Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


Plagegeister aller Art und deren Bekämpfung: twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.07.2009, 15:00   #1
Buberatze
 
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Standard

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


Hallo,

ich bin mit Trojanern und Co leider nicht besonders bewandert und war erst mal ziemlich überfordert, als plötzlich der Tea Timer von meinem Spybot sagte, daß eine twext.exe sich einträgt, immer beim Winlogon aufgerufen zu werden.

Daraufhin hatte ich mich gründlich informiert, erfahren, daß es sich um einen zBot-Rootkit oder manchmal auch um einen Trojan.dropgen oder so ähnlich handelt, und Folgendes gemacht:
1. AVG Rootkit ausgeführt
Er hat die twext.exe, die unsichtbar war, entdeckt und gelöscht.

2. Malwarebytes' Anti-Malware ausgeführt
Das Programm hat sehr viele Übeltäter entdeckt und dann Folgendes getan:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 3

22.07.2009 23:39:06
mbam-log-2009-07-22 (23-39-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 313341
Laufzeit: 3 hour(s), 54 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 4
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Verena2\startmenü\programme\XP_AntiSpyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\twain_32 (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\twain_32 (Spyware.Zbot) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\twain_32\local.d_ (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\twain_32\user.d_ (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Verena2\startmenü\programme\xp_antispyware\Uninstall.lnk (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Verena2\startmenü\programme\xp_antispyware\XP_AntiSpyware.lnk (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\localservice\anwendungsdaten\twain_32\user.ds (Spyware.Zbot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\twain_32\user.ds (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\System\ado1.dll (Trojan.BHO) -> Quarantined and deleted successfully.


Danach habe ich das Programm noch mal drüber laufen lassen und alles scheint sauber zu sein.

Alt 23.07.2009, 15:02   #2
Buberatze
 
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Standard

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


Zur Sicherheit habe ich jetzt aber noch die Programme GMER und HijackThis Protokolle anlegen lassen, die ich hier auch noch anführe:
[B]
GMER-Protokoll (alle Funde waren schwarz, keine roten Funde und nur die roten sollen ja schlimm sein):
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-23 12:06:36
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT spxo.sys ZwCreateKey [0xB9EAB0E0]
SSDT AB6930AC ZwCreateThread
SSDT spxo.sys ZwEnumerateKey [0xB9EC8CA2]
SSDT spxo.sys ZwEnumerateValueKey [0xB9EC9030]
SSDT spxo.sys ZwOpenKey [0xB9EAB0C0]
SSDT AB693098 ZwOpenProcess
SSDT AB69309D ZwOpenThread
SSDT spxo.sys ZwQueryKey [0xB9EC9108]
SSDT spxo.sys ZwQueryValueKey [0xB9EC8F88]
SSDT spxo.sys ZwSetValueKey [0xB9EC919A]
SSDT AB6930A7 ZwTerminateProcess
SSDT AB6930A2 ZwWriteVirtualMemory

INT 0x73 ? 8A3D2BF8
INT 0x84 ? 8987EF00
INT 0x94 ? 8987EF00
INT 0xA4 ? 8987EF00

---- Kernel code sections - GMER 1.0.15 ----

? spxo.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B832C8AC 5 Bytes JMP 8987E4E0
.text avl5ge99.SYS B8238384 1 Byte [20]
.text avl5ge99.SYS B8238384 37 Bytes [20, 00, 00, 68, 00, 00, 00, ...]
.text avl5ge99.SYS B82383AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, ...]
.text avl5ge99.SYS B82383C4 3 Bytes [00, 00, 00]
.text avl5ge99.SYS B82383C9 1 Byte [00]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KfAcquireSpinLock] 000000AD
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!READ_PORT_UCHAR] 000000D4
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KeGetCurrentIrql] 000000A2
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KfRaiseIrql] 000000AF
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KfLowerIrql] 0000009C
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!HalGetInterruptVector] 000000A4
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!HalTranslateBusAddress] 00000072
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KeStallExecutionProcessor] 000000C0
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KfReleaseSpinLock] 000000B7
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 000000FD
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!READ_PORT_USHORT] 00000093
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 00000026
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!WRITE_PORT_UCHAR] 00000036
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[WMILIB.SYS!WmiSystemControl] 000000F7
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[WMILIB.SYS!WmiCompleteRequest] 000000CC

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A3D11F8
Device \FileSystem\Fastfat \FatCdrom 88CB3500
Device \Driver\USBSTOR \Device\0000008e 89442500
Device \Driver\USBSTOR \Device\0000008e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\0000008f 89442500
Device \Driver\USBSTOR \Device\0000008f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbuhci \Device\USBPDO-0 89884478
Device \Driver\usbuhci \Device\USBPDO-1 89884478
Device \Driver\usbehci \Device\USBPDO-2 8983D1F8
Device \Driver\usbehci \Device\USBPDO-3 8983D1F8
Device \Driver\usbuhci \Device\USBPDO-4 89884478
Device \Driver\usbuhci \Device\USBPDO-5 89884478
Device \Driver\prodrv06 \Device\ProDrv06 E1EF3608
Device \Driver\usbuhci \Device\USBPDO-6 89884478
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A3631F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A3631F8
Device \Driver\Cdrom \Device\CdRom0 897C91F8
Device \Driver\iastor \Device\Ide\iaStor0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\iastor \Device\Ide\IAAStorageDevice-0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\iastor \Device\Ide\IAAStorageDevice-1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A3631F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8A3631F8
Device \Driver\Ftdisk \Device\HarddiskVolume5 8A3631F8
Device \Driver\Ftdisk \Device\HarddiskVolume6 8A3631F8
Device \Driver\prohlp02 \Device\ProHlp02 E1762800
Device \Driver\NetBT \Device\NetBt_Wins_Export 893EA500
Device \Driver\sptd \Device\3240220180 spxo.sys
Device \Driver\NetBT \Device\NetbiosSmb 893EA500
Device \Driver\NetBT \Device\NetBT_Tcpip_{2DDD386D-45B7-4580-92B6-42C2FBEF4A33} 893EA500
Device \Driver\PCI_PNP0180 \Device\0000006b spxo.sys
Device \Driver\usbuhci \Device\USBFDO-0 89884478
Device \Driver\usbuhci \Device\USBFDO-1 89884478
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8935E500
Device \Driver\usbehci \Device\USBFDO-2 8983D1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8935E500
Device \Driver\usbuhci \Device\USBFDO-3 89884478
Device \Driver\usbuhci \Device\USBFDO-4 89884478
Device \Driver\Ftdisk \Device\FtControl 8A3631F8
Device \Driver\usbuhci \Device\USBFDO-5 89884478
Device \Driver\usbehci \Device\USBFDO-6 8983D1F8
Device \Driver\USBSTOR \Device\0000008c 89442500
Device \Driver\USBSTOR \Device\0000008c sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\0000008d 89442500
Device \Driver\USBSTOR \Device\0000008d sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\avl5ge99 \Device\Scsi\avl5ge991 8978D470
Device \FileSystem\Fastfat \Fat 88CB3500

