Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.08.2013, 09:40   #1
chrioldi
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Icon16

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Hallo zusammen,

habe folgendes Problem. Der Trojaner läßt sich von mir leider nicht entfernen. Hoff ihr könnt mir da weiterhelfen und den beseitigen.

LG Chrioldi

ComboFix 13-08-30.02 - Toshiba 31.08.2013 9:44.1.2 - x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3562.2440 [GMT 2:00]
ausgeführt von:: c:\users\Toshiba\Downloads\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {641105E6-77ED-3F35-A304-765193BCB75F}
SP: Microsoft Security Essentials *Enabled/Updated* {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Toshiba\AppData\Roaming\Racis
c:\users\Toshiba\AppData\Roaming\Racis\aqmy.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-07-28 bis 2013-08-31 ))))))))))))))))))))))))))))))
.
.
2013-08-31 07:54 . 2013-08-31 07:54 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-08-31 07:25 . 2013-08-31 07:25 76232 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B213257D-106B-441F-BF29-A31D8A537BDA}\offreg.dll
2013-08-31 07:21 . 2013-08-06 08:58 9515512 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B213257D-106B-441F-BF29-A31D8A537BDA}\mpengine.dll
2013-08-30 16:14 . 2013-08-06 08:58 9515512 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-08-29 16:18 . 2013-08-29 16:18 -------- d-----w- c:\users\Toshiba\AppData\Local\Macromedia
2013-08-29 15:49 . 2013-08-29 15:49 -------- d-----w- c:\programdata\McAfee Security Scan
2013-08-29 15:49 . 2013-08-29 15:51 -------- d-----w- c:\program files (x86)\McAfee Security Scan
2013-08-28 10:17 . 2013-08-28 10:17 -------- d-----w- c:\users\Toshiba\AppData\Local\Mozilla
2013-08-28 10:17 . 2013-08-28 10:17 -------- d-----w- c:\program files (x86)\Mozilla Maintenance Service
2013-08-27 14:10 . 2013-08-27 14:10 -------- d-----w- c:\program files (x86)\Kaspersky Lab
2013-08-22 16:45 . 2013-08-22 16:44 941720 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{97CD736D-1379-4F05-8EAC-F6561E38085E}\gapaengine.dll
2013-08-20 19:14 . 2013-08-27 14:56 -------- d-----w- c:\users\Toshiba\AppData\Roaming\Baliir
2013-08-20 19:14 . 2013-08-27 10:00 -------- d-----w- c:\users\Toshiba\AppData\Roaming\Ywfi
2013-08-20 19:14 . 2013-08-20 19:14 -------- d-----w- c:\users\Toshiba\AppData\Roaming\Ymivt
2013-08-15 12:43 . 2013-07-26 03:13 1767936 ----a-w- c:\windows\SysWow64\wininet.dll
2013-08-15 12:43 . 2013-07-26 05:13 2241024 ----a-w- c:\windows\system32\wininet.dll
2013-08-15 12:43 . 2013-07-26 05:12 15405056 ----a-w- c:\windows\system32\ieframe.dll
2013-08-15 12:43 . 2013-07-26 05:12 19239424 ----a-w- c:\windows\system32\mshtml.dll
2013-08-15 12:36 . 2013-08-15 12:37 -------- d-----w- c:\windows\system32\MRT
2013-08-14 17:06 . 2013-07-09 05:46 1472512 ----a-w- c:\windows\system32\crypt32.dll
2013-08-14 17:06 . 2013-07-09 05:52 224256 ----a-w- c:\windows\system32\wintrust.dll
2013-08-14 17:06 . 2013-07-09 05:46 184320 ----a-w- c:\windows\system32\cryptsvc.dll
2013-08-14 17:06 . 2013-07-09 05:46 139776 ----a-w- c:\windows\system32\cryptnet.dll
2013-08-14 17:06 . 2013-07-09 04:52 175104 ----a-w- c:\windows\SysWow64\wintrust.dll
2013-08-14 17:06 . 2013-07-09 04:46 140288 ----a-w- c:\windows\SysWow64\cryptsvc.dll
2013-08-14 17:06 . 2013-07-09 04:46 1166848 ----a-w- c:\windows\SysWow64\crypt32.dll
2013-08-14 17:06 . 2013-07-09 04:46 103936 ----a-w- c:\windows\SysWow64\cryptnet.dll
2013-08-14 17:04 . 2013-06-15 04:32 39936 ----a-w- c:\windows\system32\drivers\tssecsrv.sys
2013-08-14 17:04 . 2013-07-06 06:03 1910208 ----a-w- c:\windows\system32\drivers\tcpip.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-08-29 15:49 . 2012-04-24 05:15 692104 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2013-08-29 15:49 . 2012-01-04 18:28 71048 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-08-15 12:36 . 2011-12-27 15:27 78161360 ----a-w- c:\windows\system32\MRT.exe
2013-07-18 06:31 . 2012-02-11 08:59 941720 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2013-07-09 04:45 . 2013-08-14 17:05 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2013-06-18 19:50 . 2013-06-18 19:50 247216 ----a-w- c:\windows\system32\drivers\MpFilter.sys
2013-06-18 19:50 . 2011-04-27 14:25 139616 ----a-w- c:\windows\system32\drivers\NisDrvWFP.sys
2013-06-05 03:34 . 2013-07-11 07:48 3153920 ----a-w- c:\windows\system32\win32k.sys
2013-06-04 06:00 . 2013-07-11 07:48 624128 ----a-w- c:\windows\system32\qedit.dll
2013-06-04 04:53 . 2013-07-11 07:48 509440 ----a-w- c:\windows\SysWow64\qedit.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOPI.EXE"="c:\program files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe" [2011-05-16 846936]
.

