Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.11.2010, 21:53   #1
multihase
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Hallo Zusammen,
ich habe eine Nachricht von der Bank bekommen, dass mein Rechner mit dem Trojaner Zeus/Zeus2 infiziert sei.

Benutze den avira 10.0 als Virenprogramm, der nach einem Update und full scan den TR/Banker.MultiBanker entdeckt und entfernt hat. Der Trojan Remover 6.8.2 hat danach nichts mehr gefunden.
Der Rechner verhält sich unauffällig, läuft stabil und schnell.

Nun habe ich den PC mit "Malwarebytes", "HijackThis" und "OLT.exe" gescant; leider kann ich nicht viel mit den Logfiles anfangen.
Ich wäre euch sehr dankbar, wenn ihr mir bei der Entschlüsselung der logfiles behilflich sein könntet. Die Dateien sind im Anhang.

Vielen Dank im Voraus
Angehängte Dateien
Dateityp: txt Extras.Txt (34,2 KB, 209x aufgerufen)
Dateityp: txt OTL.Txt (73,7 KB, 222x aufgerufen)
Dateityp: txt mbam-log-2010-11-08 (21-41-07).txt (1.023 Bytes, 221x aufgerufen)
Dateityp: txt hijackthis_1.txt (4,6 KB, 239x aufgerufen)

Alt 09.11.2010, 01:58   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Zitat:
Art des Suchlaufs: Quick-Scan
Hast Du nur einen Durchlauf gemacht? Wenn nicht bitte alle Logs von Malwarebytes posten.
Wenn ja: Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________

__________________

Alt 09.11.2010, 20:36   #3
multihase
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Hallo Arne,
Danke für Deine schnelle Antwort.

Habe Malwarebytes beim ersten Mal aktualisiert, aber nur einen Quick Scan gemacht.
Heute nochmal aktualisiert und Vollscan gemacht.
2 Files wurden gefunden.

Log file anbei.

Viele Grüsse
Dirk
__________________
Angehängte Dateien
Dateityp: txt mbam-log-2010-11-09 (21-20-47).txt (1,3 KB, 226x aufgerufen)

Alt 10.11.2010, 07:42   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Zitat:
[2010.10.27 22:18:37 | 000,000,000 | ---D | C] -- C:\Qoobox
Du hast ja auch schon combofix ausgeführt, warum lässt Du das Log denn auch weg
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.11.2010, 19:22   #5
multihase
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Hallo Arne,

Sorry für die späte Antwort, war beruflich unterwegs...
Combofix hatte ich aus einer Empfehlung heraus gemacht, als ich mich hier noch nicht eingelesen hatte und bevor ich "Malwarebytes", "HijackThis" und "OLT.exe" ausgeführt
habe. Bin auch nicht sicher, ob ich es zuvor richtig gemacht habe.
Soll ich combofix nochmal laufen lassen?
Konntest Du aus den bereits geposteten logs was herauslesen?

Viele Grüße
Dirk


Alt 11.11.2010, 22:03   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Ich das vorhandene Log von CF sehen...
__________________
--> Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert

Alt 12.11.2010, 17:51   #7
multihase
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Hallo Arne,

nochmals Vielen Dank für die Zeit die Du hier investierst.
Anbei findest Du den log von combofix. Blöderweise hatte ich combofix laufen lassen bevor die anderen Programme ausgeführt wurden.
Wie du schon treffend bemerkt hast
Der Rechner läuft aktuell ohne Auffälligkeiten.

Viele Grüße
Dirk
Angehängte Dateien
Dateityp: txt ComboFix.txt (9,0 KB, 248x aufgerufen)

Alt 12.11.2010, 17:55   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Mach bitte mal ein neues CF-Log nach dieser Anleitung:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.11.2010, 18:20   #9
multihase
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Hallo Arne,

ich habe die Schritte gemäss Deiner Anweisungen durchgeführt.
Und hier ist das Ergebnis:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-12.01 - Dirk G 12.11.2010  19:03:32.3.2 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3070.2169 [GMT 1:00]
ausgeführt von:: c:\users\Dirk G\Desktop\cofi.exe.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-12 bis 2010-11-12  ))))))))))))))))))))))))))))))
.