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 895BC500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xF1 0x93 0x0E 0x2F ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xA9 0xC9 0x19 0x99 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x0E 0xEC 0xDD 0x13 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xF1 0x93 0x0E 0x2F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xA9 0xC9 0x19 0x99 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x0E 0xEC 0xDD 0x13 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x77 0xD2 0x92 0xB2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x95 0x2D 0xB8 0x91 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xE2 0x1F 0x38 0xCF ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x77 0xD2 0x92 0xB2 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 52\
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x95 0x2D 0xB8 0x91 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xE2 0x1F 0x38 0xCF ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 5D53B2DAAA5026846CEFA25A650890329E7DF324C7C05AB3E53B4744DC529B51977E8444C697F7070CECB69484AAE53083C0B8857EB3BBCFE0213056694A995DAF065C4CF6DE1BACFD342F 5AD4BEDF5C03BB4064FB9ED9DB9D94808055B976F813434DD6A6041487328F4D8B55E24091B34A1637F47ED39975A330F2A822506D0413DF72D4289B0A714E42AD9CFEBC9E127BECC74CFE BC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CA2D97226D213B5559DB7CE019D40AA5CB7EDA80F 5CECA6FA66D95C8A2D0B71884999C4A401DF789DEBE3C693FA936B1CDF64BAC671D7BB2CAEED4F385B7B483F5A00F91C5D5D9860689E7DD45D26A45280F1F63AAAD2B2049D3C86B83215BD CDCAA1FC3248FCF683F0B6A0BB7BF8C5D3B6E9FDA2FC1CED7AED384E481942AEBE15ABE2C738F58847603630707CB1FDB55CD5D88CE1E7741A9C8455F9F7E49AB37701A3952976E602565E 8B700F6B9EA215F26F58575CF1026CFD2F3341CFA560F6B79B259B9ECE9CB8A3798A62B19DD8442F90BBDE953466E22FD22EE4CC170DD89B8CD512832194AE2A2361AB8A942A9331EFBEFD A12F8ECA5B9D785995DA96A92A18DA152E62FA2450156EA3E7C17EF051A33E3F03F855B2774C721B5B816B371648392F1CBCF5C9A4C17C86B6864E0D1CA
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-4511-cabf-ea96fa7f045f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-4511-cabf-ea96fa7f045f}\InprocServer32@Class 0x65 0xA5 0x46 0x75 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-4511-cabf-ea96fa7f045f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-4511-cabf-ea96fa7f045f}\InprocServer32@
__________________
Alt 23.07.2009, 15:03   #3
Buberatze
 
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Standard

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-5b73-c02a-b922fa7f045f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-5b73-c02a-b922fa7f045f}\InprocServer32@Class 0x88 0x19 0xCF 0xD6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-5b73-c02a-b922fa7f045f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-5b73-c02a-b922fa7f045f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a6bf-e105-6c7afa7f045f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a6bf-e105-6c7afa7f045f}\InprocServer32@Class 0xA6 0x0B 0x2E 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a6bf-e105-6c7afa7f045f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a6bf-e105-6c7afa7f045f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e175-dd54-c0f6fa7f045f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e175-dd54-c0f6fa7f045f}\InprocServer32@Class 0x11 0x9B 0xD7 0x5B ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e175-dd54-c0f6fa7f045f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e175-dd54-c0f6fa7f045f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e42c-0a39-9740fa7f045f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e42c-0a39-9740fa7f045f}\InprocServer32@Class 0x47 0x1E 0x15 0x5A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e42c-0a39-9740fa7f045f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e42c-0a39-9740fa7f045f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e91a-5b10-6a52fa7f045f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e91a-5b10-6a52fa7f045f}\InprocServer32@Class 0x56 0x85 0x57 0x5D ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e91a-5b10-6a52fa7f045f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e91a-5b10-6a52fa7f045f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-efd7-c684-ee71fa7f045f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-efd7-c684-ee71fa7f045f}\InprocServer32@Class 0x43 0xD2 0x8D 0xE4 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-efd7-c684-ee71fa7f045f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-efd7-c684-ee71fa7f045f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E7C80ED1-6CF2-A24D-8EAE-8E1B089D9E74}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E7C80ED1-6CF2-A24D-8EAE-8E1B089D9E74}@iakdgnbbmomphcbkml 0x6B 0x61 0x6F 0x64 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E7C80ED1-6CF2-A24D-8EAE-8E1B089D9E74}@haidaoibofegcjdk 0x6B 0x61 0x6F 0x64 ...

---- EOF - GMER 1.0.15 ----[/B]

Und hier das Hijackthis-Protokoll:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:02, on 23.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\nHancer\nHancerService.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

w++.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=2061210
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://w++.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://w++1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL =

w++.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=2061210
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyOverride = *.local
R3 - URLSearchHook: Torrent-Search Toolbar -

{e0c7b854-d5ce-4db6-9804-be1438603d89} -

C:\Programme\Torrent-Search\tbTor1.dll (file missing)
R3 - URLSearchHook: DefaultSearchHook Class -

{C94E154B-1459-4A47-966B-4B843BEFC7DB} -

C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -

C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - (no file)
O2 - BHO: (no name) - {11908F2B-4780-4BA3-9488-48401378C05B} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} -

C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO -

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -

C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch -

{C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google

Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: CBrowserHelperObject Object -

{CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O2 - BHO: (no name) - {d3e23b4b-f153-4687-82c2-816319dd3c5a} - (no file)
O2 - BHO: Torrent-Search Toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} -

C:\Programme\Torrent-Search\tbTor1.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Torrent-Search Toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89}

- C:\Programme\Torrent-Search\tbTor1.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} -

C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched]

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media

Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA

Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Creative MediaSource Go]

