Halli hallo.

Der ZBot ist schon sehr gefährlich. Sind Netzwerkfreigaben zu dem Zeitpunkt vorhanden gewesen?

Was für ein OS läuft auf dem anderen PC?
Welcher Stanort ist für dein HeimNetzwerk in der VistaFirewall eingestellt?

Auf dem gefährdeten Notebook läuft und lief kein AntiVirus Programm. Sehe ich das richtig?

Zitat:

Zitat von undoreal

Halli hallo.

Der ZBot ist schon sehr gefährlich. Sind Netzwerkfreigaben zu dem Zeitpunkt vorhanden gewesen?

Hallo! Danke für Deine Hilfe erstmal.

Was meinst Du mit Netzwerkfreigaben? (Sorry für meine doofe Frage...) Das WLAN ist verschlüsselt - mit einem WPA2-Kennwort. Ich hoffe, das ist, was Du meinst?

Zitat:

Was für ein OS läuft auf dem anderen PC?

XP

Zitat:

Welcher Stanort ist für dein HeimNetzwerk in der VistaFirewall eingestellt?

Leider Home- oder Workzone, wie ich gerade gesehen habe. Sollte ich da eine andere Einstellung wählen?

Zitat:

Auf dem gefährdeten Notebook läuft und lief kein AntiVirus Programm. Sehe ich das richtig?

Doch - zum Zeitpunkt des Befalls des PCs lief auf beiden Rechnern Avira, nun läuft hier Windows OneCare. Beide haben das Notebook inzwischen routinemäßig mehrmals gescannt und nichts gefunden.

Die beiden Rechner waren nur kurze Zeit parallel online. Wenn ich das nicht ganz falsch sehe, hatte zu dem Zeitpunkt auch schon Combofix einige Dateien auf dem PC gekillt.

In der Konfiguration der Firewall findet sich die Einstellung:

[x] Remotedesktop von einem lokalen Netzwerk (Subnetz) aus

Sollte ich diese Einstellung lieber deaktivieren?

Hm, sollte nun das Notebook auch gefährdet sein, wäre das wirklich sehr ärgerlich. Es ist das erste Mal, dass ich mich mit so etwas überhaupt Schwierigkeiten habe. :roll:

Ich habe einen Scan durchgeführt mit Malewarebytes. Vielleicht habe ich ja doch Schwein gehabt. Oder meinst Du, das Notebook ist auf jeden Fall infiziert? Sieht denn das HJT-Log einigermaßen okay aus? (Sorry für die vielen Laien-Fragen!)

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1878
Windows 6.0.6001 Service Pack 1

20.03.2009 20:57:01
mbam-log-2009-03-20 (20-57-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 127793
Laufzeit: 35 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Die Netzwerkkonfiguration war vermutlich eine Dummheit, allerdings hätte ich selbst auch nicht geglaubt, dass ich Opfer eines Trojaners werden könnte. Der PC wird relativ gut gesichert (Firewall, Avira, Windows Defender), und ich bin zwar viel online, nutze aber fast ausschließlich Opera und surfe eigentlich nicht auf problematischen Seiten - zumindest dachte ich das, war offensichtlich ein Irrglaube.

Mit Netzwerkfreigaben sin freigegebene Ordner, Dateien, Verbindungen und so weiter gemeint.
Alles weiter kann dir Google dazu erzählen.
Bei Vista finden sie sich unter Sysstrg. -> Netzwerk und Freigabe Center -> Freigabe und Erkennung.

Also Zone solltest du Öffentlicher Ort wählen.

Die RemoteVerbindungs solltest du nicht zulassen.

Soweit sehen die logs sauber aus. Was nichts heissen muss.


