Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 06.02.2010, 13:02   #1
frankcastle
 
TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen - Unglücklich

TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen



Vorvorgestern Abend bin ich, wie sonst auch, per Firefox im cinefacts.de Forum unterwegs gewesen. Plötzlich kam beim Anklicken eines Threads eine Skript-Fehlermeldung und kurz darauf eine weitere Fehlermeldung bzgl. einer exe (ich glaube es war die vom Adobe Reader).
Danach kam eine Sicherheitswarnung vom Windows Sicherheitscenter, dass die Firewall deaktiviert ist und Antivir hat mit folgender Meldung angeschlagen:

In der Datei 'C:\WINDOWS\system32\sdra64.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Das Forum auf cinefacts.de war kurz darauf auch nicht erreichbar... Grund: "kurzzeitige Wartungsarbeiten"
Wie ich vorgestern gelesen habe, wurde cinefacts offensichtlich gehackt und viele andere bekamen auch Viren/Trojaner Meldungen. Allerdings konnte deren Virenscanner wohl die Gefahr abwenden.
Aktuell scheint es wohl allgemein eine sehr starke Trojaner/Malware-Welle im Internet zu geben...


Im Infobereich von der Taskleiste wurde auch kurz das Java Icon angezeigt.

Ich habe dann mal noch eine Rootkit-Suche bzw. einen Scan auf der Systempartition in Antivir angeworfen. Nachfolgend das Ergebnis:

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\
27b66ba2-742e9b13
[FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.AB.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcbc2f4.qua' verschoben!
C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\
1ee052b1-3f2a2f47
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcec322.qua' verschoben!
C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Thunderbird\Profiles\booupcrm.default\Cache\
722208D4d01
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9bc2ef.qua' verschoben!
C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Thunderbird\Profiles\booupcrm.default\Cache\
72221D80d01
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48118b00.qua' verschoben!
C:\WINDOWS\system32\
sdra64.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bdbc321.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 3. Februar 2010 19:38
Benötigte Zeit: 21:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6053 Verzeichnisse wurden überprüft
137759 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
39 Dateien konnten nicht durchsucht werden
137715 Dateien ohne Befall
1088 Archive wurden durchsucht
62 Warnungen
239 Hinweise
677144 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



Nach einem manuellen Neustart des Rechners wurde direkt in einer Dos-Box wieder die verseuchte Datei aufgerufen (C:\WINDOWS\system32\sdra64.exe) und Antivir brachte wieder die folgende Meldung:

In der Datei 'C:\WINDOWS\system32\sdra64.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Ein Spybot Suchlauf brachte folgenden Fund mit 3 Einträgen, die aber von Spybot bereinigt werden konnten:
Win32.ZBot

Danach habe ich das LAN-Kabel gezogen und Spybot + Antivir deaktiviert, um GMER durchlaufen zu lassen. Folgendes Ergebnis kam dabei heraus:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-03 21:21:07
Windows 5.1.2600 Service Pack 3
Running: e13snq4g.exe; Driver: C:\DOKUME~1\XYZ\LOKALE~1\Temp\kwlyrkow.sys