"C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &

Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} -

C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} -

C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Supreme Auction - {DFE4453A-65DF-47d5-BF37-3D0FD37FBDBB} -

C:\Programme\Supreme Auction2\SupremeAuction.exe (HKCU)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software

AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage

Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software

AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} -

C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB -

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer

(AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService)

- Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. -

C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -

C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Software Updater (gusvc) - Google -

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel

Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel

32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. -

C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG -

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software

Engineering - C:\Programme\nHancer\nHancerService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA

Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. -

C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware

- d:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware -

d:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1a\RpcSandraSrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division

Software - C:\Programme\Alcohol Soft\Alcohol

52\StarWind\StarWindServiceAE.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner -

C:\WINDOWS\system32\UAService.exe

--
End of file - 10811 bytes


Auch hier ist glaube ich nicht Bedenkliches, oder? Normalerweise würde ich nach so einer Sache natürlich Format C machen, aber da meine XP-Recovery-CD verschwunden ist, geht das nicht. Könnt ihr da denn noch was Gefährliches entdecken? Was mich beunruhigt sind Folgende Dateien aus dem Gmer-Protokoll:
1.
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KfAcquireSpinLock] 000000AD
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!READ_PORT_UCHAR] 000000D4
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KeGetCurrentIrql] 000000A2
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KfRaiseIrql] 000000AF
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KfLowerIrql] 0000009C
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!HalGetInterruptVector] 000000A4
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!HalTranslateBusAddress] 00000072
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KeStallExecutionProcessor] 000000C0
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!KfReleaseSpinLock] 000000B7
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 000000FD
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!READ_PORT_USHORT] 00000093
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 00000026
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[HAL.dll!WRITE_PORT_UCHAR] 00000036
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[WMILIB.SYS!WmiSystemControl] 000000F7
IAT \SystemRoot\System32\Drivers\avl5ge99.SYS[WMILIB.SYS!WmiCompleteRequest]
Diese Datei heißt jedes Mal anders, die hieß auch schon a8xhx2l4.sys oder ac4eg1gm.sys.

2.
? spxo.sys Das System kann die angegebene Datei nicht finden. !
Diese Datei heißt auch jedes Mal anders, sie fängt aber immer mit sp an und hört mit .sys auf.

Sind das gefährliche Trojaner? Oder könnten da auch PowerISO, Nero 8 oder Alcohol52 hinter stecken? Die hab ich nämlich auch auf dem Rechner und ich habe gelesen, daß die auch Rootkit-Verhalten haben.

Twext.exe ist jedenfalls weg und der Rechner macht auch keinen Mist mehr. Z.B. warnt er mich immer, wenn ich den Virenscanner deaktiviere. Wie gesagt, Format C kann ich nicht machen? Was kann mir jetzt noch passieren, das würde ich gerne wissen? Wichtige Passwörter (Online-Banking, Ebay & Co) habe ich zur Sicherheit jedenfalls von einem anderen Rechner aus geändert und ich werde mit meinem Rechner auch keine Geldsachen mehr klären. Ist die Weiterverwendung so trotzdem noch gefährlich, obwohl der Bösewicht twext.exe weg ist? Und sind die beiden oben erwähnten sys-Dateien böse oder harmlos?

Ich würde mich über Hilfe sehr freuen, ich habe so wenig Ahnung davon und habe mich durch die ganzen Prozesse bisher alleine durchgekämpft, aber jetzt bin ich unsicher wie es weiter gehen kann. Nur Format C ist dank fehlender Recovery-CD leider unmöglich.

Für jede Hilfe bin ich sehr dankbar. Grüße Verena (Mußte das leider auf 3 Postings aufteilen, zu viele Zeichen)
__________________
Alt 24.07.2009, 12:02   #4
Buberatze
 
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Standard

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


Schade, daß mir keiner geantwortet hat. Vielleicht war das alles zu unpräzise.

Ich versuche jetzt mal, eine präzise Frage zu stellen. Ich habe jetzt nämlich sozusagen zum Abschluß noch das Programm ComboFix ausgeführt, das sehr mächtig sein soll, wie ich gelesen habe. Das Logfile poste ich hier und 2 Fragen habe ich dazu:

Frage 1: Nach dem Durchlauf waren auf meinem Laufwerk C:\ plötzlich 3 GB Speicherplatz mehr frei als vorher. Hat er da was wichtiges gelöscht?

Frage 2: Ist da noch irgend etwas Verdächtiges, weswegen ich mir Sorgen machen müsste in dem Logfile?

Vielen Dank für jede Hilfe und im nächsten Post das Logfile von ComboFix...

Alt 24.07.2009, 12:04   #5
Buberatze
 
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Standard

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


ComboFix 09-07-23.02 - Verena2 24.07.2009 12:39.1.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1534.913 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Verena2\Desktop\Bubnatz.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\AskSearch\bin\DefaultSearch.dll
c:\windows\Installer\118d39f8.msi
c:\windows\Installer\1a175cde.msi
c:\windows\Installer\2de7ee.msi
c:\windows\Installer\3200c6.msi
c:\windows\Installer\4ed98.msp
c:\windows\Installer\81ad8a.msi
c:\windows\Installer\8d2608.msp
c:\windows\system32\Data
c:\windows\system32\tmp95.tmp
c:\windows\system32\tmp96.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2009-06-24 bis 2009-07-24 ))))))))))))))))))))))))))))))
.