Alt 31.08.2013, 09:50   #2
M-K-D-B
/// TB-Ausbilder
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM






Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Solltest du mir nicht innerhalb von 4 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
    Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
    Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.



Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.
__________________

__________________

Alt 31.08.2013, 09:52   #3
M-K-D-B
/// TB-Ausbilder
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Servus,



hast du dir folgendes auch durchgelesen?
ComboFix


Wenn du schon ohne Ahnung ComboFix ausführst, dann poste bitte die komplette Logdatei (C:\ComboFix.txt) davon und nicht nur die Hälfte.
__________________
__________________

Alt 31.08.2013, 09:52   #4
chrioldi
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Das wäre lieb, DANKE !

Alt 31.08.2013, 09:55   #5
M-K-D-B
/// TB-Ausbilder
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Servus,


lies dir bitte meine letzte Antwort durch.

__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Alt 31.08.2013, 10:05   #6
chrioldi
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Entschuldigung, bin völlig gestreßt, wg. dem Mist.

Combofix Logfile:
Code:
ATTFilter
ComboFix 13-08-30.02 - Toshiba 31.08.2013   9:44.1.2 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3562.2440 [GMT 2:00]
ausgeführt von:: c:\users\Toshiba\Downloads\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {641105E6-77ED-3F35-A304-765193BCB75F}
SP: Microsoft Security Essentials *Enabled/Updated* {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Toshiba\AppData\Roaming\Racis
c:\users\Toshiba\AppData\Roaming\Racis\aqmy.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-07-28 bis 2013-08-31  ))))))))))))))))))))))))))))))
.
.
2013-08-31 07:54 . 2013-08-31 07:54	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-08-31 07:25 . 2013-08-31 07:25	76232	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B213257D-106B-441F-BF29-A31D8A537BDA}\offreg.dll
2013-08-31 07:21 . 2013-08-06 08:58	9515512	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B213257D-106B-441F-BF29-A31D8A537BDA}\mpengine.dll
2013-08-30 16:14 . 2013-08-06 08:58	9515512	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-08-29 16:18 . 2013-08-29 16:18	--------	d-----w-	c:\users\Toshiba\AppData\Local\Macromedia
2013-08-29 15:49 . 2013-08-29 15:49	--------	d-----w-	c:\programdata\McAfee Security Scan
2013-08-29 15:49 . 2013-08-29 15:51	--------	d-----w-	c:\program files (x86)\McAfee Security Scan
2013-08-28 10:17 . 2013-08-28 10:17	--------	d-----w-	c:\users\Toshiba\AppData\Local\Mozilla
2013-08-28 10:17 . 2013-08-28 10:17	--------	d-----w-	c:\program files (x86)\Mozilla Maintenance Service
2013-08-27 14:10 . 2013-08-27 14:10	--------	d-----w-	c:\program files (x86)\Kaspersky Lab
2013-08-22 16:45 . 2013-08-22 16:44	941720	------w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{97CD736D-1379-4F05-8EAC-F6561E38085E}\gapaengine.dll
2013-08-20 19:14 . 2013-08-27 14:56	--------	d-----w-	c:\users\Toshiba\AppData\Roaming\Baliir
2013-08-20 19:14 . 2013-08-27 10:00	--------	d-----w-	c:\users\Toshiba\AppData\Roaming\Ywfi
2013-08-20 19:14 . 2013-08-20 19:14	--------	d-----w-	c:\users\Toshiba\AppData\Roaming\Ymivt
2013-08-15 12:43 . 2013-07-26 03:13	1767936	----a-w-	c:\windows\SysWow64\wininet.dll
2013-08-15 12:43 . 2013-07-26 05:13	2241024	----a-w-	c:\windows\system32\wininet.dll
2013-08-15 12:43 . 2013-07-26 05:12	15405056	----a-w-	c:\windows\system32\ieframe.dll
2013-08-15 12:43 . 2013-07-26 05:12	19239424	----a-w-	c:\windows\system32\mshtml.dll
2013-08-15 12:36 . 2013-08-15 12:37	--------	d-----w-	c:\windows\system32\MRT
2013-08-14 17:06 . 2013-07-09 05:46	1472512	----a-w-	c:\windows\system32\crypt32.dll
2013-08-14 17:06 . 2013-07-09 05:52	224256	----a-w-	c:\windows\system32\wintrust.dll
2013-08-14 17:06 . 2013-07-09 05:46	184320	----a-w-	c:\windows\system32\cryptsvc.dll
2013-08-14 17:06 . 2013-07-09 05:46	139776	----a-w-	c:\windows\system32\cryptnet.dll
2013-08-14 17:06 . 2013-07-09 04:52	175104	----a-w-	c:\windows\SysWow64\wintrust.dll
2013-08-14 17:06 . 2013-07-09 04:46	140288	----a-w-	c:\windows\SysWow64\cryptsvc.dll
2013-08-14 17:06 . 2013-07-09 04:46	1166848	----a-w-	c:\windows\SysWow64\crypt32.dll
2013-08-14 17:06 . 2013-07-09 04:46	103936	----a-w-	c:\windows\SysWow64\cryptnet.dll
2013-08-14 17:04 . 2013-06-15 04:32	39936	----a-w-	c:\windows\system32\drivers\tssecsrv.sys
2013-08-14 17:04 . 2013-07-06 06:03	1910208	----a-w-	c:\windows\system32\drivers\tcpip.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-08-29 15:49 . 2012-04-24 05:15	692104	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-08-29 15:49 . 2012-01-04 18:28	71048	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-08-15 12:36 . 2011-12-27 15:27	78161360	----a-w-	c:\windows\system32\MRT.exe