---- System - GMER 1.0.15 ----

SSDT BA792E56 ZwCreateKey
SSDT BA792E4C ZwCreateThread
SSDT BA792E5B ZwDeleteKey
SSDT BA792E65 ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92]
SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20]
SSDT BA792E6A ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xB9ECE090]
SSDT BA792E38 ZwOpenProcess
SSDT BA792E3D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xB9ED3EF8]
SSDT sptd.sys ZwQueryValueKey [0xB9ED3D78]
SSDT BA792E74 ZwReplaceKey
SSDT BA792E6F ZwRestoreKey
SSDT BA792E60 ZwSetValueKey
SSDT BA792E47 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.sfrelocÿÿÿÿsfsync04unknown last section [0xB9E74000, 0xBC6, 0x40000040] C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB9E74000, 0xBC6, 0x40000040]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB96E7000, 0x187662, 0xE8000020]
.text USBPORT.SYS!DllUnload B96738AC 5 Bytes JMP 8A8A41C8
? System32\Drivers\a42y7xxi.SYS Das System kann den angegebenen Pfad nicht finden. !
.text C:\WINDOWS\system32\drivers\ACEDRV05.sys section is writeable [0xAA66B000, 0x30A4A, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV05.sys entry point in ".pklstb" section [0xAA6AD000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV05.sys unknown last section [0xAA6C8000, 0x8E, 0x42000040]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAA24A300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA440300, 0x1B7E, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9ECEAB4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9ECEBFA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9ECEB7C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9ECF728] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9ECF5FE] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8AB4D1E8
Device \Driver\usbuhci \Device\USBPDO-0 8A8A31E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AADC1E8
Device \Driver\dmio \Device\DmControl\DmConfig 8AADC1E8
Device \Driver\dmio \Device\DmControl\DmPnP 8AADC1E8
Device \Driver\dmio \Device\DmControl\DmInfo 8AADC1E8
Device \Driver\usbehci \Device\USBPDO-1 8A8761E8
Device \Driver\usbuhci \Device\USBPDO-2 8A8A31E8
Device \Driver\usbuhci \Device\USBPDO-3 8A8A31E8
Device \Driver\usbuhci \Device\USBPDO-4 8A8A31E8
Device \Driver\prodrv06 \Device\ProDrv06 E20DCC30
Device \Driver\Ftdisk \Device\HarddiskVolume1 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\NetBT \Device\NetBT_Tcpip_{86D01B22-18A3-446A-BD9F-85E08A12AED5} 8A72D1E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 8A86A1E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom1 8A86A1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Ftdisk \Device\HarddiskVolume4 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume5 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume6 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume6 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\prohlp02 \Device\ProHlp02 E10179A0
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A72D1E8
Device \Driver\usbhub \Device\00000083 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000084 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\NetBT \Device\NetbiosSmb 8A72D1E8
Device \Driver\usbhub \Device\00000085 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000086 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000087 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\PCI_NTPNP5262 \Device\0000005b sptd.sys
Device \Driver\usbhub \Device\00000088 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-0 8A8A31E8
Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-1 8A8A31E8
Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-2 8A8A31E8
Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A7B8498
Device \Driver\usbuhci \Device\USBFDO-3 8A8A31E8
Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A7B8498
Device \Driver\usbehci \Device\USBFDO-4 8A8761E8
Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\Ftdisk \Device\FtControl 8AB4F1E8
Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1 8A70A980
Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1Port4Path0Target0Lun0 8A70A980
Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Cdfs \Cdfs 8A75B868

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x1B 0xD9 0xC7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x1B 0xD9 0xC7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xAB 0xC6 0xEF 0x63 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -999670597
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 258116861
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x34 0x7C 0x1F 0x5C ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x34 0x7C 0x1F 0x5C ...

---- EOF - GMER 1.0.15 ----






Nach einem anschließenden Neustart konnte ein weiterer Suchlauf von Spybot keine Probleme mehr feststellen. Da dachte ich zuerst, dass Spybot den Fiesling beseitigen konnte, denn auch ein weiterer Suchlauf von Antivir konnte nichts mehr finden.




Vorgestern folgte dann leider wieder die Ernüchterung. Nach dem Hochfahren des Rechners begrüßte mich Antivir wieder mit folgender Meldung:

In der Datei 'C:\WINDOWS\system32\sdra64.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Ein anschließender Komplettscan der Systempartition meldete, dass alles in Ordnung sei.

Der Scan von Spybot brachte dann wieder den Win32.ZBot zum Vorschein - dieses Mal allerdings mit 5 Einträgen, von denen einer nicht gefixt werden konnte.
Spybot hat dann vorgeschlagen den Rechner neuzustarten damit es das Problem direkt dann nach dem Windows Logon beheben könne. Gesagt getan... der Scan von Spybot dauerte dann ewig und er stellte dann den Win32.ZBot in der Datei C:\WINDOWS\system32\sdra64.exe fest. Danach lief der Scan grad wieder von vorne los... Spybot macht mir da nicht wirklich einen ausgereiften Eindruck.

So langsam frage ich mich, ob die Kombo Antivir + Spybot wirklich nichts taugt oder woran das sonst liegt. Die Kombo wird ja nicht gerade von wenigen Usern eingesetzt...

Gestern hatte ich dann den Rechner gar nicht an.

Heute habe ich Spybot nochmal suchen lassen und dieses Mal wurde nichts mehr gefunden.

Ein Komplettscan von Antivir (dieses Mal über alle Partitionen) brachte folgende Meldung:

Die Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.

Danach habe ich einen erneuten Scan über die Systempartition gestartet, bei dem nichts mehr gefunden wurde.

Jetzt frage ich mich, ob der Virus/Trojaner jetzt komplett vernichtet wurde und ob das jetzt ein Rootkit war bzw. ob der Übeltäter etwas beschädigt hat?