2009-07-23 21:33 . 2009-07-23 21:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-07-23 21:30 . 2009-07-23 21:30 -------- d-----w- C:\CleanReg3
2009-07-23 21:19 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-23 21:19 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-23 21:19 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-07-23 21:19 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-07-23 21:19 . 2009-07-23 21:19 -------- d-----w- c:\programme\Avira
2009-07-23 21:19 . 2009-07-23 21:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-07-23 10:10 . 2009-07-23 10:10 -------- d-----w- c:\programme\SanityCheck
2009-07-23 10:10 . 2009-03-07 19:23 30136 ----a-w- c:\windows\system32\drivers\rspSanity32.sys
2009-07-23 09:41 . 2009-07-23 09:44 -------- d-----w- c:\programme\RegCleaner
2009-07-22 16:10 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2009-07-22 15:12 . 2009-07-22 15:12 -------- d-----w- c:\programme\Trend Micro
2009-07-22 07:08 . 2009-07-22 07:08 -------- d-----w- c:\windows\system32\Neuer Ordner (4)
2009-07-21 21:14 . 2009-07-21 21:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-21 21:14 . 2009-07-21 21:14 -------- d-----w- c:\windows\system32\Kaspersky Lab
2009-07-21 21:03 . 2009-07-22 06:58 -------- d-----w- c:\dokumente und einstellungen\Verena2\.housecall6.6
2009-07-21 20:38 . 2009-07-21 20:38 -------- d-----w- c:\windows\system32\Neuer Ordner (3)
2009-07-21 13:30 . 2009-07-21 13:30 45056 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Fahrenheit.exe_BA10AC78E68745238B93540428FC256F.exe
2009-07-21 11:36 . 2009-07-21 11:36 -------- d-----w- c:\programme\Orca
2009-07-20 20:39 . 2009-07-20 20:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MonteCristo
2009-07-20 20:23 . 2009-07-20 20:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ScreenSeven
2009-07-20 20:23 . 2009-07-20 20:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intenium
2009-07-20 19:57 . 2009-07-20 19:57 -------- d-----w- c:\programme\Wanadoo Edition
2009-07-20 15:53 . 2009-07-20 16:00 -------- d-----w- C:\MK4
2009-07-20 12:17 . 2009-07-20 12:17 -------- d-----w- c:\programme\Rockstar Games
2009-07-20 09:37 . 2009-07-20 09:37 8854 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{121ECDB5-5DBE-498A-909D-A971C0F4A337}\UNINST_Uninstall_Pre_121ECDB55DBE498A909DA971C0F4A337.exe
2009-07-20 09:37 . 2009-07-20 09:37 53248 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{121ECDB5-5DBE-498A-909D-A971C0F4A337}\prey.exe1_121ECDB55DBE498A909DA971C0F4A337.exe
2009-07-20 09:37 . 2009-07-20 09:37 53248 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{121ECDB5-5DBE-498A-909D-A971C0F4A337}\prey.exe_121ECDB55DBE498A909DA971C0F4A337.exe
2009-07-20 09:37 . 2009-07-20 09:37 11502 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{121ECDB5-5DBE-498A-909D-A971C0F4A337}\ARPPRODUCTICON.exe
2009-07-20 09:34 . 2009-07-20 09:34 -------- d-----w- c:\programme\Human Head Studios
2009-07-18 18:53 . 2009-07-18 18:53 1721304 ----a-w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\ProtectDisc\PD080416.DLL
2009-07-18 18:39 . 2009-07-18 18:48 -------- d-----w- c:\programme\Windchaser
2009-07-18 13:07 . 2007-01-03 12:16 40960 ----a-r- c:\windows\system32\psfind.dll
2009-07-17 13:12 . 2009-07-17 13:12 -------- d-----w- C:\Lionheart
2009-07-17 10:11 . 2009-07-17 13:07 -------- d-----w- C:\Empires
2009-07-16 17:03 . 2009-07-16 17:03 8854 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{47DDD6E4-30D8-454B-B398-A147C50C6656}\Uninstall_Law_and_Or_47DDD6E430D8454BB398A147C50C6656.exe
2009-07-16 17:03 . 2009-07-16 17:03 34486 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{47DDD6E4-30D8-454B-B398-A147C50C6656}\game.exe1_331B6A03A466405A8D516DE2AC780BA1.exe
2009-07-16 17:03 . 2009-07-16 17:03 34486 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{47DDD6E4-30D8-454B-B398-A147C50C6656}\game.exe_47DDD6E430D8454BB398A147C50C6656.exe
2009-07-16 17:03 . 2009-07-16 17:03 34486 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{47DDD6E4-30D8-454B-B398-A147C50C6656}\ARPPRODUCTICON.exe
2009-07-15 19:13 . 2009-07-15 19:13 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\LucasArts
2009-07-14 20:49 . 2009-07-14 20:49 98304 ----a-w- c:\windows\system32CmdLineExt.dll
2009-07-14 18:23 . 2009-07-14 18:23 -------- d-----w- c:\windows\85EBB28365AF4C539EBE7C0A232762F7.TMP
2009-07-13 22:48 . 2009-07-13 22:55 -------- d-----w- c:\programme\ANNO 1404
2009-07-12 22:30 . 2009-07-12 22:30 -------- d-----w- c:\dokumente und einstellungen\Verena2\Deluxe Pacman
2009-07-12 22:30 . 2009-07-12 22:30 -------- d-----w- c:\programme\Deluxe Pacman
2009-07-11 16:06 . 2009-07-11 16:06 -------- d-----w- c:\dokumente und einstellungen\Verena2\Lokale Einstellungen\Anwendungsdaten\CAPCOM
2009-07-11 12:38 . 2009-07-11 12:38 2238 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{D8054DBA-9404-496B-AE92-67DB96C6243B}\icon5.exe
2009-07-10 09:09 . 2009-03-09 13:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2009-07-10 09:09 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2009-07-10 09:09 . 2009-03-09 13:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2009-07-10 09:09 . 2009-03-16 12:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-07-10 09:09 . 2009-03-16 12:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2009-07-10 09:09 . 2009-03-16 12:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2009-07-10 09:09 . 2009-03-16 12:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2009-07-09 14:17 . 2009-07-09 14:17 -------- d-----w- c:\programme\Lavalys
2009-07-09 14:08 . 2009-07-09 14:08 -------- d-----w- c:\programme\HD Tune
2009-07-02 13:04 . 2009-07-02 13:05 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Braid
2009-06-27 16:09 . 2009-06-27 16:10 -------- d-----w- C:\ALBION

