| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Noch ein eMail der Telekom zum Thema ZeuS/ZBotWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.02.2013, 22:30
| #1 |
| |  Noch ein eMail der Telekom zum Thema ZeuS/ZBot Hallo, vorausgeschickt, es geht um den ZeuS/ZBot. Ich habe Donnerstag 14.2. 10 Uhr von dem Telekom Abuse Team aufgrund dem Hinweise von einem spezialisierten IT-Sicherheitsunternehmen eine eMail bekommen, dass an meinem Internetzugang ein Computer betrieben wird, der durch die schädliche Software "ZeuS/ZBot" infiziert worden sein könnte. Zeitpunkt de Vorfalles: 13.02.2013, 00:13:19 (MEZ) Zu diesem Zeitpunkt hatte ich allerdings schon von meinem Avira Virenmeldungen bekommen und diese entsprechend befolgt bzw. bereinigt. Aber nun zum chronologischen Zeitablauf: - Virenmeldung in der Nacht zum Mittwoch 13.2.13: siehe Avira Protokoll 1 - Nochmaliger Scan Mittwoch Abend (nach Arbeit) 13.2.13: siehe Avira Protokoll 2 - Bereinigung Registry und Temp-Files mit CCleaner (mach ich immer so...) - Nochmaliger Scan Avira Do 14.2.13; beendet ca. 8:00 Uhr ohne Befund - Mail der Telekom 14.2.13; 10:00 mit obiger Nachricht - DE-Cleaner und Maleswarebytes gemäss Anweisung Telekom o.Befund (oberflächlich betrachtet) am Abend 14.2.13 laufen lassen: siehe Protokoll MBAM - Da es mir aber zu heiss wurde habe ich heute recherchiert und bin auf das Trojaner-Board gestoßen. - Hänge nun OTL und GMER an gemäß Anweisung für Hilfesuchende (Schritt 1 Defogger wurde beachtet) - Ich wollte, da in anderen Postings immer auch nach TDSS und aswMBR gefragt wurde diese laufen lassen. TDSS-Killer lief durch und hänge ich an, aber bei Lauf von aswMBR kam gerade eine neue Avira Meldung mit einem Fund von 'TR/Crypt.ZPACK.Gen8' Bericht kann ich - warum auch immer nicht aus Avira abspeichern - dubios!? Habe aswMBR abgebrochen und hänge das Avira Ereignis als letztes an. Der Rechner hat übrigens 3 User da von verschiedenen Familienmitgliedern genutzt. Auf dem Account meiner Frau wo die ersten 3 Funde waren ist hin uns wieder auch mein Sohn (4. Klasse) verbotener Weise auf Spieleseiten unterwegs. Nun die Logs: Avira Protokoll 1: Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 13. Februar 2013 01:08
Es wird nach 4995859 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : VHP-DACHTLER05H
Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 14.11.2012 21:44:41
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 07:55:06
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 07:55:07
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 07:54:43
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 13:22:30
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:57:29
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:03:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:28:07
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:24:08
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 21:04:56
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 13:22:23
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 09:26:14
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 09:26:14
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 09:26:14
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 09:26:14
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 09:26:14
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 09:25:32
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 12:00:51
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 14:18:25
VBASE016.VDF : 7.11.60.178 2048 Bytes 11.02.2013 14:18:25
VBASE017.VDF : 7.11.60.179 2048 Bytes 11.02.2013 14:18:25
VBASE018.VDF : 7.11.60.180 2048 Bytes 11.02.2013 14:18:26
VBASE019.VDF : 7.11.60.181 2048 Bytes 11.02.2013 14:18:26
VBASE020.VDF : 7.11.60.182 2048 Bytes 11.02.2013 14:18:26
VBASE021.VDF : 7.11.60.183 2048 Bytes 11.02.2013 14:18:26
VBASE022.VDF : 7.11.60.184 2048 Bytes 11.02.2013 14:18:26
VBASE023.VDF : 7.11.60.185 2048 Bytes 11.02.2013 14:18:26