Ich denke mal es wird am besten sein, wenn ich die Files in der Quarantäne von Antivir komplett lösche oder?

Beim Googeln bzgl. dieser Problematik habe ich gelesen, dass man die gefundenen Viren/Trojaner vom Virenscanner auf keinen Fall löschen lassen soll. Kennt hierfür jemand zufällig den Grund bzw. könnte sich das erklären?

Vorab schonmal vielen Dank, dass ihr euch überhaupt Zeit nehmt und meinen langen Text lest.

Alt 08.02.2010, 13:26   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen - Standard

TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 14.02.2010, 15:59   #3
frankcastle
 
TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen - Standard

TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen



Nachdem ich mich (mit freundlicher Unterstützung) an die Analyse der Infektion herangemacht und einiges zum Thema Viren/Trojaner gelesen habe, hier mal der aktuelle Stand:

Das damalige DDS-Log und OTL-Log habe ich mal als txt-Files hochgeladen:
http://www.file-upload.net/download-2259296/dds.txt.html
http://www.file-upload.net/download-2259300/otl1.txt.html
http://www.file-upload.net/download-2259304/otl2.txt.html

Am 06.02. hatte ich weitere Meldungen von AntiVir:
Um 14:39 Uhr:
In der Datei 'C:\WINDOWS\system32\userinit.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Obitel.13312A' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Um 15:35 Uhr:
In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Und um 16:38 Uhr nochmal:
In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Nachfolgend das Ergebnis des Secunia-Scans (bzgl. Sicherheitslücken durch "abgelaufene Software-Versionen):
http://s2.imgimg.de/uploads/SecuniaLogeabe2fa6JPG.jpg

Vor dem Scan hatte ich schon Java auf die Version 17 aktualisiert. Zum Zeitpunkt der Infektion war noch Update 11 installiert.

Übersicht über die in Firefox installierten Plug-Ins:
http://www.file-upload.net/download-2259314/plugins.txt.html

Im Laufe des Tages (06.02.) hat der Trojaner, in dem Verzeichnis für die Systemwiederherstellung, sechs mal über den Tag verteilt folgende Meldung im AntiVir Ereignis-Log verursacht:

In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Hier das Virustotal Ergebnis des eigentlichen Schädlings:

Datei sdra64.exe empfangen 2010.02.07 12:41:35 (UTC)
Status: Beendet
Ergebnis: 12/40 (30%)


Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.50 2010.02.07 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.06 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.07 PSW.Generic7.BHIC
BitDefender 7.2 2010.02.07 Trojan.Spy.Zbot.ELU
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3851 2010.02.07 -
DrWeb 5.0.1.12222 2010.02.07 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.06 -
F-Secure 9.0.15370.0 2010.02.07 Trojan.Spy.Zbot.ELU
Fortinet 4.0.14.0 2010.02.07 -
GData 19 2010.02.07 Trojan.Spy.Zbot.ELU
Ikarus T3.1.1.80.0 2010.02.07 -
Jiangmin 13.0.900 2010.02.07 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.07 Trojan-Spy.Win32.Zbot.aecv
McAfee 5884 2010.02.06 -
McAfee+Artemis 5884 2010.02.06 -
McAfee-GW-Edition 6.8.5 2010.02.06 Heuristic.LooksLike.Win32.SuspiciousPE.I!83
Microsoft 1.5406 2010.02.07 PWS:Win32/Zbot.gen!W
NOD32 4843 2010.02.07 -
Norman 6.04.03 2010.02.06 -
nProtect 2009.1.8.0 2010.02.07 -
Panda 10.0.2.2 2010.02.06 -
PCTools 7.0.3.5 2010.02.07 -
Prevx 3.0 2010.02.07 -
Rising 22.33.06.04 2010.02.07 Packer.Win32.UnkPacker.a
Sophos 4.50.0 2010.02.07 Sus/UnkPacker
Sunbelt 3.2.1858.2 2010.02.07 -
TheHacker 6.5.1.0.182 2010.02.07 -
TrendMicro 9.120.0.1004 2010.02.07 -
VBA32 3.12.12.1 2010.02.05 SScope.Trojan.Bofa
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 TrojanSpy.Zbot.UDE
weitere Informationen
File size: 509440 bytes
MD5...: b989fe7e6c7031382f735f1c76ab046a
SHA1..: 26c46bf20f36cef8337a87d28b0f67689b64a018
SHA256: ee2d45c2263769b3ad083fa12e48f5fe37995642db5e959e24 ae712bb300216a
ssdeep: 12288:BK0qeAsYVYHMlfAYIqyg4gaKb/Bc9P6pGdJ9KhGaq+tTAs:BKgAnWMNygJ<br>aKb/Bc9z3KYaqQAs<br>
PEiD..: -