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 08:35 . 2007-07-03 11:47 -------- d-----w- c:\programme\Steam
2009-07-23 22:05 . 2007-01-01 20:05 -------- d-----w- c:\programme\Warcraft III
2009-07-22 15:34 . 2008-10-13 08:54 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-21 19:17 . 2007-08-13 12:10 -------- d-----w- c:\programme\DOSBox-0.71
2009-07-21 19:16 . 2006-12-10 12:41 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-21 13:30 . 2008-05-01 20:57 8854 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Uninstall_Fahrenheit_8C2B6FBDC8D14FA595F7B3231B7D8CBC.exe
2009-07-21 13:30 . 2008-05-01 20:57 10134 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\ARPPRODUCTICON.exe
2009-07-21 13:03 . 2008-05-01 20:57 4286 ----a-r- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Fahrenheit.exe_B11493A1D18C4B5FAD8D53D777C9C16A.exe
2009-07-21 11:12 . 2007-01-05 16:18 -------- d-----w- c:\programme\No23 Recorder
2009-07-20 08:35 . 2007-01-29 12:21 -------- d-----w- c:\programme\Nero
2009-07-20 08:34 . 2007-09-20 17:36 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Template
2009-07-20 08:22 . 2006-12-10 12:44 -------- d-----w- c:\programme\Corel
2009-07-20 08:22 . 2006-12-10 12:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Corel
2009-07-20 08:22 . 2007-01-03 08:23 -------- d-----w- c:\programme\EA GAMES
2009-07-20 08:18 . 2007-05-21 08:52 -------- d-----w- c:\programme\audiograbber
2009-07-20 08:17 . 2008-05-04 12:26 -------- d-----w- c:\programme\Atari
2009-07-19 22:16 . 2008-05-20 09:44 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2009-07-19 17:41 . 2007-10-28 09:36 -------- d-----w- c:\programme\VP3 Codec
2009-07-18 18:53 . 2008-07-04 22:06 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\ProtectDisc
2009-07-18 16:58 . 2009-03-09 11:36 -------- d-----w- c:\programme\Supreme Auction2
2009-07-18 16:11 . 2007-01-02 22:39 -------- d-----w- c:\programme\Ja2
2009-07-18 15:50 . 2007-09-17 09:49 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2009-07-18 15:50 . 2006-12-10 12:23 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2009-07-18 12:37 . 2007-09-30 09:19 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-18 12:37 . 2008-04-05 11:06 -------- d-----w- c:\programme\AGEIA Technologies
2009-07-17 11:48 . 2008-12-14 22:37 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Bioshock
2009-07-16 23:05 . 2006-12-28 22:50 72456 ----a-w- c:\dokumente und einstellungen\Verena2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-13 18:41 . 2008-11-22 00:42 2272 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-13 13:17 . 2006-12-30 17:15 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\uTorrent
2009-07-13 11:36 . 2008-10-13 08:54 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-13 11:36 . 2008-10-13 08:54 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-12 12:25 . 2008-11-22 23:24 24754 ----a-w- c:\windows\system32\ealregsnapshot1.reg
2009-07-11 09:49 . 2008-07-23 13:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soulseek
2009-07-10 11:18 . 2008-07-04 22:07 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\The Games Company
2009-07-10 09:10 . 2008-10-10 09:44 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Ubisoft
2009-07-10 09:09 . 2007-01-12 09:27 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-07-10 09:09 . 2007-01-12 09:27 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-07-06 18:46 . 2006-12-31 13:13 5642 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-07-06 18:46 . 2007-09-05 21:13 88 --sh--r- c:\windows\system32\1524C9D7DF.sys
2009-06-16 14:36 . 2004-08-18 13:05 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2004-08-18 13:05 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-07 20:03 . 2009-06-14 09:14 512000 ----a-w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Mozilla\Firefox\Profiles\m9izur39.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2009-06-07 20:02 . 2009-06-14 09:14 577536 ----a-w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Mozilla\Firefox\Profiles\m9izur39.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2009-06-03 19:09 . 2004-08-18 13:05 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-06-03 10:59 . 2009-01-04 19:35 -------- d-----w- c:\programme\Free FLV Converter
2009-05-25 20:14 . 2009-05-25 20:14 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\vlc
2009-05-25 19:22 . 2009-05-25 19:22 -------- d-----w- c:\programme\VideoLAN
2009-05-25 19:20 . 2009-05-25 19:19 -------- d-----w- c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Creative
2009-05-07 15:32 . 2004-08-18 13:05 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-02 14:18 . 2009-05-02 14:18 198499 ----a-w- c:\windows\Bussi Bär Frühling - Demoversion Uninstaller.exe
2009-04-29 04:33 . 2004-08-18 13:05 672256 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:33 . 2004-08-18 13:05 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-04-25 21:49 . 2007-01-02 22:42 4 ----a-w- C:\timestmp.tmp
2004-07-22 09:51 . 2004-07-22 09:51 3432656 ----a-w- c:\programme\ManagedDX.CAB
2004-07-19 21:58 . 2004-07-19 21:58 1156363 ----a-w- c:\programme\BDANT.cab
2004-07-19 21:53 . 2004-07-19 21:53 976020 ----a-w- c:\programme\BDAXP.cab
2004-07-09 13:17 . 2004-07-09 13:17 13265040 ----a-w- c:\programme\dxnt.cab
2004-07-09 08:13 . 2004-07-09 08:13 15493481 ----a-w- c:\programme\DirectX.cab
2004-07-09 08:13 . 2004-07-09 08:13 703080 ----a-w- c:\programme\BDA.cab
2004-07-09 03:08 . 2004-07-09 03:08 472576 ----a-w- c:\programme\dxsetup.exe
2004-07-09 03:08 . 2004-07-09 03:08 2242560 ----a-w- c:\programme\dsetup32.dll
2004-07-09 02:03 . 2004-07-09 02:03 62976 ----a-w- c:\programme\DSETUP.dll
2009-07-22 16:16 . 2008-06-24 12:33 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2007-10-12 17:01 . 2006-12-31 13:13 88 --sh--r- c:\windows\system32\EE8415FE47.sys
2006-05-03 09:06 . 2009-01-01 15:50 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-01-01 15:50 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-01-01 15:50 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 09:32 279944 ----a-w- c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\Steam\Steam.exe" [2009-06-13 1217784]
"NVIDIA nTune"="c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 81920]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Creative MediaSource Go"="c:\programme\Creative\MediaSource5\Go\CTCMSGoU.exe" [2005-12-12 143360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 1415824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"DMXLauncher"="c:\programme\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-18 185896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\i:\0autocheck autochk *\0lsdelete\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dell Network Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Dell Network Assistant.lnk
backup=c:\windows\pss\Dell Network Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Privoxy.lnk
backup=c:\windows\pss\Privoxy.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Verena2^Startmenü^Programme^Autostart^Lanceur Pointsoft.lnk]
path=c:\dokumente und einstellungen\Verena2\Startmenü\Programme\Autostart\Lanceur Pointsoft.lnk
backup=c:\windows\pss\Lanceur Pointsoft.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Verena2^Startmenü^Programme^Autostart^PowerReg Scheduler.exe]
path=c:\dokumente und einstellungen\Verena2\Startmenü\Programme\Autostart\PowerReg Scheduler.exe
backup=c:\windows\pss\PowerReg Scheduler.exeStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Verena2^Startmenü^Programme^Autostart^Registration DIE SIEDLER - Das Erbe der Könige.LNK]
path=c:\dokumente und einstellungen\Verena2\Startmenü\Programme\Autostart\Registration DIE SIEDLER - Das Erbe der Könige.LNK
backup=c:\windows\pss\Registration DIE SIEDLER - Das Erbe der Könige.LNKStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Verena2^Startmenü^Programme^Autostart^RollerCoaster Tycoon 3 Registration.lnk]
path=c:\dokumente und einstellungen\Verena2\Startmenü\Programme\Autostart\RollerCoaster Tycoon 3 Registration.lnk
backup=c:\windows\pss\RollerCoaster Tycoon 3 Registration.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Creative Labs Licensing Service"=2 (0x2)