VBASE024.VDF : 7.11.60.186 2048 Bytes 11.02.2013 14:18:26
VBASE025.VDF : 7.11.60.187 2048 Bytes 11.02.2013 14:18:26
VBASE026.VDF : 7.11.60.188 2048 Bytes 11.02.2013 14:18:26
VBASE027.VDF : 7.11.60.189 2048 Bytes 11.02.2013 14:18:26
VBASE028.VDF : 7.11.60.190 2048 Bytes 11.02.2013 14:18:26
VBASE029.VDF : 7.11.60.191 2048 Bytes 11.02.2013 14:18:26
VBASE030.VDF : 7.11.60.192 2048 Bytes 11.02.2013 14:18:26
VBASE031.VDF : 7.11.60.218 111616 Bytes 12.02.2013 14:18:27
Engineversion : 8.2.10.250
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 17:31:38
AESCRIPT.DLL : 8.1.4.88 471417 Bytes 08.02.2013 09:26:34
AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 12:51:12
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:42:40
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 17:40:18
AEPACK.DLL : 8.3.1.2 819574 Bytes 21.12.2012 08:46:41
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 15:22:18
AEHEUR.DLL : 8.1.4.198 5751159 Bytes 08.02.2013 09:26:33
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 12:34:26
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 20:03:13
AEEXP.DLL : 8.3.0.24 188787 Bytes 09.02.2013 09:25:33
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 17:31:38
AECORE.DLL : 8.1.30.0 201079 Bytes 14.12.2012 12:51:11
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:22:15
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 07:55:06
AVPREF.DLL : 12.3.0.32 50720 Bytes 14.11.2012 21:44:41
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 07:54:43
AVARKT.DLL : 12.3.0.33 209696 Bytes 14.11.2012 21:44:40
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 07:55:06
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 07:55:07
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 12:35:43
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 07:55:07
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 12:35:41
RCTEXT.DLL : 12.3.0.32 98848 Bytes 14.11.2012 21:44:40
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Mittwoch, 13. Februar 2013 01:08
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'AnyDVDtray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'aaCenter.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4231' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Users\Public\Documents\ManiaPlanet\Cache\6BF6C668F19B0AF72D74F8C1B4B5C3C922F3500574682A114882DD967AD763B71ED2F914EF283AECCDDA8F4C3A44BDC5.zip
[WARNUNG] Mögliche Archivbombe: die maximale Komprimierungsrate wurde überschritten.
C:\Users\Susanne\AppData\Local\Temp\1093043063.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.140043.1
C:\Users\Susanne\AppData\Local\Temp\msimg32.dll
[FUND] Ist das Trojanische Pferd TR/Kazy.140043.1
C:\Users\Susanne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\5ccf682f-5669a077
[0] Archivtyp: ZIP
--> hw.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Treams.JL
--> m.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dermit.GJ
--> test.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dermit.GK
--> test2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.XH
--> vcs.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.XM
C:\Users\Susanne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4c98ec7b-725eb0ff
[FUND] Ist das Trojanische Pferd TR/Dldr.JPUI.1
Beginne mit der Desinfektion:
C:\Users\Susanne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4c98ec7b-725eb0ff
[FUND] Ist das Trojanische Pferd TR/Dldr.JPUI.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55e2e8b3.qua' verschoben!
C:\Users\Susanne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\5ccf682f-5669a077
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.XM
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5fc714.qua' verschoben!
C:\Users\Susanne\AppData\Local\Temp\msimg32.dll
[FUND] Ist das Trojanische Pferd TR/Kazy.140043.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1ffa9dec.qua' verschoben!
