Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: [Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.02.2013, 10:39   #1
kellekellner
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Hallo ich suche hilfe!
Ich habe auf einen Rechner diesen Trojaner entdeckt Troj/Zbot-dhn. Er befindet sich laut Sophos C:\User\*Name*\AppData\Roaming\execue.exe. Sophos schreibt noch dazu [Versteckt]. Sophos kann ihn nicht löschen und andere Programme finden ihn nicht. Er befindet sich zwar in Quarantäne aber Windows Updates können nicht installiert werden.

Das habe ich bereits probiert:
-verschiedene Malware Programme
-Linuxrettungs cd mit Sophos scan
-Abgesicherter Modus und einen Scan


Ich brauche eure Hilfe was kann ich tun.

Alt 26.02.2013, 10:41   #2
aharonov
/// TB-Ausbilder
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Hallo kellekellner und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf
  • Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
    • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
    • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
    • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
    • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.
  • Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
    • .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
    • .. installiere oder deinstalliere während der Bereinigung keine Software.
    • .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).
  • Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
    • Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
    • Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.
Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.


Zitat:
Ich brauche eure Hilfe was kann ich tun.
Mach bitte folgende Scans, damit man mal einen Überblick über die Lage kriegt.


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button.
  • Bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
  • Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
  • Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
  • Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
  • Schliesse bitte alle anderen Programme.
  • Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Sollte sich ein Fenster mit folgender Warnung öffnen
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    dann klicke unbedingt auf No.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Show all
  • Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
  • Starte den Scan mit einem Klick auf Scan.
  • Mache gar nichts am Computer, während der Scan läuft!
  • Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
  • Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
  • Füge bitte den Inhalt des Logfiles hier in deine Thread ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von Gmer
  • Logs von OTL
__________________

__________________

Alt 03.03.2013, 19:22   #3
aharonov
/// TB-Ausbilder
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.
__________________
__________________

Alt 03.03.2013, 19:58   #4
kellekellner
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Sorry der Rechner ist nicht lokal bei mir. Werde es am kommenden Wochenende ausführen.

Alt 03.03.2013, 20:07   #5
aharonov
/// TB-Ausbilder
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Ok, danke für die Mitteilung. Dann lass ich das Thema in meinen Abos.

__________________
cheers,
Leo

Alt 07.03.2013, 17:19   #6
kellekellner
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



So Anbei die Logs.

Ich danke euch!!!

Alt 07.03.2013, 18:21   #7
aharonov
/// TB-Ausbilder
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Kannst du bitte die Logfiles nicht anhängen, sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].
__________________
cheers,
Leo

Alt 07.03.2013, 21:56   #8
kellekellner
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Leider geht das nicht auch wenn ich es einzeln mache, weil die Logs zu viele Zeichen haben.

Gruß

Alt 08.03.2013, 00:03   #9
aharonov
/// TB-Ausbilder
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Hi,

ich hab deine Logs durchgeschaut.

Zitat:
[2013.03.07 16:54:07 | 000,000,218 | ---- | M] () -- C:\Windows\tasks\AutoKMS.job
[2013.03.07 12:37:00 | 000,000,218 | ---- | M] () -- C:\Windows\tasks\AutoKMSDaily.job
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 adobeereg.com
O1 - Hosts: 127.0.0.1 http://www.adobeereg.com
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
etc.
Dein Microsoft Office Professional Plus 2010 und ein Adobe-Produkt sind nicht legal erworben, ist das korrekt?

Wir suchen nicht gezielt nach solchen Hinweisen, aber wenn wir sie sehen, dann können wir nicht mehr beide Augen zudrücken. Deshalb:
Cracks und Keygens

Die Logfiles deuten stark darauf hin, dass du nicht legal erworbene Software einsetzt. Nebst ihrer Illegalität sind Cracks und Patches aus dubioser Quelle auch sehr oft mit Schädlingen versehen, womit man sich also fast schon vorsätzlich infiziert.

Wir haben uns hier auf dem Board darauf geeinigt, dass wir an dieser Stelle nicht weiter bereinigen, da wir ein solches Vorgehen nicht unterstützen. Wir haben dich in unserer Anleitung unter Punkt 8 der Foren-Regeln auch unmissverständlich darauf hingewiesen, wie wir damit umgehen werden.