2013-07-18 06:31 . 2012-02-11 08:59	941720	------w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2013-07-09 04:45 . 2013-08-14 17:05	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2013-06-18 19:50 . 2013-06-18 19:50	247216	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2013-06-18 19:50 . 2011-04-27 14:25	139616	----a-w-	c:\windows\system32\drivers\NisDrvWFP.sys
2013-06-05 03:34 . 2013-07-11 07:48	3153920	----a-w-	c:\windows\system32\win32k.sys
2013-06-04 06:00 . 2013-07-11 07:48	624128	----a-w-	c:\windows\system32\qedit.dll
2013-06-04 04:53 . 2013-07-11 07:48	509440	----a-w-	c:\windows\SysWow64\qedit.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOPI.EXE"="c:\program files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe" [2011-05-16 846936]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe [2013-2-5 272248]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe;c:\program files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys;c:\windows\SYSNATIVE\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\NisSrv.exe;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys;c:\windows\SYSNATIVE\Drivers\RtsUStor.sys [x]
R3 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe;c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe [x]
R3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 X86BDA;OEM Capture;c:\windows\system32\DRIVERS\OEMDrv.sys;c:\windows\SYSNATIVE\DRIVERS\OEMDrv.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe;c:\program files\Windows Live\Mesh\wlcrasvc.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe [x]
S2 ConfigFree Service;ConfigFree Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe [x]
S2 GFNEXSrv;GFNEX Service;c:\windows\System32\GFNEXSrv.exe;c:\windows\SYSNATIVE\GFNEXSrv.exe [x]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe;c:\program files\TOSHIBA\TECO\TecoService.exe [x]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys;c:\windows\SYSNATIVE\DRIVERS\TVALZFL.sys [x]
S2 VideoDownloadConverter_4zService;VideoDownloadConverterService;c:\progra~2\VIDEOD~2\bar\1.bin\4zbarsvc.exe;c:\progra~2\VIDEOD~2\bar\1.bin\4zbarsvc.exe [x]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys;c:\windows\SYSNATIVE\drivers\AtihdW76.sys [x]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys;c:\windows\SYSNATIVE\DRIVERS\pgeffect.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
S3 RTL8192Ce;Realtek Wireless LAN 802.11n PCI-E NIC Driver;c:\windows\system32\DRIVERS\rtl8192Ce.sys;c:\windows\SYSNATIVE\DRIVERS\rtl8192Ce.sys [x]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [x]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-08-21 17:50	1177552	----a-w-	c:\program files (x86)\Google\Chrome\Application\29.0.1547.57\Installer\chrmstp.exe
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Toshiba TEMPRO"="c:\program files (x86)\Toshiba TEMPRO\TemproTray.exe" [2011-02-10 1546720]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-12-08 710040]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 24376]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-06-20 1356240]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.arcor.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\Toshiba\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~3\Office10\EXCEL.EXE/3000
IE: Zu TOSHIBA Bulletin Board hinzufügen - c:\program files\TOSHIBA\BulletinBoard\TosBBCom.dll/1000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Toshiba\AppData\Roaming\Mozilla\Firefox\Profiles\545u6536.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
Wow6432Node-HKCU-Run-Aqmy - c:\users\Toshiba\AppData\Roaming\Racis\aqmy.exe
Wow6432Node-HKLM-Run-TSleepSrv - %ProgramFiles(x86)%\TOSHIBA\TOSHIBA Sleep Utility\TSleepSrv.exe
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
Toolbar-Locked - (no file)
HKLM-Run-TosReelTimeMonitor - c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
HKLM-Run-HSON - c:\program files (x86)\TOSHIBA\TBS\HSON.exe
HKLM-Run-TCrdMain - c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe
HKLM-Run-TosWaitSrv - c:\program files (x86)\TOSHIBA\TPHM\TosWaitSrv.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_8_800_94_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_8_800_94_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_8_800_94_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_8_800_94_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_8_800_94.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_8_800_94.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_8_800_94.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_8_800_94.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-08-31  10:06:02
ComboFix-quarantined-files.txt  2013-08-31 08:05
.
Vor Suchlauf: 9 Verzeichnis(se), 187.565.015.040 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 187.045.515.264 Bytes frei
.
- - End Of File - - 3FF24B80AC426CD68A8A286E394A930A
         
