Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner TR/Spy.ZBot.R

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.11.2007, 11:34   #1
Holsten
 
Trojaner TR/Spy.ZBot.R - Standard

Trojaner TR/Spy.ZBot.R



Moin, ich habe seit einigen Tagen den Trojaner TR/Spy.ZBot.R auf meinem Notebook. AntiVir kann ihn natürlich nicht löschen und in Quarantäne schieben oder so geht auch nicht.
Wie werde ich das Drecksding los? Habe bei euch im Forum ja auch schon was dazu gefunden, dass hat mir allerdings nicht wirklich weitergeholfen.

Hier mal HijackThis

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:23, on 01.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS.0\system32\oodag.exe
C:\WINDOWS.0\system32\HPZipm12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\ntos.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS.0\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS.0\SOUNDMAN.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Sports Interactive\Football Manager 2008\fm.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152126040232
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{023BDD73-F4FB-41D8-943B-19A01CE3B72B}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.0\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Hoffe ihr könnt mir irgendwie helfen, ohne dass ich das System Neuaufsetzen muss.
Vielen Dank im Vorraus

Alt 01.11.2007, 12:29   #2
Cleriker
 
Trojaner TR/Spy.ZBot.R - Standard

Trojaner TR/Spy.ZBot.R



Hi

wieder die ntos.exe siehe Troj/Dloadr-AWQ
Siehe dein System als kompromitiert und deine Logindaten
als ausspioniert an. Folge bitte diesem Link
* System neu aufsetzen mit anschließender Absicherung

mfg Cleriker
__________________


Alt 01.11.2007, 13:48   #3
Holsten
 
Trojaner TR/Spy.ZBot.R - Standard

Trojaner TR/Spy.ZBot.R



Achso
Oh man, naja kann man nix machen.
Vielen Dank auf jeden Fall. Nun bin ich schonmal etwas schlauer.
Aber wie fängt man sich so ein Mist ein, dass würde mich nochmal interessieren.

Edit:
Kann ich irgendwie rauskriegen, ob der Trojaner aktiv ist?
Weil sonst bewirkt der ja eh nix oder?
__________________

Alt 01.11.2007, 14:23   #4
Cleriker
 
Trojaner TR/Spy.ZBot.R - Standard

Trojaner TR/Spy.ZBot.R



Glaub mir, der
ist zur Zeit in jeder Sekunde aktiv.
Zur Erklärung:
Zitat:
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WIN DOWS.0\system32\ntos.exe,
Damit startet sich der Schädling bei jedem Start neu.

Zitat:
C:\WINDOWS.0\system32\ntos.exe
Und hieran siehst du, dass er zu dem Zeitpunkt aktiv war.

Aber ich rate dir ab, ihn einfach zu löschen, sondern das
System, wie oben erläutert, neu aufzusetzen. Mich würde
auch interessieren, wo du den eingefangen hast. Was war
deine letzte Handlung, bevor du dir bewusst warst, infiziert
zu sein.

mfg Cleriker

Alt 01.11.2007, 14:36   #5
Holsten
 
Trojaner TR/Spy.ZBot.R - Standard

Trojaner TR/Spy.ZBot.R



Ah, alles klar. Dann werd ich mich wohl gleich mal dran setzen
Danke !

Letzte Amtshandlung?
Hm, kein Plan. Hab auch immer Firewall und Virenprogramm aktiv. Irgendwelche Emails lad ich mir auch nicht runter. Also wirklich kein Plan. Auf einmal war er da ...
Bestimmt von irgendwelchen Pornoseitchen


Antwort

Themen zu Trojaner TR/Spy.ZBot.R
adobe, antivir, avira, bho, browser, cyberlink, excel, explorer, firefox, firewall, hijack, hkus\s-1-5-18, hotspot, internet, internet explorer, logfile, löschen, magix, microsoft, mozilla, mozilla firefox, pdf, programme, quara, s-1-5-18, senden, software, system, trend micro, trojaner, userinit.exe, windows, windows xp



Ähnliche Themen: Trojaner TR/Spy.ZBot.R


  1. Trojaner ZBot
    Log-Analyse und Auswertung - 20.03.2014 (10)
  2. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  3. Trojan.zbot.FV und Spyware.zbot.-ED auf Netbook Asus Eee PC /Win7
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (23)
  4. Trojaner eingefangen? TR/Spy.zbot.alw
    Log-Analyse und Auswertung - 24.06.2013 (27)
  5. Sparkassen Onlin Banking Virus (Zbot.HEEP, Agent.MIXC, Zbot, Agent.ED)
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (21)
  6. PWS:Win32/Zbot.gen!AJ Trojaner?
    Log-Analyse und Auswertung - 17.05.2013 (9)
  7. Probleme mit PWS:Win32/Zbot.gen!AJ - Trojaner
    Log-Analyse und Auswertung - 14.05.2013 (7)
  8. GVU Trojaner und Win32/Spy.Zbot.AAO
    Plagegeister aller Art und deren Bekämpfung - 02.05.2013 (1)
  9. Zeus/ZBot TRojaner
    Log-Analyse und Auswertung - 20.02.2013 (12)
  10. Trojaner TR/PSW.Zbot.AJ.368
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (12)
  11. Trojaner ZeuS/ZBot
    Log-Analyse und Auswertung - 11.10.2012 (1)
  12. Win32/Spy.Zbot.AAO Trojaner
    Log-Analyse und Auswertung - 01.09.2012 (1)
  13. Trojaner TR/Spy.ZBot.asur in FXYCNO.dll
    Log-Analyse und Auswertung - 16.04.2011 (61)
  14. 2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2011 (10)
  15. Trojaner TR/Spy.ZBot.agaa
    Plagegeister aller Art und deren Bekämpfung - 25.03.2010 (27)
  16. 3 tw. unbekannte Trojaner TR/Spy.ZBot.hkp.2, TR/Dropper.Gen und TR/Spy.ZBot.hss
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  17. Probleme mit Trojaner Spy.ZBot.R
    Plagegeister aller Art und deren Bekämpfung - 05.10.2007 (1)

Zum Thema Trojaner TR/Spy.ZBot.R - Moin, ich habe seit einigen Tagen den Trojaner TR/Spy.ZBot.R auf meinem Notebook. AntiVir kann ihn natürlich nicht löschen und in Quarantäne schieben oder so geht auch nicht. Wie werde ich - Trojaner TR/Spy.ZBot.R...
Archiv
Du betrachtest: Trojaner TR/Spy.ZBot.R auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.