C:\Users\Susanne\AppData\Local\Temp\1093043063.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.140043.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '791dd263.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 13. Februar 2013 08:51
Benötigte Zeit: 7:41:05 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
27525 Verzeichnisse wurden überprüft
594710 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
594702 Dateien ohne Befall
5121 Archive wurden durchsucht
0 Warnungen
4 Hinweise
776914 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Avira Protokoll 2: Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 13. Februar 2013 21:20
Es wird nach 4995952 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : Paul
Computername : VHP-DACHTLER05H
Versionsinformationen:
BUILD.DAT : 12.1.9.1236 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 14.11.2012 21:44:41
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 07:55:06
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 07:55:07
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 07:54:43
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 13:22:30
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:57:29
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:03:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:28:07
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:24:08
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 21:04:56
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 13:22:23
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 09:26:14
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 09:26:14
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 09:26:14
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 09:26:14
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 09:26:14
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 09:25:32
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 12:00:51
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 14:18:25
VBASE016.VDF : 7.11.60.178 2048 Bytes 11.02.2013 14:18:25
VBASE017.VDF : 7.11.60.179 2048 Bytes 11.02.2013 14:18:25
VBASE018.VDF : 7.11.60.180 2048 Bytes 11.02.2013 14:18:26
VBASE019.VDF : 7.11.60.181 2048 Bytes 11.02.2013 14:18:26
VBASE020.VDF : 7.11.60.182 2048 Bytes 11.02.2013 14:18:26
VBASE021.VDF : 7.11.60.183 2048 Bytes 11.02.2013 14:18:26
VBASE022.VDF : 7.11.60.184 2048 Bytes 11.02.2013 14:18:26
VBASE023.VDF : 7.11.60.185 2048 Bytes 11.02.2013 14:18:26
VBASE024.VDF : 7.11.60.186 2048 Bytes 11.02.2013 14:18:26
VBASE025.VDF : 7.11.60.187 2048 Bytes 11.02.2013 14:18:26
VBASE026.VDF : 7.11.60.188 2048 Bytes 11.02.2013 14:18:26
VBASE027.VDF : 7.11.60.189 2048 Bytes 11.02.2013 14:18:26
VBASE028.VDF : 7.11.60.190 2048 Bytes 11.02.2013 14:18:26
VBASE029.VDF : 7.11.60.191 2048 Bytes 11.02.2013 14:18:26
VBASE030.VDF : 7.11.60.192 2048 Bytes 11.02.2013 14:18:26
VBASE031.VDF : 7.11.60.246 197632 Bytes 13.02.2013 14:17:27
Engineversion : 8.2.10.250
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 17:31:38
AESCRIPT.DLL : 8.1.4.88 471417 Bytes 08.02.2013 09:26:34
AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 12:51:12
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:42:40
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 17:40:18
AEPACK.DLL : 8.3.1.2 819574 Bytes 21.12.2012 08:46:41
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 15:22:18
AEHEUR.DLL : 8.1.4.198 5751159 Bytes 08.02.2013 09:26:33
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 12:34:26
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 20:03:13
AEEXP.DLL : 8.3.0.24 188787 Bytes 09.02.2013 09:25:33
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 17:31:38
AECORE.DLL : 8.1.30.0 201079 Bytes 14.12.2012 12:51:11
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:22:15
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 07:55:06
AVPREF.DLL : 12.3.0.32 50720 Bytes 14.11.2012 21:44:41
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 07:54:43
AVARKT.DLL : 12.3.0.33 209696 Bytes 14.11.2012 21:44:40
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 07:55:06
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 07:55:07
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 12:35:43
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 07:55:07
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 12:35:41
RCTEXT.DLL : 12.3.0.32 98848 Bytes 14.11.2012 21:44:40
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\Paul\AppData\Local\Temp\a6772691.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Mittwoch, 13. Februar 2013 21:20
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users'
C:\Users\Paul\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GSC7WQ6K\defined_regulations-frequently[1].htm
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/EXP.Pede.A
C:\Users\Public\Documents\ManiaPlanet\Cache\6BF6C668F19B0AF72D74F8C1B4B5C3C922F3500574682A114882DD967AD763B71ED2F914EF283AECCDDA8F4C3A44BDC5.zip
[WARNUNG] Mögliche Archivbombe: die maximale Komprimierungsrate wurde überschritten.