--- --- ---
A36C5E4F47E84449FF07ED3517B43A31

Paßt das so wenigstens?
LG

Alt 31.08.2013, 10:13   #7
M-K-D-B
/// TB-Ausbilder
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Servus,



Zitat:
Zitat von chrioldi Beitrag anzeigen
Entschuldigung, bin völlig gestreßt, wg. dem Mist.
Kann ich nachvollziehen, aber du musst nicht gestresst sein, denn ich helfe dir ja jetzt.



Zitat:
Zitat von chrioldi Beitrag anzeigen
Paßt das so wenigstens?
Ich bin mir nicht sicher, was du mit "pass das" genau meinst...
Ein Teil von Zbot wurde entfernt.

Wir kümmern uns um den Rest und führen noch ein paar weitere Schritte zur Kontrolle durch.
Ich hoffe, du bringst so viel Geduld mit.




Schritt 1
Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

    Code:
    ATTFilter
    Folder::
    c:\users\Toshiba\AppData\Roaming\Baliir
    c:\users\Toshiba\AppData\Roaming\Ywfi
    c:\users\Toshiba\AppData\Roaming\Ymivt
             
  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!






Schritt 2
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).





Schritt 3
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)






Bitte poste mit deiner nächsten Antwort
  • die Logdatei von ComboFix,
  • die Logdatei von AdwCleaner,
  • die beiden Logdateien von FRST.
__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Alt 31.08.2013, 10:22   #8
chrioldi
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Geduld habe ich, ich hoffe ja nur, daß ihr mir helfen könnt !!!

Alt 31.08.2013, 12:29   #9
M-K-D-B
/// TB-Ausbilder
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Servus,


Zbot sollte kein großes Problem darstellen.

