mein Geld, und auch zum Einkaufen.

Gruss! pablos013
__________________

Alt 15.02.2013, 22:52   #4
markusg
/// Malware-holic
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



ok,
du hast das Rootkit zero access:
(msimg32.dll)

The ZeroAccess rootkit | Naked Security
(englisch)
Bitte rufe sicherheitshalber die Bank an, notfallnummer:
116 116
lasse es sperren.
Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und der sicherste Weg, zumal du deinen PC
für onlinebanking, verwendest
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.
Ich persönlich würde meinen Rechner neu aufsetzen, aber die Entscheidung liegt bei dir
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 15.02.2013, 23:04   #5
pablos013
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hi,

Passwörter sind über Geschäftslaptop geändert. Ich scheue mich von heute auf morgen den PC neu aufzusetzen. Sag mir bitte was die nächsten schritte sind/wären und ich bearbeite diese morgen früh. Ich schlafe auch nochmal darüber. Macht es einen Unterschied dass die msimg32.dll nicht im Hauptaccount ist worüber das Banking geht?

Danke!


Alt 15.02.2013, 23:22   #6
markusg
/// Malware-holic
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hi
das macht keine n Unterschied.
Wir können dir, wie gesagt nie garantieren, dass wir die gesammte Malware erwischen, heißt, unsere Tools können alle sauber anzeigen, aber es ist dann doch evtl. noch Malware auf dem PC die schlimmsten falls Daten ausspät mit denen Angreifer das Konto plündern könnten.
Deswegen überlegs dir gründlich, und sag mir dann bescheid wie es weiter geht.
__________________
--> Noch ein eMail der Telekom zum Thema ZeuS/ZBot

Alt 15.02.2013, 23:42   #7
pablos013
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hallo, ich habe bitte noch eine Frage heute (bin jetzt auf dem Smartphone). Ich habe eine ca. 12 Monate alte Acronis HD-Image Sicherung. Wäre es sicher wenn ich diese einspiele?

Alt 16.02.2013, 00:18   #8
markusg
/// Malware-holic
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Ja, die sollte passen.
die können wir noch absichern und scannen wenn du willst.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 16.02.2013, 10:47   #9
pablos013
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



OK, ich starte jetzt die Wiederherstellung aus dem Image-file und melde mich danach zur Absicherung, dass diese Kopie auch sauber war. Danke soweit!

Achso, wenn ich jetzt 2-3 Stunden offline bin, Kannst Du mir bitte auch gleich die Tools nennen die ich nach dem Aufsetzen zur Überprüfung verwenden soll?

Sollte ich die Überprüfung dann auch zur Sicherheit für den SAT-PC im Keller (hat eigentlich nur 2 Sat Karten die ins Netz gestreamt werden) und für den
Rechner meiner Tochter (hier gab es eigentlich noch nie Funde, aber ich will jetzt 100% sicher sein) verwenden?

Hi,

ich habe die Image Rücksicherung fertig. Sag mir bitte wie ich nun sinnvoll prüfen kann.
Malewarebytes lief schon durch. Nun noch Avira und Emsisoft.

Grüße, pablos013

Geändert von pablos013 (16.02.2013 um 11:15 Uhr)

Alt 17.02.2013, 17:10   #10
markusg
/// Malware-holic
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



hi
pc absichern.
den deiner Tochter können wir dann prüfen, wenn der durch ist
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://store.computeractive.co.uk/p2...malware_7_1-pc
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie - Download - Filepony

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
anleitung:
RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.02.2013, 21:46   #11
pablos013
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hallo,

ich habe mir heute schon Gedanken gemacht und wollte Avast nutzen, aber ich entscheide mich nun für emsisoft (bei dem attraktiven Angebot!). Übrigends den Windows Defender habe ich komplett abgeschaltet, hoffe das ist i.O. Gibt mir bitte
die Hinweise für die Installtion.

Da ich alternativ zum IE schon den Firefox verwende werde ich bei dem verstärkt bleiben wollen.

Die Sandbox erscheint mir sinnvoll, ich werde die Handhabung mit der kostenlosen Variante testen und dann ggfs. aus die unbeschränkte Variante umsteigen (ich denke da an meinen Sohn).

Die weiteren Hinweise arbeite ich Punkt für Punkt durch. Einige davon habe ich auch immer schon eingehalten. Aber es gibt viel Neues zum Lernen.