Diese Software hat ihren Preis und die Softwarefirmen leben von diesen Einnahmen. Als Alternative gibt es überall jede Menge sehr gute Freeware oder abgespeckte, günstig zu erwerbende Versionen.

Unsere Empfehlung hier lautet, einen sauberen Neuanfang zu vollziehen, und unsere Hilfe beschränkt sich daher auf das Neuaufsetzen und Absichern deines Systems.
Fragen dazu beantworten wir dir aber weiterhin gerne und zwar in unserem Unterforum Alles rund um Windows.
__________________
cheers,
Leo

Alt 17.03.2013, 15:27   #10
aharonov
/// TB-Ausbilder
 
[Sophos] Troj/Zbot-Dhn  // C:\User\*Name*\AppData\Roaming\execue.exe - Standard

[Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe



Dieses Thema ist erledigt und wird aus meinen Abos gelöscht.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________
cheers,
Leo

Antwort

Themen zu [Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe
andere, appdata, befindet, bereits, brauche, entdeck, entdeckt, execue, installiert, löschen, malware, modus, nicht installiert, nicht löschen, programme, quarantäne, rechner, roaming, sophos, suche, troja, trojaner, updates, versteckt, windows, windows updates, zbot-dhn, zbot-trojaner



Ähnliche Themen: [Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe


  1. Fehlermeldung RunDLL C:\.....\User\Appdata\Roaming\HomeTab\TBUpdater.DLL
    Plagegeister aller Art und deren Bekämpfung - 03.01.2015 (20)
  2. Windows 8 Trojaner Zbot.gen gefunden in C:\Users\*****\Appdata\Roaming\Cuyfzy\piutfas.exe
    Log-Analyse und Auswertung - 22.08.2014 (6)
  3. Win32/Zbot.gen!AM in C:\Users\***\AppData\Roaming\Wexyt\ynim.exe gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.07.2013 (11)
  4. Trojan.Zbot in C:\Users\Name\AppData\Roaming\Ixiha\wiez.exe
    Log-Analyse und Auswertung - 05.01.2013 (3)
  5. Troj/ZbotMem-B // gefunden mit Sophos
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (13)
  6. Sophos meldet im Speicher: Troj/ZbotMem-B
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (10)
  7. TR/PSW.zbot.5224 in C:\Users\NAME\AppData\Roaming\Okoku\moik.exe
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (24)
  8. RunDLL Probleme beim Starten von C:\users\***\AppData\Roaming\pndeb.dll & AppData\Local\powstak.dll
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (5)
  9. TR/Spy.ZBot.plc.9 in AppData\Roaming\Owke\ovzy.exe
    Log-Analyse und Auswertung - 13.10.2012 (2)
  10. ständig neue Trojaner-Funde in C:User/user/AppData
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (31)
  11. Trojaner TR/Spy.Banker.Gen5 in C:\User\Antonia\AppData\Roaming\BAcroIEHelpe180.dll eingefangen
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (1)
  12. Avira meldet TR/Spy.ZBot.edgy in C:/Users/***/AppData/Roaming/Yguq/xyyk.exe
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (7)
  13. TR/Crypt.ZPACK.Gen2 [trojan] in C:\Users\user\AppData\Roaming\Spotify\spotify.exe | Avira Profession
    Log-Analyse und Auswertung - 29.06.2012 (3)
  14. "Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (11)
  15. User\*****\AppData\Roaming\appconf32 in Quarantäne, ist mein System wieder sicher?
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (1)
  16. Troj/Inor-Fam wird von Sophos gemeldet
    Plagegeister aller Art und deren Bekämpfung - 10.03.2011 (1)
  17. C:\User\msi\AppData\Roaming\UUSoQLdiE9hE.exe
    Plagegeister aller Art und deren Bekämpfung - 20.11.2010 (1)

Zum Thema [Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe - Hallo ich suche hilfe! Ich habe auf einen Rechner diesen Trojaner entdeckt Troj/Zbot-dhn. Er befindet sich laut Sophos C:\User\*Name*\AppData\Roaming\execue.exe. Sophos schreibt noch dazu [Versteckt]. Sophos kann ihn nicht löschen und - [Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe...
Archiv
Du betrachtest: [Sophos] Troj/Zbot-Dhn // C:\User\*Name*\AppData\Roaming\execue.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.