AVP-Tool

• Downloade dir das Tool: Kaspersky Virus Removal Tool Download
• Installiere es wie vorgeschlagen.
• Räume mit dem CCleaner auf. Punkte 1&2
• Starte den Computer im abgesicherten Modus.
• Starte dort das AVP-Tool.
• Setze unter Automatic Scan alle verfügbaren Häkchen so dass dein gesammter Computer untersucht wird.
• Klicke im Hauptfenster unter Settings auf "Security Level".
• Klicke unter Security Level auf den "Customize..."-Button.
  • General:
    • File types: Scan all files.
    • Productivity: Keine Häkchen setzen.
    • Compound files: Alle Häkchen setzen:
      • Scan All archives.
      • Scan All emdedded OLE objects.
      • Parse e-mail formats.
      • Scan passwort protected archives. (Das wird dazu führen, dass du während des Scans nach den Passwörtern für die Archive gefragt wirst. Weisst du diese grade nicht mehr kannst du die Untersuchung des Archives einfach überspringen.
  • Heuritic analyzer: Alle drei Häkchen setzen und den Schieberegler ganz nach rechts auf "High" stellen.
    • Rootkit Search:
      • Enable rootkits search
      • Enable deep rootkits search
    • Use heuristic analizer:
      • Häkchen setzen
      • Schieberegler ganz nach rechts auf "High" stellen.

• Übernehme alle Einstellungen durch Klicken des "OK"-Buttons.
• Stelle im Hauptfenster noch einmal sicher, dass dein gesammter PC untersucht wird und starte den Scan durch Klicken des "Scan"-Buttons.

Der Scan beginnt in einem neuen Fenster.
Er kann je nach Datenvolumen und Leistungsindex des Computers mehrere Stunden dauern.
Nach Abschluss des Scans wirst du über gefundene Objekte informiert.
Folge den empfohlenen Maßnahmen!
Zuerst wird Kaspersky versuchen die schädliche Datei zu desinfizieren.
Ist das nicht möglich wird sie unter Quarantäne gestellt oder gelöscht. Dabei wird immer ein Backup angelegt! Zögere also nicht die Funde löschen zu lassen.
In besonderen Fällen wird Kaspersky eine Desinfektions-Routine einleiten die einen Neustart des PCs beinhaltet. Folge auch hier einfach den Anweisungen.
Nachdem alle Funde gelöscht wurden klicke auf den "Report"-Button und kopiere den kompletten Bericht.
Füge ihn bitte in deinen nächsten Beitrag hier am Forum ein. Dieser Bericht ist für weitere Analysen sehr wichtig und sollte unbedingt gepostet werden!

Also, Du hast es leider wirklich mit einem Volldeppen zu tun, tut mir leid.

Kaspersky lief die ganze Nacht, ich Idiot habe aber offensichtlich nicht alle Einstellungen ändern (bzw die Menüpunkte dafür finden) können. Der Report passt nicht in ein Posting, hier mal die Zusammenfassung. Blöderweise passen auch die geskippten Dateien nicht rein, die ich mühevoll rauskopiert habe.

Code: Alles auswählenAufklappen

ATTFilter

Scan
----
Scanned:	671342
Detected:	0
Untreated:	0
Start time:	21.03.2009 00:08:12
Duration:	05:04:21
Finish time:	21.03.2009 05:12:33



Settings
--------
Parameter	Value
---------	-----
Security Level	Recommended
Action	Prompt for action when the scan is complete
Run mode	Manually
File types	Scan all files
Scan only new and changed files	No
Scan archives	All
Scan embedded OLE objects	All
Skip if object is larger than	No
Skip if scan takes longer than	No
Parse email formats	No
Scan password-protected archives	No
Enable iChecker technology	No
Enable iSwift technology	No
Show detected threats on "Detected" tab	Yes
Rootkits search	Yes
Deep rootkits search	No
Use heuristic analyzer	Yes


Quarantine
----------
Status	Object	Size	Added
------	------	----	-----


Backup
------
Status	Object	Size
------	------	----
         

Es tut mir echt leid, dass Du so inkompetenten Deppen als Gegenüber hast. Muss ich mir denn wirklich große Sorgen machen, wenn das HJT-File okay ist, Malewarebytes nichts gefunden hat und das Ganze nach der Reinigung mit Combofix geschehen ist?

Die Netzwerkeinstellungen habe ich geändert.

Wenn das AVP-Tool nichts gefunden hat musst du dir meiner Meinung nach keine all zu großen Sorgen machen...