Aber eines noch vorweg. Nachdem ich meinen Rechner neu aus der Image sicherung aufgesetzt habe, habe ich ja verschiedene Scans laufen lassen. Dabei hat Emsisoft Emergency Kit und AdwCleaner einen Fund gemeldet (hört sich nicht dramatisch an aber...) außerdem habe ich MBAM, ESET, AVIRA ohne Fund laufen lassen. OTL, GMER, TDSS,aswMBR hätte ich auch noch zu bieten.

AdwCleaner:
Code:
ATTFilter
# AdwCleaner v2.112 - Datei am 17/02/2013 um 10:59:15 erstellt
# Aktualisiert am 10/02/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : Paul - VHP-DACHTLER05H
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Paul\Desktop\adwcleaner0.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Program Files\Common Files\Plasmoo
Ordner Gelöscht : C:\Users\admin\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Paul\AppData\Local\Temp\AskSearch
Ordner Gelöscht : C:\Users\Paul\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\Susanne\AppData\LocalLow\boost_interprocess

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Schlüssel Gelöscht : HKLM\SOFTWARE\Software
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v18.0.2 (de)

Datei : C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\hnj4x734.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1411 octets] - [17/02/2013 10:58:27]
AdwCleaner[S1].txt - [348 octets] - [17/02/2013 10:58:52]
AdwCleaner[S2].txt - [1403 octets] - [17/02/2013 10:59:15]

########## EOF - C:\AdwCleaner[S2].txt - [1463 octets] ##########
         
Code:
ATTFilter
Emsisoft Emergency Kit - Version 3.0
Letztes Update: 17.02.2013 01:14:42

Scan Einstellungen:

Scan Methode: Schnelltest
Objekte: Rootkits, Speicher, Traces

Riskware-Erkennung: Aus
Archiv Scan: Aus
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	17.02.2013 01:18:07

Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> AlertMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> AlertMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> AutoComplete 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> AutoComplete 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> AutoSearch 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> AutoSearch 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> autoUpdateMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> autoUpdateMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> AutoWild 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> AutoWild 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> closeAllWindowsForUpdate 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> closeAllWindowsForUpdate 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> connectionError 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> connectionError 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> contextMenuItemName 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> contextMenuItemName 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> contextSearch 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> contextSearch 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> corruptedMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> corruptedMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> DescriptiveText 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> DescriptiveText 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> ErrorMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> ErrorMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> firstTime 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> firstTime 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> firstURL 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> firstURL 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> KeepHistory 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> KeepHistory 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> lastVersionMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> lastVersionMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> OpenNew 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> OpenNew 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> PopStop 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> PopStop 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> RunSearchAutomatically 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> RunSearchAutomatically 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> RunSearchDragAutomatically 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> RunSearchDragAutomatically 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> serverpath 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> serverpath 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> ShowFindButtons 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> ShowFindButtons 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> ShowHighlightButton 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> ShowHighlightButton 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> TBShow 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> TBShow 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> toolbar_id 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> toolbar_id 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> toolbar_version 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> toolbar_version 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> uninstallMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> uninstallMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> UpdateAutomatically 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> UpdateAutomatically 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> updateMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> updateMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> updateUrl 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> updateUrl 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> urlAfterUninstall 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> urlAfterUninstall 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> urlAfterUpdate 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> urlAfterUpdate 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1002\software\xttb00001\toolbar -> versionError 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> versionError 	gefunden: Trace.Registry.Eqiso Toolbar (A)

Gescannt	311671
Gefunden	66

Scan Ende:	17.02.2013 01:18:59
Scan Zeit:	0:00:52
         
Code:
ATTFilter
Emsisoft Emergency Kit - Version 3.0
Letztes Update: 17.02.2013 01:14:42

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	17.02.2013 01:21:36

Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> AlertMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> AutoComplete 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> AutoSearch 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> autoUpdateMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> AutoWild 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> closeAllWindowsForUpdate 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> connectionError 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> contextMenuItemName 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> contextSearch 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> corruptedMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> DescriptiveText 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> ErrorMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> firstTime 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> firstURL 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> KeepHistory 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> lastVersionMsg 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> OpenNew 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> PopStop 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> RunSearchAutomatically 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> RunSearchDragAutomatically 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> serverpath 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> ShowFindButtons 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> ShowHighlightButton 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> TBShow 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> toolbar_id 	gefunden: Trace.Registry.Eqiso Toolbar (A)
Value: hkey_users\s-1-5-21-2243133511-3929730339-276882927-1003\software\xttb00001\toolbar -> toolbar_version 	gefunden: Trace.Registry.Eqiso Toolbar (A)

Gescannt	478622
Gefunden	26

Scan Ende:	17.02.2013 02:37:05
Scan Zeit:	1:15:29
         
Willst du die anderen (OTL, GMER, TDSS,aswMBR ) noch sehen?