zu lang, Rest in nächsten Post


Alt 24.07.2009, 12:06   #6
Buberatze
 
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Standard

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Dell Network Assistant\\ezi_hnm2.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\EA GAMES\\MOHAA\\MOHAA.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Microsoft Games\\Rise of Nations\\rise.exe"=
"c:\\Programme\\Java\\jre1.5.0_06\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=
"c:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe"=
"c:\\Programme\\ANNO 1404\\tools\\Anno4Web.exe"=
"c:\\Programme\\Steam\\SteamApps\\common\\the secret of monkey island special edition\\MISE.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"c:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"d:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP1a\\Win32\\RpcDataSrv.exe"=
"d:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP1a\\RpcSandraSrv.exe"=
"c:\\Programme\\Microsoft Games\\Viva Pinata\\Viva Pinata.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10421:UDP"= 10421:UDP:*isabled:SingleClick Discovery Protocol
"10426:UDP"= 10426:UDP:*isabled:SingleClick ICC

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 14:46 63352]
R1 SSHDRV5C;SSHDRV5C;c:\windows\system32\drivers\SSHDRV5C.sys [29.11.2007 22:51 34816]
R1 SSHDRV62;SSHDRV62;c:\windows\system32\drivers\SSHDRV62.sys [03.02.2007 11:42 108032]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [10.04.2008 11:11 53760]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [11.12.2007 11:48 76800]
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [08.12.2007 18:46 99840]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [24.07.2007 09:45 328824]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [30.07.2008 07:51 277736]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [11.07.2007 10:20 201848]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.07.2009 23:19 108289]
R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;c:\windows\system32\drivers\hnm_wrls_pkt.sys [14.07.2006 03:01 13824]
R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [08.02.2009 23:16 2368]
R2 wsppkt;Wireless Security Protocol;c:\windows\system32\drivers\wsp_pkt.sys [14.07.2006 03:02 13696]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [03.02.2007 12:30 16512]
S3 oflpydin;oflpydin;\??\c:\dokume~1\Verena2\LOKALE~1\Temp\oflpydin.sys --> c:\dokume~1\Verena2\LOKALE~1\Temp\oflpydin.sys [?]
S3 rspSanity;rspSanity;c:\windows\system32\drivers\rspSanity32.sys [23.07.2009 12:10 30136]
S3 zlportio;zlportio;\??\h:\ultrastarneu\zlportio.sys --> h:\ultrastarneu\zlportio.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-07-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{11908F2B-4780-4BA3-9488-48401378C05B} - (no file)
BHO-{d3e23b4b-f153-4687-82c2-816319dd3c5a} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://***.google.de/
mStart Page = hxxp://***1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://***.google.com/search?q=%s
FF - ProfilePath - c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Mozilla\Firefox\Profiles\m9izur39.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - ***.google.de
FF - prefs.js: keyword.URL - ****://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
FF - prefs.js: network.proxy.type - 1
FF - component: c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Mozilla\Firefox\Profiles\m9izur39.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - plugin: c:\dokumente und einstellungen\Verena2\Anwendungsdaten\Mozilla\Firefox\Profiles\m9izur39.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll

---- FIREFOX Richtlinien ----
FF - user.js: dom.disable_open_during_load - false // Popupblocker control handled by McAfee Privacy Service
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-24 12:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3071014378-1872978290-1744941193-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-3071014378-1872978290-1744941193-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E7C80ED1-6CF2-A24D-8EAE-8E1B089D9E74}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iakdgnbbmomphcbkml"=hex:6b,61,6f,64,6e,6d,64,6b,65,67,6a,64,6b,65,6b,63,6a,64,
6e,6a,70,66,00,00
"haidaoibofegcjdk"=hex:6b,61,6f,64,6e,6d,64,6b,65,67,6a,64,6b,65,6b,63,6a,64,
6e,6a,70,66,00,00

[HKEY_USERS\S-1-5-21-3071014378-1872978290-1744941193-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:4e,80,19,06,0e,85,8e,54,c2,fd,a1,1a,43,cc,a5,e5,10,37,13,4d,9e,00,08,
9c,a5,19,0c,84,f9,e0,1d,02,38,10,ad,d7,11,d9,1d,59,eb,0f,3e,46,d8,49,fb,76,\
"??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b

[HKEY_USERS\S-1-5-21-3071014378-1872978290-1744941193-1006\Software\SecuROM\License information*]
"datasecu"=hex:cc,06,9a,42,59,f6,ed,68,17,3d,b7,4e,c6,aa,84,60,41,87,28,02,65,
33,07,b2,36,87,94,1b,6e,fe,01,a1,c6,26,24,b8,07,79,22,9a,64,09,81,a5,eb,34,\
"rkeysecu"=hex:f0,11,01,29,fb,14,cb,91,ad,7a,60,b9,c0,ea,5f,14