Mit Avenger habe ich (mit freundlicher Unterstützung) folgendes Verzeichnis:
c:\windows\system32\lowsec

...und folgende Dateien entfernt:
c:\windows\system32\stu2.exe
C:\U.exe

Info zum Java-Schädling aus dem Ausgangspost (in der Date --> 27b66ba2-742e9b13):
Bei virustotal.com wurde er zum ersten Mal am 22.11.2009 analysiert.

Scan-Ergebnis bei virustotal.com vom 12.01.2010:

Datei 27b66ba2-3588429d empfangen 2010.01.12 17:27:12 (UTC)
Status: Beendet
Ergebnis: 9/41 (21.95%)


Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.48 2010.01.12 Trojan-Downloader.Java.Agent!IK
AhnLab-V3 5.0.0.2 2010.01.12 -
AntiVir 7.9.1.134 2010.01.12 TR/Dldr.Java.Agent.AB.1
Antiy-AVL 2.0.3.7 2010.01.12 Trojan/Java.Agent
Authentium 5.2.0.5 2010.01.12 -
Avast 4.8.1351.0 2010.01.11 -
AVG 9.0.0.725 2010.01.12 -
BitDefender 7.2 2010.01.12 -
CAT-QuickHeal 10.00 2010.01.12 -
ClamAV 0.94.1 2010.01.12 -
Comodo 3558 2010.01.12 TrojWare.Java.TrojanDownloader.Agent.ab
DrWeb 5.0.1.12222 2010.01.12 -
eSafe 7.0.17.0 2010.01.12 -
eTrust-Vet 35.2.7232 2010.01.12 -
F-Prot 4.5.1.85 2010.01.12 -
F-Secure 9.0.15370.0 2010.01.12 -
Fortinet 4.0.14.0 2010.01.12 -
GData 19 2010.01.12 -
Ikarus T3.1.1.80.0 2010.01.12 Trojan-Downloader.Java.Agent
Jiangmin 13.0.900 2010.01.12 -
K7AntiVirus 7.10.944 2010.01.11 -
Kaspersky 7.0.0.125 2010.01.12 Trojan-Downloader.Java.Agent.ab
McAfee 5859 2010.01.12 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.12 Trojan.Dldr.Java.Agent.AB.1
Microsoft 1.5302 2010.01.12 -
NOD32 4764 2010.01.12 -
Norman 6.04.03 2010.01.12 -
nProtect 2009.1.8.0 2010.01.12 -
Panda 10.0.2.2 2010.01.12 -
PCTools 7.0.3.5 2010.01.12 Trojan.ByteVerify
Prevx 3.0 2010.01.12 -
Rising 22.30.01.03 2010.01.12 -
Sophos 4.49.0 2010.01.12 -
Sunbelt 3.2.1858.2 2010.01.12 -
Symantec 20091.2.0.41 2010.01.12 Trojan.ByteVerify
TheHacker 6.5.0.3.148 2010.01.12 -
TrendMicro 9.120.0.1004 2010.01.12 -
VBA32 3.12.12.1 2010.01.12 -
ViRobot 2010.1.12.2132 2010.01.12 -
VirusBuster 5.0.21.0 2010.01.12 -
weitere Informationen
File&nbsp;size: 3460 bytes
MD5&nbsp;&nbsp;&nbsp;: f7a54bdb73cb5e27439719994c013c8d
SHA1&nbsp;&nbsp;: 961040c1433d1394622ed2cf7a16feb8176cc0a4
SHA256: a38b910612c65cbc8487b2787a8cc1d10fc2c56c2add2541d2 71dd73ba42fa84
TrID&nbsp;&nbsp;: File type identification<br>Java Bytecode (60.0%)<br>Mac OS X Universal Binary executable (40.0%)
ssdeep: 96:TAFle+3w846zKGo20/UUQd8yAB9ioRdIi:TCleYH46Frj8yABAI
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-


...und das Scan-Ergebnis bei virustotal.com vom 07.02.2010:


Datei 27b66ba2-742e9b13 empfangen 2010.02.07 15:05:21 (UTC)
Status: Beendet
Ergebnis: 11/40 (27.5%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.07 Trojan-Downloader.Java.Agent!IK
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 TR/Dldr.Java.Agent.AB.1
Antiy-AVL 2.0.3.7 2010.02.05 Trojan/Java.Agent
Authentium 5.2.0.5 2010.02.06 -
Avast 4.8.1351.0 2010.02.07 -
AVG 9.0.0.730 2010.02.07 -
BitDefender 7.2 2010.02.07 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.07 -
Comodo 3852 2010.02.07 TrojWare.Java.TrojanDownloader.Agent.ab
DrWeb 5.0.1.12222 2010.02.07 -
eSafe 7.0.17.0 2010.02.07 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.06 -
F-Secure 9.0.15370.0 2010.02.07 -
Fortinet 4.0.14.0 2010.02.07 -
GData 19 2010.02.07 -
Ikarus T3.1.1.80.0 2010.02.07 Trojan-Downloader.Java.Agent
Jiangmin 13.0.900 2010.02.07 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.07 Trojan-Downloader.Java.Agent.ab
McAfee 5884 2010.02.06 -
McAfee+Artemis 5884 2010.02.06 -
McAfee-GW-Edition 6.8.5 2010.02.07 Trojan.Dldr.Java.Agent.AB.1
Microsoft 1.5406 2010.02.07 Trojan:Java/Cireco.A
NOD32 4844 2010.02.07 probably a variant of Java/TrojanDownloader.Agent.AB
Norman 6.04.03 2010.02.07 -
nProtect 2009.1.8.0 2010.02.07 -
Panda 10.0.2.2 2010.02.07 -
PCTools 7.0.3.5 2010.02.07 Trojan.ByteVerify
Prevx 3.0 2010.02.07 -
Rising 22.33.06.04 2010.02.07 -
Sophos 4.50.0 2010.02.07 Troj/ByteVer-G
Sunbelt 3.2.1858.2 2010.02.07 -
TheHacker 6.5.1.0.182 2010.02.07 -
TrendMicro 9.120.0.1004 2010.02.07 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -
weitere Informationen
File size: 3460 bytes
MD5...: f7a54bdb73cb5e27439719994c013c8d
SHA1..: 961040c1433d1394622ed2cf7a16feb8176cc0a4
SHA256: a38b910612c65cbc8487b2787a8cc1d10fc2c56c2add2541d2 71dd73ba42fa84
ssdeep: 96:TAFle+3w846zKGo20/UUQd8yAB9ioRdIi:TCleYH46Frj8yABAI<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Java Bytecode (60.0%)<br>Mac OS X Universal Binary executable (40.0%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>


Nachfolgend das Log von Spybot mit vielen unschönen Einträgen:
http://www.file-upload.net/download-2259324/spybot.txt.html


Der Eintrag vom 31.01.2010 kommt davor noch extrem häufig... ist aber denke ich nicht weiter schlimm oder?


In der Zwischenzeit wurde im cinefacts Forum "von ganz oben" bestätigt, dass es sich um einen Hackerangriff handelte und sie jetzt noch unter Hochdruck an der Folgenbeseitigung arbeiten. Wohlgemerkt war das verseuchte Script dort noch bis einschließlich gestern aktiv und ein offizielles Statement gab es auch erst vorhin... in einem "versteckten" Thread, in dem über den Hack geschrieben wird bzw. sich weitere Infizierte zu Wort melden.


In Antivir habe ich per Expertenmodus folgende Einstellungen gesetzt:
--> Alle Dateien
x Bootsektor Suchlaufwerke
x Masterbootsektoren durchsuchen
(kein Haken) Offline Dateien ignorieren
x Optimierter Suchlauf
(kein Haken) Symbolischen Verknüpfungen folgen
x Rootkit-Suche bei Suchstart
--> Scanner Priorität - hoch

Aktion bei Fund --> Automatisch - ignorieren

x Archive durchsuchen
x Alle Archiv-Typen
x Smart Extensions
x Rekursionstiefe einschränken - max. 20

Keine Ausnahmen

x Makrovirenheuristik
x AHeAD aktivieren - Erkennungsstufe hoch


Unter "Allgemeines" habe ich dann noch alle Gefahrenkategorien aktiviert.