Gruss pablos013

Alt 18.02.2013, 15:06   #12
markusg
/// Malware-holic
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Defender abschalten geht klar :-)
Wenn du mehr als 1 pcs im haus hast, kann ich dir auch nen Link für emsisoft 3platz lizenzen senden, die kosten auch nur 5 € mehr als ne einplatz Lizenz.

emsisoft öffnen, einstellungen klicken.
geplanter scan.
wähle starten um, ich persönlich hab monatlich, kannst aber auch wöchendlich einstellen.
uhrzeit, und bei monatlich ebenfalls datum wählen.
unsichtbar, falls du das scan fenster nicht sehen möchtest.
und verpasste scans nachholen.
auto update:
intervall, täglich, stündlich von 00.00 bis 23.59
heißt jede stunde updates.
einstellung: update
am antimalware network teilnemen.
die andern beiden haken, beta updates und zusätzliche sprachen, nicht setzen.

rest bleibt.
klicke jetzt auf wächter:
dort auf wächter.
verhaltensanalyse aktivieren, alles selektieren.
jetzt auf alarme:
aktiviere dort comunety basierte alarm reduktion.
unter anderem dafür gibt es das antimalware network.
die comunety basierte alarm reduktion betrifft die verhaltensanalyse.
emsisoft gibt, bei einigen programmen, meldungen raus, weil das verhalten des programmes dies notwendig macht.
da manche user sich damit nicht auskennen, was keine schande ist, :-) wird hier geprüft, wie viele nutzer haben programm x erlaubt oder blockiert.
hier haben wir im moment 90 % eingestellt, also wenn 90 % sagen, das programm ist io, wird ne erlauben regel angelegt, wenn sie sagen, programm x ist bösartig, automatisch blockiert.
wenn du dir das allein zutraust, musst du den haken nicht setzen.
wenn zb nur 70 % aller user sagen programm x ist gut oder bösartig, wird dir dies in einer grafik angezeigt
jetzt auf datei wächter.
standard atkion für erkannte objekte, alarmieren.
surf schutz:
hier alles auf blockieren mit info.
wenn es eine seite gibt, die versehens blockiert wird, kanns du die direkt über das popup erlauben was es bei der blockierung gibt, oder über host regeln.
wenn dir diese info popups nicht gefallen musst du alles auf unsichtbar blockieren stellen, aber drann denken, zu prüfen wenn du ne seite hast, die nicht geladen wird, ob emsi sie geblockt hatt.

das währe es, hoffe es war verständlich.


Schon mal Chrome angesehen?
Bietet noch einige Sicherheitsfeatures mehr als der FF und sollte schneller sein.

Bei der unbeschrenkten Sandbox hättest du den Vorteil der erzwungenen Programmstarts, da kann man den Browser starten, von wo man will, er läuft immer in der Sandbox, hier gelten die Lebenslangen lizenzen auf allen PC's im Haus.
die andern logs brauch ich nicht, ich hoffe du hast avira etc auch deinstaliert?
zeigt emsisoft beim scan was an?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.02.2013, 15:55   #13
pablos013
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hi,

nur kurz, bin noch im Büro. Die Lizenz hab ich schon gekauft. Schade!

Emsisoft habe ich schon installiert, wird heute Abend so konfiguriert wie angegeben.
Avira ist abgeschaltet. Emsisoft hat bei initialen Detailscan kein Fund mehr gezeigt.
Die alten Funde kamen noch aus dem Image. Hoffe der PC ist jetzt sauber?

Gruss!

Alt 18.02.2013, 15:57   #14
markusg
/// Malware-holic
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



hi
nicht nur abschalten, deinstalieren.
ist nur Adware, passt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.02.2013, 22:41   #15
pablos013
 
Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Standard

Noch ein eMail der Telekom zum Thema ZeuS/ZBot



Hi,

schick mir bitte doch nochmal den link mit der günstigen 3platz Lizenz. Ich denke wir bekommen Rechnernachwuchs in den kommenden Monaten. Meiner Tochter habe ich heute Avast statt Avira installiert. Mal testen, bei ihr passiert noch nix kritisches (Payment o.ä.).