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-4511-cabf-ea96fa7f045f}\InprocServer32*]
"Class"=hex:65,a5,46,75,fa,29,3c,9f,f1,aa,c8,0f,ed,b8,43,ae,42,d5,5d,39,f1,51,
b8,41,77,4a,8d,a1,81,dd,ae,05,87,5a,b6,3c,12,2e,29,ac,2c,68,08,e7,06,f6,55,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-5b73-c02a-b922fa7f045f}\InprocServer32*]
"Class"=hex:88,19,cf,d6,d7,9f,1b,33,28,54,90,a1,f5,30,4b,8f,a7,07,f4,78,fe,c6,
4d,92,ba,b4,99,85,e4,79,88,16,1f,1c,c8,48,00,dd,33,6b,ef,78,a4,a5,ea,b3,b4,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-a6bf-e105-6c7afa7f045f}\InprocServer32*]
"Class"=hex:a6,0b,2e,e0,97,e8,39,c5,31,24,0b,7a,8c,7b,29,8a,17,da,31,51,05,18,

f4,8e,c5,ba,2f,6e,6d,6c,d1,cf,ed,73,e6,de,f2,c4,3c,fe,c8,23,42,4a,df,60,c5,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-e175-dd54-c0f6fa7f045f}\InprocServer32*]
"Class"=hex:11,9b,d7,5b,5a,41,e3,ef,f5,50,9b,ec,10,5f,ea,17,08,ae,2e,72,88,19,
14,85,2e,56,2c,ae,4f,8a,b7,fc,20,1d,28,69,b1,ba,8c,e4,26,06,3e,dd,fb,2b,f8,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-e42c-0a39-9740fa7f045f}\InprocServer32*]
"Class"=hex:47,1e,15,5a,1d,f5,8d,3a,e2,84,78,fd,9b,75,dc,a1,25,56,99,32,46,06,
ef,aa,ee,9d,b2,d0,65,13,02,5c,b1,8a,40,fe,8c,ce,e4,7e,45,35,bf,22,1d,27,dd,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-e91a-5b10-6a52fa7f045f}\InprocServer32*]
"Class"=hex:56,85,57,5d,d3,55,6c,67,8e,4c,7a,75,0f,04,35,16,f9,15,0a,69,5c,2c,
a2,8a,30,88,45,77,d3,a8,66,59,f7,d7,41,f9,be,48,f4,f4,95,38,19,77,7e,ce,85,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-efd7-c684-ee71fa7f045f}\InprocServer32*]
"Class"=hex:43,d2,8d,e4,e1,59,70,c4,0b,d6,04,a7,a4,53,3e,2a,2e,ab,ed,ce,a5,92,
6b,66,12,f4,3d,51,0e,08,40,b7,b2,ce,3c,1b,90,59,8b,c5,f4,d6,bb,96,ec,72,dd,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="5D53B2DAAA5026846CEFA25A650890329E7DF324C7C05AB3E53B4744DC529B51977E8444C697F7070CECB69484AAE53083C0B8857EB3BBCFE021 3056694A995DAF065C4CF6DE1BACFD342F5AD4BEDF5C03BB4064FB9ED9DB9D94808055B976F813434DD6A6041487328F4D8B55E24091B34A1637F47ED39975A330F2A822506D0413DF72D4 289B0A714E42AD9CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CA2D972 26D213B5559DB7CE019D40AA5CB7EDA80F5CECA6FA66D95C8A2D0B71884999C4A401DF789DEBE3C693FA936B1CDF64BAC671D7BB2CAEED4F385B7B483F5A00F91C5D5D9860689E7DD45D26 A45280F1F63AAAD2B2049D3C86B83215BDCDCAA1FC3248FCF683F0B6A0BB7BF8C5D3B6E9FDA2FC1CED7AED384E481942AEBE15ABE2C738F58847603630707CB1FDB55CD5D88CE1E7741A9C 8455F9F7E49AB37701A3952976E602565E8B700F6B9EA215F26F58575CF1026CFD2F3341CFA560F6B79B259B9ECE9CB8A3798A62B19DD8442F90BBDE953466E22FD22EE4CC170DD89B8CD5 12832194AE2A2361AB8A942A9331EFBEFDA12F8ECA5B9D785995DA96A92A18DA152E62FA2450156EA3E7C17EF051A33E3F03F855B2774C721B5B816B371648392F1CBCF5C9A4C17C86B686 4E0D1CA46B2F314E296BAC83D428C1BE9116C68A4DF03EFABC936BFD2B95D369A85C51D2C9DE180B0F8BD94BA603E1E9219DD52DC66DF8101EB91B83EF151114301965EFB4E516351DEE0F 8D4732467FC5671266A4BCA68FFAB8DF6F90CE35549ABF81A256DC7D70FEB0929BE6C0F020C0D2FDCCC1FA133349CF9844A98D791DB19182F43062170BF2365EA78DBCD28DE48350DEC7C6 7FD6120359652B238D82D59478D518151CF04E221F4813B8D6311BE1F2FBB3C3A1FCF09BE91D59E39040F690A818369EBC377662367A26CB589760178568D91BA1491AA54698C9A89AB21C 92097086A69A14E7A2391DC81126EEC493594BE0769C0450709BEA6B4DB6DC606D497A5BD9CEE13155727350A6858CEB0A75B3C387A41C6E11CF877BB3DF637035C835D7EB64A076325F25 E62FAEE70E7114905080BCA1DFDFF9C80F400A9190C21B81F59157F0EE30B1BC09D0CB9BF884A4B62A98E0C8A87664EA8DDA1BD415340A2701049D1DE390CDAA8937FEE90BC3C8DEC80D7B EA5BB81091B1F06D3F696A12CE1C021D8DB654CDC18E905BB539F158A3751DEE05A248B03F0E724E050C0A6289B94CB0D15BC2FEB9128F69860C155B07CE8B0F393C0EAB6083D400828DFB 61C72529A89CD5E3E32FE0EAA4081F7914EC492026C978361F404B8FB8B417EDA56078E1C645C486B09E1C5DFC0BA4AEF09E2A28F021BDB05891F0A0A13D60D1FD8D"
.
Zeit der Fertigstellung: 2009-07-24 12:46
ComboFix-quarantined-files.txt 2009-07-24 10:46

Vor Suchlauf: 2.212.032.512 Bytes frei
Nach Suchlauf: 5.947.543.552 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

Current=4 Default=4 Failed=1 LastKnownGood=5 Sets=1,2,3,4,5
369 --- E O F --- 2009-07-15 12:14

Alt 25.07.2009, 23:17   #7
Buberatze
 
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Standard

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


Schade, daß keiner antwortet.

Nun denn, hier noch mal alles in Kurzform und eine Frage zum Schluß.

Ich hatte einen Zbot-Rootkit (twext.exe) auf meinem Rechner, mit Hilfe von AVG Anti-Rootkit, Anti-Malware, ComboFix und GMER konnte ich aber Vieles entfernen, alle diese Programme finden nichts mehr.