2010-11-12 18:07 . 2010-11-12 18:07	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-11-12 18:07 . 2010-11-12 18:07	--------	d-----w-	c:\users\Administrator\AppData\Local\temp
2010-11-08 20:21 . 2010-11-08 20:21	--------	d-----w-	c:\users\Dirk G\AppData\Roaming\Malwarebytes
2010-11-08 20:21 . 2010-04-29 11:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-08 20:21 . 2010-11-08 20:21	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-11-08 20:21 . 2010-11-08 20:21	--------	d-----w-	c:\programdata\Malwarebytes
2010-11-08 20:21 . 2010-04-29 11:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-08 19:21 . 2010-11-08 19:21	--------	d-----w-	c:\users\Dirk G\AppData\Roaming\Avira
2010-11-08 19:18 . 2010-11-08 19:18	--------	d-----w-	c:\programdata\Avira
2010-11-08 19:18 . 2010-11-08 19:18	--------	d-----w-	c:\program files\Avira
2010-11-08 19:18 . 2010-08-02 15:09	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-08 19:18 . 2010-08-02 15:09	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-07 14:36 . 2010-11-07 15:20	--------	d-----w-	c:\users\Dirk G\AppData\Roaming\PersBackup5
2010-11-07 14:35 . 2010-11-07 14:37	--------	d-----w-	c:\program files\Personal Backup 5
2010-11-06 07:37 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{3A475F6E-081B-4807-83A5-229DF8BA7110}\mpengine.dll
2010-10-27 21:26 . 2010-11-12 18:07	--------	d-----w-	c:\users\Dirk G\AppData\Local\temp
2010-10-27 20:18 . 2006-06-19 11:01	69632	----a-w-	c:\windows\system32\ztvcabinet.dll
2010-10-27 20:18 . 2006-05-25 13:52	162304	----a-w-	c:\windows\system32\ztvunrar36.dll
2010-10-27 20:18 . 2005-08-25 23:50	77312	----a-w-	c:\windows\system32\ztvunace26.dll
2010-10-27 20:18 . 2003-02-02 18:06	153088	----a-w-	c:\windows\system32\UNRAR3.dll
2010-10-27 20:18 . 2002-03-05 23:00	75264	----a-w-	c:\windows\system32\unacev2.dll
2010-10-27 20:18 . 2010-10-27 20:18	--------	d-----w-	c:\program files\Trojan Remover
2010-10-27 20:18 . 2010-10-27 20:18	--------	d-----w-	c:\users\Dirk G\AppData\Roaming\Simply Super Software
2010-10-27 20:18 . 2010-10-27 20:18	--------	d-----w-	c:\programdata\Simply Super Software
2010-10-26 18:44 . 2010-08-04 06:18	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-10-26 18:44 . 2010-08-04 06:17	417792	----a-w-	c:\windows\system32\msdri.dll
2010-10-26 18:44 . 2010-08-04 06:15	204288	----a-w-	c:\windows\system32\MSNP.ax
2010-10-26 18:44 . 2010-08-04 06:15	199680	----a-w-	c:\windows\system32\mpg2splt.ax
2010-10-26 18:44 . 2010-07-13 05:22	26504	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2010-10-18 20:54 . 2010-10-18 20:54	--------	d-----w-	c:\users\Dirk G\AppData\Roaming\UAs
2010-10-18 20:51 . 2010-10-18 20:51	--------	d-----w-	c:\users\Dirk G\AppData\Roaming\5006
2010-10-18 20:51 . 2010-10-18 20:51	112	----a-w-	c:\users\Dirk G\AppData\Roaming\srvblck2.tmp
2010-10-18 20:50 . 2010-11-09 19:53	--------	d-----w-	c:\users\Dirk G\AppData\Roaming\xmldm
2010-10-18 20:50 . 2010-10-18 20:50	--------	d-----w-	c:\users\Dirk G\AppData\Roaming\cock
2010-10-18 19:54 . 2010-09-01 02:34	2327552	----a-w-	c:\windows\system32\win32k.sys
2010-10-18 19:54 . 2010-08-21 05:36	738816	----a-w-	c:\windows\system32\wmpmde.dll
2010-10-18 19:54 . 2010-05-05 06:46	363520	----a-w-	c:\windows\system32\StructuredQuery.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 09:41 . 2009-10-24 17:21	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-08-21 05:32 . 2010-09-16 14:29	316928	----a-w-	c:\windows\system32\spoolsv.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"IaNvSrv"="c:\program files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2009-07-13 33304]
"dleemon.exe"="c:\program files\Dell V715w\dleemon.exe" [2009-07-09 766632]
"EzPrint"="c:\program files\Dell V715w\ezprint.exe" [2009-07-09 139944]
"Dell V715w Fax Server"="c:\program files\Dell V715w\fm3032.exe" [2009-07-09 316072]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]