Warte auf die Logdateien...
__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Alt 31.08.2013, 13:07   #10
chrioldi
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Hallo,

wow, MSE hat nichts mehr erkannt, Meldung wird nicht mehr angezeigt und er kann den Trojaner auch nicht mehr finden.
Vielen, vielen, lieben, herzlichsten SUPER DANK !!!!!!!!!!
LG Chrioldi
P.S. Ein kleines Glück kommt immer zurück.

Alt 31.08.2013, 13:34   #11
M-K-D-B
/// TB-Ausbilder
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Servus,


anscheinend hast du kein wirkliches Interesse daran, dass ich dir helfe, oder?

Entweder bekomme ich in deiner nächsten Antwort die geforderten Logdateien oder dieses Thema wird geschossen.
__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Alt 03.09.2013, 18:49   #12
M-K-D-B
/// TB-Ausbilder
 
TROJANER ! Habe folgendes Problem:      PWS:Win/Zbot.gen!AM - Standard

TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM



Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!
__________________
Grüße aus Bayern
M-K-D-B

______________________________________

Das Trojaner-Board unterstützen

Antwort

Themen zu TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM
antimalware, appdata, bericht, crypt, dateien, defender, erstellt, folge, hallo zusammen, home, kaspersky, mcafee, online, problem, roaming, security, software, system, system32, toshiba, trojaner, updates, version, windows, windows 7



Ähnliche Themen: TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM


  1. Folgendes Problem: Kein Zugriff auf Internet Seite Fehlercode: DNS_PROBE_FINISHED_NXDOMAIN ?
    Plagegeister aller Art und deren Bekämpfung - 22.10.2014 (11)
  2. Problem mit Trojaner Win32:Zbot-QGP + Java:Agent-CDZ + Java:Malware-gen
    Log-Analyse und Auswertung - 29.03.2013 (9)
  3. Habe ich nun was, oder habe ich nicht ? Und ist die Lösung vielleicht sogar das Problem ?
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (33)
  4. Habe verschiedene Trojaner + GVU (geklärt) Problem
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (1)
  5. Win32.Zbot: Habe ich die Ehre und wenn ja, wie komme ich dazu?
    Log-Analyse und Auswertung - 16.09.2010 (13)
  6. Habe folgendes problem <System>=>C:\Dokumente und Einstellungen\user\Cookies\user@adviva[1].txt
    Log-Analyse und Auswertung - 30.07.2010 (18)
  7. Habe Problem mit den Trojaner www.exploerstartpage.com
    Log-Analyse und Auswertung - 30.08.2009 (7)
  8. Habe Problem mit den Trojaner www.exploerstartpage.com
    Log-Analyse und Auswertung - 27.07.2009 (9)
  9. 3 tw. unbekannte Trojaner TR/Spy.ZBot.hkp.2, TR/Dropper.Gen und TR/Spy.ZBot.hss
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  10. Habe ein Gigantisches Trojaner problem
    Plagegeister aller Art und deren Bekämpfung - 07.11.2007 (0)
  11. Bitte Log-File checken! Folgendes Problem...
    Log-Analyse und Auswertung - 09.08.2007 (3)
  12. Ich habe ein Problem mit meinem PC - Trojaner wahrscheinlich -
    Log-Analyse und Auswertung - 07.09.2006 (6)
  13. Habe ein Problem mit Trojaner!
    Log-Analyse und Auswertung - 09.08.2005 (1)
  14. Habe Trojaner problem, bitte helft mir
    Log-Analyse und Auswertung - 30.04.2005 (3)
  15. Habe keine Ahnung von Viren, o.ä. und habe ein Problem mit about:blank als Startseite
    Plagegeister aller Art und deren Bekämpfung - 01.02.2005 (8)
  16. folgendes problem
    Log-Analyse und Auswertung - 21.11.2004 (5)

Zum Thema TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM - Hallo zusammen, habe folgendes Problem. Der Trojaner läßt sich von mir leider nicht entfernen. Hoff ihr könnt mir da weiterhelfen und den beseitigen. LG Chrioldi ComboFix 13-08-30.02 - Toshiba 31.08.2013 - TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM...
Archiv
Du betrachtest: TROJANER ! Habe folgendes Problem: PWS:Win/Zbot.gen!AM auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.