Außerdem habe ich von einem sauberen Rechner aus alle Paßwörter geändert und meine Kreditkarte sperren lassen. Ich kann leider kein Format C machen, da ich meine Recovery-CD verbummelt habe und muß daher leider so mit diesem unsicheren Rechner weiter machen.

Die Frage lautet nun: wenn ich weiter mit diesem Rechner im Internet bin, darüber allerdings weder Online-Banking noch Amazon, Ebay usw. mache, kann mir dann dennoch etwas passieren? Und wenn ja, was? Ist diese Gefahr derart groß, daß sich die Investition in ein neues Windows XP lohnen würde? Ich bitte um Antwort, da ich einfach nicht weiß, ob und wenn ja was mir passieren kann, wenn ich diesen Rechner weiter verwende. Ach so, und greift diese twext.exe auch meinen Rooter an, könnte sie sich darauf vielleicht immer noch verstecken?

Ich bin für jede Hilfe sehr dankbar.

Alt 26.07.2009, 00:12   #8
john.doe
 
twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Standard

twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


Hallo und
Zitat:
Auch hier ist glaube ich nicht Bedenkliches, oder?
Das HJT-Log lässt sich nicht auswerten, da Unmengen von Zeilenumbrüchen das verhindern. Wie hätten allerdings sowieso lieber die RSIT-Logs.
Zitat:
Sind das gefährliche Trojaner?
Ja, beides Rootkits, allerdings hast du sie dir selbst installiert. Die gehören zu den Daemon-Tools oder auch Alcohol und anderen Programmen.
Zitat:
Was kann mir jetzt noch passieren, das würde ich gerne wissen?
Wie lange hattest du das auf deinem Rechner?
Zitat:
Ist die Weiterverwendung so trotzdem noch gefährlich, obwohl der Bösewicht twext.exe weg ist?
Wenn alle Schädlinge weg sind, dann ist es wieder sicher, wobei die Betonung auf wenn liegt.
Zitat:
Und sind die beiden oben erwähnten sys-Dateien böse oder harmlos?
Eher das zweite.
Zitat:
Ich habe jetzt nämlich sozusagen zum Abschluß noch das Programm ComboFix ausgeführt
Riesenfehler, da steht eindeutig, dass das Programm nur auf Anweisung eingesetzt werden soll. Meine Meinung: Wer es selbst einsetzt, soll das Log gefälligst auch selbst auswerten.
Zitat:
und 2 Fragen habe ich dazu:
Zwei? Kann ich nicht zählen?
Zitat:
Hat er da was wichtiges gelöscht?
Die Asktoolbar, Reste vom Zbot und einige Installfiles, nichts wichtiges.
Zitat:
Ist da noch irgend etwas Verdächtiges, weswegen ich mir Sorgen machen müsste in dem Logfile?
Ja.
Lies die Userbewertungen => SVKP.sys Windows Prozess - Was ist das?
Das ist ganz sicher ein Schädling => oflpydin.sys
Bei den gesperrten Registrierungsschlüssel ist auch einiges im Argen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?
.dll, anti-malware, antispyware, avg, backdoor.bot, control, dateien, disabled.securitycenter, einstellungen, explorer, folge, hijack.controlpanelstyle, hijack.securitycenter, malware.trace, malwarebytes, malwarebytes' anti-malware, microsoft, plötzlich, programm, programme, registrierungsschlüssel, software, spybot, spyware.zbot, system, system32, trojan.bho, trojan.fakealert, trojaner, twext.exe, winlogon, zbot-trojaner


« Build.exe, Build2.exe --> Virus? | Antivir findet TR/Crypt.ULPM.Gen »


Ähnliche Themen: twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?


  1. Windows 8.1, email von dhl mit Sendungsnummer angeklickt, hat sich jetzt ein Trojaner auf meinem PC versteckt?
    Plagegeister aller Art und deren Bekämpfung - 15.03.2015 (31)
  2. Nation Zoom zuerst jetzt hab ich mehrere Trojaner Viren USW auf meinem pc
    Plagegeister aller Art und deren Bekämpfung - 28.03.2014 (8)
  3. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  4. Trojan zbot auf meinem Laptop
    Plagegeister aller Art und deren Bekämpfung - 08.01.2013 (3)
  5. Trojaner TR/PSW.Zbot.605 gelöscht. Jetzt alles sauber?
    Log-Analyse und Auswertung - 19.02.2012 (1)
  6. Win32/Zbot -jetzt endgültig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 18.12.2011 (13)
  7. TR/Kazy.mekml.1 - jetzt auch auf meinem Rechner! :(
    Log-Analyse und Auswertung - 20.05.2011 (2)
  8. Antimalware Doctor auf meinem PC; Forumsanleitung befolgt, jetzt k?
    Log-Analyse und Auswertung - 02.09.2010 (7)
  9. C:\Windows\system32\twext.exe TR/Spy.ZBot.dp.6 Trojan gefunden
    Log-Analyse und Auswertung - 29.09.2009 (2)
  10. twext.exe trojaner?
    Plagegeister aller Art und deren Bekämpfung - 01.08.2009 (2)
  11. Trojaner.DropperGen; twext.exe
    Log-Analyse und Auswertung - 16.05.2009 (12)
  12. dropper.gen in twext.exe
    Plagegeister aller Art und deren Bekämpfung - 14.05.2009 (0)
  13. 3 tw. unbekannte Trojaner TR/Spy.ZBot.hkp.2, TR/Dropper.Gen und TR/Spy.ZBot.hss
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  14. Jetzt hab ich mich per Bootmanagereinstellungen aus meinem eigenen PC ausgeschlossen
    Alles rund um Windows - 28.06.2006 (9)
  15. Norton sagt Trojaner auf Compi - VirusScan findet aber nix
    Plagegeister aller Art und deren Bekämpfung - 20.11.2005 (2)
  16. Virus/Trojaner? Setsames Compi verhalten!!!
    Mülltonne - 15.10.2005 (0)
  17. habe trojaner auf meinem compi
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? - Hallo, ich bin mit Trojanern und Co leider nicht besonders bewandert und war erst mal ziemlich überfordert, als plötzlich der Tea Timer von meinem Spybot sagte, daß eine twext.exe sich - twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?...
Archiv
Du betrachtest: twext.exe zbot-Trojaner war auf meinem Compi - und jetzt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131