Der Scan mit dem Profil "lokale Laufwerke" hat demnach natürlich wesentlich länger gedauert und er hat logischerweise auch die JOKE-Programme und diverse Spiele-Trainer gefunden.
Im Anschluss habe ich das "Suche nach Rootkits" Profil laufen lassen.
Beide Scans konnten keine Schädlinge mehr ausmachen.


Den Windows Live OneCare Scan habe ich auch mal noch laufen lassen. Der hatte nach ca. 3 1/2 Stunden auch die Trainer und noch ein paar andere unkritische Sachen wie DL-Manager und VNC-Tools gefunden.
Der Scan hat aber immerhin noch etwas gefunden, das der Antivir nicht gefunden hat (leider scheint es kein Log zu geben, daher habe ich es abgeschrieben):
TrojanDownloader:Win32/Obitel

Gefunden hat er das Teil in c:\dokumente und einstellungen\XYZ\lokale einstellungen\temp\in5.tmp
Die Datei wurde automatisch gelöscht (man konnte leider nichts konfigurieren).

Während der OneCare Scan lief, hatte ich mal bewusst den Guard von AntiVir aktiv gelassen. Als der Scan dann das "System Volume Information"-Verzeichnis der Systempartition durchkämmt hatte, kamen nacheinander 3 Warnmeldungen von AntiVir (vermutlich an der Stelle an der der OneCare Scanner gerade prüfen wollte). Die 3 Files habe ich dann in Quarantäne verschieben lassen.
Ich denke mal es wird sich dreimal um die selbe Datei handeln, allerdings weiss man leider nicht mehr, wo sich die ursprüngliche Datei befand.

Ich habe die File mal bei Virustotal prüfen lassen. Hier das Ergebnis:
http://www.virustotal.com/de/analisi...233-1266004891

Auf der Kaspersky Seite gibt es übrigens ein Tool zur Desinfektion des Trojaners:
http://support.kaspersky.com/de/viru...&qid=207619478

Ich denk das lasse ich mal noch durchlaufen, auch wenn es vermutlich nichts mehr finden wird.

Nachfolgend mal noch das, was Malwarebytes zusätzlich gefunden und gelöscht hatte:

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
__________________

Alt 14.02.2010, 16:10   #4
frankcastle
 
TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen - Standard

TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen



Mittlerweile habe ich mich dazu entschlossen, ein älteres Image zurückzuspielen. Zuvor würde ich mich aber noch freuen, wenn folgende Fragen geklärt werden könnten:

Wäre es empfehlenswert vielleicht mal noch sfc mit dem Parameter scannow durchlaufen zu lassen, um zu sehen was der zur Integrität der Systemdateien meint?

Sollte ich zuvor den Kaspersky ZBot-Killer noch laufen lassen?

Wenn ich das richtig sehe, dann konnten die Trojaner keine Bilddateien, Videodateien, Dokumente usw. infizieren bzw. verändern (z.B. löschen)?!
Mir geht es in diesem Fall speziell darum, ob die bei mir gefundenen/analysierten Trojaner überhaupt dazu in der Lage gewesen wären, Dateien zu infizieren bzw. zu verändern (jetzt mal von der gezielten Manipulation von bestimmten Systemdateien abgesehen)?

Falls Musik, Fotos, Dokumente usw. infiziert worden wären, dann hätte ja zumindest einer der Scans in der letzten Zeit anschlagen müssen oder?
Wenn ich das richtig sehe, hat sich das Trojaner-Paket nur auf die Systempartition bezogen oder?!


Sollte ich danach weiter an der Kombo --> ANtiVir + Spybot festhalten?
Macht es dann noch Sinn Malwarebytes' Anti-Malware regelmäßig auszuführen oder wäre das dann "zuviel des Guten"?

Könnte mir jemand kurz erläutern, was die sinnvollste Konfiguration für den aktuellsten AntiVir unter XP ist?

Warum wird überall empfohlen den TeaTeamer von Spybot nicht zu aktivieren bzw. von Anti-Malware nicht die Live-Überwachung zu nutzen?

Welche Software würdet ihr empfehlen um den Inhalt von zwei Partitionen miteinander zu vergleichen ? Also quasi welche Dateien fehlen auf der einen Partition bzw. wurden gelöscht oder wurden geändert.

Würdest ihr empfehlen die Secunia Software auf den Rechner zu installieren, damit man in Zukunft immer rechtzeitig über Programm- und Plug-In-Updates informiert wird?

Gibt es eine Software/einen Dienst, der alle Änderungen auf NTFS-Partitionen protokolliert? Also quasi Änderungen, Überschreibungen, Löschungen, Neuerstellung usw.