c:\users\Dirk G\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2009-10-24 3444008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 dleeCATSCustConnectService;dleeCATSCustConnectService;c:\windows\system32\spool\DRIVERS\W32X86\3\\dleeserv.exe [2009-07-01 98984]
R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2010-02-26 137344]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2010-02-26 8320]
S0 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2009-07-01 232472]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-02 135336]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
S2 dlee_device;dlee_device;c:\windows\system32\dleecoms.exe [2009-07-01 602792]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Dirk G\AppData\Roaming\Mozilla\Firefox\Profiles\98pysf9t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT329536&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - component: c:\users\Dirk G\AppData\Roaming\Mozilla\Firefox\Profiles\98pysf9t.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Dirk G\AppData\Roaming\Mozilla\Firefox\Profiles\98pysf9t.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover
Windows 6.1.7600 

CreateFile("\\.\PHYSICALDRIVE1"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
device: opened successfully
user: error reading MBR 

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iaNvStor.sys halmacpi.dll 
c:\windows\system32\DRIVERS\iaNvStor.sys Intel Corporation Intel(R) Turbo Memory Driver
1 ntkrnlpa!IofCallDriver[0x82C4E458] -> \Device\Harddisk0\DR0[0x88090030]
3 CLASSPNP[0x8B7A359E] -> ntkrnlpa!IofCallDriver[0x82C4E458] -> \Device\RobsonImd-0[0x85E89028]
kernel: MBR read successfully
_asm { ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL; ADD [BX+SI], AL;  }
user != kernel MBR !!! 

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(2696)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
.
Zeit der Fertigstellung: 2010-11-12  19:09:00
ComboFix-quarantined-files.txt  2010-11-12 18:09
ComboFix.txt  2010-10-27 21:26
ComboFix2.txt  2010-11-08 19:46

Vor Suchlauf: 12 Verzeichnis(se), 173.776.515.072 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 173.357.219.840 Bytes frei

- - End Of File - - 91BEAA51B5648349470002EF6B7356D3
         
--- --- ---

Viele Grüße
Dirk

Alt 12.11.2010, 22:59   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.11.2010, 22:39   #11
multihase
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Hallo Arne,

ich habe die drei Programme nach Deiner Anweisung geladen und ausgeführt.
Hier ist der gmer.log:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-13 23:19:01
Windows 6.1.7600  
Running: jkut0q79.exe; Driver: C:\Users\DIRKG~1\AppData\Local\Temp\kglcapoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                          82C5E599 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                   82C82F52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                 section is writeable [0x90E20000, 0x2D5378, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[3140] ntdll.dll!LdrLoadDll  76ECF625 5 Bytes  JMP 013C13F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000045                                        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                 fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Hier der OSAM.log:
OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 23:28:25 on 13.11.2010