Avira wurde natürlich deinstalliert und ist damit Geschichte (obwohl seit 2007 treuer Begleiter).

Emsisoft konfiguriert und Chrome schau ich dir zuliebe an!

Die Sandboxie testen meine Tocher und ich. Ich denke wir kommen damit klar und ich kaufe dann die Lifetime Lizenz und packe meinen Sohn damit in die Plastiktüte auf dass er keinen Blödsinn mehr macht obwohl es jeder hätte sein können. Also kein Vorwurf!

So wie es aussieht was es das oder ?

Viele Grüße und Danke; schick mir noch den Link zum Spendenkonto.

Antwort

Themen zu Noch ein eMail der Telekom zum Thema ZeuS/ZBot
.dll, abuse team, acedrv05.sys, administrator, aswmbr, avg, avira, computer, desktop, dubios, email, februar 2013, google, harddisk, home, infiziert, microsoft, modul, programm, prozesse, registry, scan, services.exe, software, svchost.exe, trojaner-board, vista, warnung, warum, windows, winlogon.exe, wmp



Ähnliche Themen: Noch ein eMail der Telekom zum Thema ZeuS/ZBot


  1. Telekom Brief Zeus/Zbot
    Log-Analyse und Auswertung - 26.05.2015 (32)
  2. Email von abuse@telekom bezüglich eventueller zbot/zeus Infektion
    Log-Analyse und Auswertung - 07.06.2014 (21)
  3. Telekom E-Mail 'zeuS' 'Zbot'
    Log-Analyse und Auswertung - 01.02.2014 (3)
  4. Telekom e-mail Zeus/ZBot
    Log-Analyse und Auswertung - 26.11.2013 (7)
  5. Telekom Brief - ZeuS/ZBot Infektion
    Log-Analyse und Auswertung - 26.11.2013 (9)
  6. Sicherheitswarnung Telekom ZeuS/ZBot
    Plagegeister aller Art und deren Bekämpfung - 04.10.2013 (9)
  7. Zeus/ZBot Telekom email
    Plagegeister aller Art und deren Bekämpfung - 12.09.2013 (29)
  8. ZeuS/ZBot Warnung von der Telekom
    Log-Analyse und Auswertung - 30.05.2013 (23)
  9. Telekom Brief Zeus/Zbot
    Plagegeister aller Art und deren Bekämpfung - 14.04.2013 (22)
  10. Telekom Warnung vor ZeuS/ZBot
    Log-Analyse und Auswertung - 05.03.2013 (15)
  11. Telekom Brief, ZeuS/ZBot
    Plagegeister aller Art und deren Bekämpfung - 22.02.2013 (16)
  12. Telekom-Hinweis auf ZeuS/ZBot
    Log-Analyse und Auswertung - 18.02.2013 (7)
  13. Trojaner ZeuS/ZBot Telekom Brief
    Plagegeister aller Art und deren Bekämpfung - 15.12.2012 (20)
  14. Brief von der Telekom, Trojaner, ZeuS/ZBot
    Plagegeister aller Art und deren Bekämpfung - 02.12.2012 (13)
  15. Post von der Telekom (ZeuS/ZBot)
    Plagegeister aller Art und deren Bekämpfung - 26.11.2012 (4)
  16. Trojanerwarnung Zeus/ZBot von Telekom
    Log-Analyse und Auswertung - 28.10.2012 (5)
  17. Telekom beanstandet ZeuS/ZBot
    Plagegeister aller Art und deren Bekämpfung - 03.10.2012 (7)

Zum Thema Noch ein eMail der Telekom zum Thema ZeuS/ZBot - Hallo, vorausgeschickt, es geht um den ZeuS/ZBot. Ich habe Donnerstag 14.2. 10 Uhr von dem Telekom Abuse Team aufgrund dem Hinweise von einem spezialisierten IT-Sicherheitsunternehmen eine eMail bekommen, dass an - Noch ein eMail der Telekom zum Thema ZeuS/ZBot...
Archiv
Du betrachtest: Noch ein eMail der Telekom zum Thema ZeuS/ZBot auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.