Ist es möglich, dass ich mein Firefox und mein Thunderbird Profil-Verzeichnis wegsichere oder könnte sich da möglicherweise was drin festgesetzt haben?

Bei meiner Software-Updateliste ist mir aufgefallen, dass ich Quicktime eigentlich nicht mehr brauche (zumindest zum offline abspielen, da VLC oder der Media Player Classic als Alternative herhalten). Bleibt nur die Frage wie es mit dem Quicktime Plug-In für den Firefox aussieht (wobei das von Firefox "zu meiner Sicherheit" eh deaktiviert wurde)...

Geändert von frankcastle (14.02.2010 um 16:47 Uhr)

Alt 14.02.2010, 22:01   #5
Da GuRu
Administrator
/// technical service
 

TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen - Standard

TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen



Crossposting @ protecus

COSINUS:

Zitat:
Wäre es empfehlenswert vielleicht mal noch sfc mit dem Parameter scannow durchlaufen zu lassen, um zu sehen was der zur Integrität der Systemdateien meint?
Beim jetzigen "kaputten" System? Würde keinen Sinn machen, Du spielst ja ein älteres Image zurück.

Zitat:
Sollte ich zuvor den Kaspersky ZBot-Killer noch laufen lassen?
Durch das Zurückspielen des älteren Images wird die jetzige Windows-Installation samt Konfiguration und die Schädlinge gekillt, daher wäre es eigentlich Zeitverschwendung, es sei denn Du interessierst Dich dafür, was der noch findet.

Zitat:
Falls Musik, Fotos, Dokumente usw. infiziert worden wären, dann hätte ja zumindest einer der Scans in der letzten Zeit anschlagen müssen oder?
Wenn ich das richtig sehe, hat sich das Trojaner-Paket nur auf die Systempartition bezogen oder?!
Ja. Musik, Fotos, Videos kannst Du eigentlich immer gefahrlos sichern.

Zitat:
Sollte ich danach weiter an der Kombo --> ANtiVir + Spybot festhalten?
Macht es dann noch Sinn Malwarebytes' Anti-Malware regelmäßig auszuführen oder wäre das dann "zuviel des Guten"?
Spybot würde ich weglassen. Malwarebytes ist für den Parallelbetrieb mit anderen AVP wie zB AntiVir konzipiert worden.

Zitat:
Könnte mir jemand kurz erläutern, was die sinnvollste Konfiguration für den aktuellsten AntiVir unter XP ist?
Lass bei AntiVir alles auf Standard.

Zitat:
Warum wird überall empfohlen den TeaTeamer von Spybot nicht zu aktivieren bzw. von Anti-Malware nicht die Live-Überwachung zu nutzen?
Der Teatimer ist schwachsinnig in meinen Augen, da er jede kleine Registryänderung anzeigen will. Das kann auf die Dauer sehr nervig und für Laien völlig unverständlich sein. Wichtige Systemebereiche (auch in der Registry) schützt man besser und konsequenter durch das Verwenden eines eingeschränkten Kontos, das Adminkonto also nur für Systemverwaltung/Softwareinstallationen nutzt. Zum alltäglichen Surfen/Arbeiten sind Adminrechte ein zu großes Risiko!

Eigentlich spricht von meiner Seite nichts gegen die Verwendung des Wächters von Malwarebytes, allerdings ist dieser nur in der Bezahlversion von Malwarebytes enthalten, Du kannst ihn in der freien Version also auch garnicht einschalten.

Zitat:
Welche Software würdet ihr empfehlen um den Inhalt von zwei Partitionen miteinander zu vergleichen ? Also quasi welche Dateien fehlen auf der einen Partition bzw. wurden gelöscht oder wurden geändert.
Das kannst Du mit dem TotalCommander machen und zwar über Befehle => Verzeichnisse synchronisieren. Ansonsten gibt es noch viele andere Synchronisierer wie zB Syncback

Zitat:
Würdest ihr empfehlen die Secunia Software auf den Rechner zu installieren, damit man in Zukunft immer rechtzeitig über Programm- und Plug-In-Updates informiert wird?
Schaden kann es nicht, allerdings habe ich den Eindruck, dass dieses Tool nur unter Adminrechten läuft. Wenn Du also meiner Empfehlung nachkommst mit den eingeschränkten Rechten, nutzt Dir das Tool so nicht viel. Es sei denn Du startest es immer manuell über Ausführen als... mit Adminrechten.