Beginne mit der Desinfektion:
C:\Users\Paul\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GSC7WQ6K\defined_regulations-frequently[1].htm
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/EXP.Pede.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548056e3.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 13. Februar 2013 21:36
Benötigte Zeit: 14:32 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
2929 Verzeichnisse wurden überprüft
50704 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
50703 Dateien ohne Befall
349 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Malewarebytes nach Telekom Mail: Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.02.14.08 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Paul :: VHP-DACHTLER05H [Administrator] 14.02.2013 19:55:18 mbam-log-2013-02-14 (19-55-18).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 62681 Laufzeit: 6 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) OTL: siehe Anhang wg. Länge Extra: siehe Anhang wg. Länge GMER: Code:
ATTFilter GMER 2.0.18454 - hxxp://www.gmer.net
Rootkit scan 2013-02-15 21:11:34
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 SAMSUNG_HD501LJ rev.CR100-12 465,76GB
Running: gmer_2.0.18454.exe; Driver: C:\Users\Paul\AppData\Local\Temp\kglciuow.sys
---- System - GMER 2.0 ----
SSDT 8CB1CD56 ZwCreateSection
SSDT 8CB1CD60 ZwRequestWaitReplyPort
SSDT 8CB1CD5B ZwSetContextThread
SSDT 8CB1CD65 ZwSetSecurityObject
SSDT 8CB1CD6A ZwSystemDebugControl
SSDT 8CB1CCF7 ZwTerminateProcess
---- Kernel code sections - GMER 2.0 ----
.text ntkrnlpa.exe!KeSetEvent + 215 82ABD8D8 4 Bytes [56, CD, B1, 8C]
.text ntkrnlpa.exe!KeSetEvent + 539 82ABDBFC 4 Bytes [60, CD, B1, 8C]
.text ntkrnlpa.exe!KeSetEvent + 56D 82ABDC30 4 Bytes [5B, CD, B1, 8C]
.text ntkrnlpa.exe!KeSetEvent + 5D1 82ABDC94 4 Bytes [65, CD, B1, 8C]
.text ntkrnlpa.exe!KeSetEvent + 619 82ABDCDC 4 Bytes [6A, CD, B1, 8C] {PUSH -0x33; MOV CL, 0x8c}
.text ...
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8F810000, 0x3BEEC5, 0xE8000020]
.text C:\Windows\system32\drivers\SSHDRV85.sys section is writeable [0x9105D000, 0x24A24, 0xE8000020]
.pklstb C:\Windows\system32\drivers\SSHDRV85.sys entry point in ".pklstb" section [0x91090000]
.relo2 C:\Windows\system32\drivers\SSHDRV85.sys unknown last section [0x910A6000, 0x8E, 0x42000040]
.text C:\Windows\system32\drivers\ACEDRV05.sys section is writeable [0x81E0F000, 0x30A4A, 0xE8000020]
.pklstb C:\Windows\system32\drivers\ACEDRV05.sys entry point in ".pklstb" section [0x81E51000]
.relo2 C:\Windows\system32\drivers\ACEDRV05.sys unknown last section [0x81E6C000, 0x8E, 0x42000040]
---- EOF - GMER 2.0 ----
TDSS-Killer: siehe Anhang wg. Länge Letzte Meldung von Avira beim Lauf von aswMBR, die sich aber nicht als Report abspeichern läßt: Code:
ATTFilter Die Datei 'C:\Users\Paul\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\1ac47fa3-5ebb3b11'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen8' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '542d3221.qua' verschoben!
Ich hoffe ich habe nichts vergessen. Ich war ja schon guter Hoffung, nachdem scheinbar nichts mehr zu sehen war, aber die letzte Avira Meldung macht micht fertig. Ich hoffe ihr könnt mir helfen, es kann aber sein, dass ich heute abend nicht mehr am Rechner bin wenn noch etwas benötigt wird (wir haben Besuch und Büro mit PC = Gästezimmer). Vielen Dank im Voraus! |
| Themen zu Noch ein eMail der Telekom zum Thema ZeuS/ZBot |
| .dll, abuse team, acedrv05.sys, administrator, aswmbr, avg, avira, computer, desktop, dubios, email, februar 2013, google, harddisk, home, infiziert, microsoft, modul, programm, prozesse, registry, scan, services.exe, software, svchost.exe, trojaner-board, vista, warnung, warum, windows, winlogon.exe, wmp |
Baum-Darstellung