Zitat:
Gibt es eine Software/einen Dienst, der alle Änderungen auf NTFS-Partitionen protokolliert? Also quasi Änderungen, Überschreibungen, Löschungen, Neuerstellung usw.
Wüsste ich so nicht, aber um unerwünschte Änderungen am System zu verhindern, wurde das Berechtigungssystem geschaffen, daher nutze es auch (eingeschränkte Rechte um Infektionen zu vermeiden, falls doch was Virulentes ausgeführt wurde)

Zitat:
st es möglich, dass ich mein Firefox und mein Thunderbird Profil-Verzeichnis wegsichere oder könnte sich da möglicherweise was drin festgesetzt haben?
Solltest Du problemlos sichern können...

Zitat:
Bleibt nur die Frage wie es mit dem Quicktime Plug-In für den Firefox aussieht
Warum deinstallierst Du das dann nicht?


 

Themen zu TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen
acedrv05.sys, antivir deaktiviert, atapi.sys, backdoor.bot, cinefacts, controlset002, firefox, firewall deaktiviert, hal.dll, java/trojandownloader.agent.ab, lan-kabel, malware.trace, nicht gefunden, pws:win32/zbot.gen!w, quelldatei, rootkit, sdra64.exe, sptd.sys, system volume information, taskleiste, tr/dldr.java.agent.ab.1, tr/dldr.obitel, tr/dropper.gen, trojan.agent, trojan/java.agent, trojan:java/cireco.a, usbport.sys, versteckte objekte, virus/trojaner, win32.zbot, zwopenkey



Ähnliche Themen: TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen


  1. PC langsam, hängt sich beim Surfen auf, Bluescreen, Advanced System Protector, Win32:Dropper-gen, Win32:Malware-gen, Win32:Rootkit-gen u.a.
    Log-Analyse und Auswertung - 07.02.2015 (12)
  2. Avast findet win32:dropper-gen & win32:malware-gen
    Plagegeister aller Art und deren Bekämpfung - 19.04.2014 (24)
  3. Trojan-Ransom.Win32.Blocker.cbsn & Trojan-Spy.Win.32.Zbot.nsur eingefangen -.-
    Plagegeister aller Art und deren Bekämpfung - 12.04.2014 (23)
  4. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  5. Trojaner eingefangen? TR/Spy.zbot.alw
    Log-Analyse und Auswertung - 24.06.2013 (27)
  6. Win32.ZBot (und...?)
    Log-Analyse und Auswertung - 31.05.2013 (15)
  7. 11 Funde: TR/Crypt.XPACK.Gen3, TR/PSW.ZBot.151, TR/Dropper.Gen und mehr
    Log-Analyse und Auswertung - 24.05.2013 (19)
  8. PWS:Win32/Zbot.gen!Y
    Log-Analyse und Auswertung - 12.01.2012 (9)
  9. Bundestrojaner eingefangen, Trojan.Zbot.CBCGen
    Plagegeister aller Art und deren Bekämpfung - 21.12.2011 (12)
  10. MSPAPING.DLL + win32/zbot.gen!Y + Win32/Skintrim.c
    Plagegeister aller Art und deren Bekämpfung - 16.11.2010 (23)
  11. Probleme mit Scareware (Win32/Cryptor) und Trojanern (Win32/ZBot)
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (3)
  12. Virus.Win32.Protector.f & Trojan-Dropper.Win32.delf.eu
    Log-Analyse und Auswertung - 19.05.2010 (13)
  13. Win32.ZBOT
    Plagegeister aller Art und deren Bekämpfung - 19.12.2009 (12)
  14. Probleme mit Trojaner WIN32.delf -MGZ & Win32.zbot -MKK
    Plagegeister aller Art und deren Bekämpfung - 03.12.2009 (5)
  15. 3 tw. unbekannte Trojaner TR/Spy.ZBot.hkp.2, TR/Dropper.Gen und TR/Spy.ZBot.hss
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  16. TR/Spy.ZBOT.cyv und TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2008 (9)

Zum Thema TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen - Vorvorgestern Abend bin ich, wie sonst auch, per Firefox im cinefacts.de Forum unterwegs gewesen. Plötzlich kam beim Anklicken eines Threads eine Skript-Fehlermeldung und kurz darauf eine weitere Fehlermeldung bzgl. einer - TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen...
Archiv
Du betrachtest: TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.