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.12

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\Windows\System32\Drivers\AnyDVD.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\DIRKG~1\AppData\Local\Temp\catchme.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\Windows\System32\Drivers\ElbyCDIO.sys
"kglcapoc" (kglcapoc) - ? - C:\Users\DIRKG~1\AppData\Local\Temp\kglcapoc.sys  (Hidden registry entry, rootkit activity | File not found)
"PxHelp20" (PxHelp20) - ? - C:\Windows\system32\drivers\PxHelp20.sys  (File not found)
"SANDRA" (SANDRA) - ? - C:\Windows\system32\drivers\SANDRA.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{8BE13461-936F-11D1-A87D-444553540000} "Eraser Shell Extension" - "-" - C:\Windows\system32\erasext.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Program Files\Nokia\Nokia PC Suite 6\phonebrowser.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{52B87208-9CCF-42C9-B88E-069281105805} "Trojan Remover Shell Extension" - "Simply Super Software" - C:\PROGRA~1\TROJAN~1\Trshlex.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "@C:\Windows\WindowsMobile\INetRepl.dll,-222" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Dell Symbolleiste" - ? - C:\Program Files\Dell Printable Web\toolband.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{09B71986-2AC5-482d-B6CB-42EA34F4F85B} "Dell Symbolleiste" - ? - C:\Program Files\Dell Printable Web\toolband.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Dirk G\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Stardock ObjectDock.lnk" - "Stardock" - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe  (Shortcut exists | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"Dell V715w Fax Server" - ? - "C:\Program Files\Dell V715w\fm3032.exe" /s
"dleemon.exe" - ? - "C:\Program Files\Dell V715w\dleemon.exe"
"EzPrint" - ? - "C:\Program Files\Dell V715w\ezprint.exe"
"IAAnotif" - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
"IaNvSrv" - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Fax Dell V715w Port" - ? - C:\Windows\system32\DLEEPMON.DLL
"FRITZ!fax Color Monitor" - ? - FritzVistaColorMon.dll  (File not found)
"FRITZ!fax Port Monitor" - ? - FritzVistaMon.dll  (File not found)
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll
"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
"V715w Port" - " " - C:\Windows\system32\dleelmpm.DLL

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Application Updater" (Application Updater) - "Spigot, Inc." - C:\Program Files\Application Updater\ApplicationUpdater.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe
"dleeCATSCustConnectService" (dleeCATSCustConnectService) - ? - C:\Windows\system32\spool\DRIVERS\W32X86\3\dleeserv.exe
"dlee_device" (dlee_device) - " " - C:\Windows\system32\dleecoms.exe
"Intel(R) Matrix Storage Event Monitor" (IAANTMON) - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"NMSAccessU" (NMSAccessU) - ? - C:\Program Files\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Und hier noch der MBRCheck:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: TOSHIBA
BIOS Manufacturer: TOSHIBA
System Manufacturer: TOSHIBA
System Product Name: Satellite A200
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 193):
0x82C1B000 \SystemRoot\system32\ntkrnlpa.exe
0x8302B000 \SystemRoot\system32\halmacpi.dll
0x80BAB000 \SystemRoot\system32\kdcom.dll
0x83204000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8327C000 \SystemRoot\system32\PSHED.dll
0x8328D000 \SystemRoot\system32\BOOTVID.dll
0x83295000 \SystemRoot\system32\CLFS.SYS
0x832D7000 \SystemRoot\system32\CI.dll
0x83382000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8B00D000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8B01B000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8B063000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x8B06C000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8B074000 \SystemRoot\system32\DRIVERS\pci.sys
0x8B09E000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x8B0A9000 \SystemRoot\System32\drivers\partmgr.sys
0x8B0BA000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8B0C2000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8B0CD000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x8B0DD000 \SystemRoot\System32\drivers\volmgrx.sys
0x8B128000 \SystemRoot\system32\DRIVERS\intelide.sys
0x8B12F000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x8B13D000 \SystemRoot\system32\DRIVERS\pcmcia.sys
0x8B16B000 \SystemRoot\System32\drivers\mountmgr.sys
0x8B181000 \SystemRoot\system32\DRIVERS\iaNvStor.sys
0x8B202000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8B2DC000 \SystemRoot\system32\DRIVERS\atapi.sys
0x8B2E5000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x8B308000 \SystemRoot\system32\DRIVERS\msahci.sys
0x8B312000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x8B31B000 \SystemRoot\system32\drivers\fltmgr.sys
0x8B34F000 \SystemRoot\system32\drivers\fileinfo.sys
0x8B42F000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8B55E000 \SystemRoot\System32\Drivers\msrpc.sys
0x8B589000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8B59C000 \SystemRoot\System32\Drivers\cng.sys
0x8B400000 \SystemRoot\System32\drivers\pcw.sys
0x8B40E000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8B602000 \SystemRoot\system32\drivers\ndis.sys
0x8B6B9000 \SystemRoot\system32\drivers\NETIO.SYS
0x8B6F7000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8B82E000 \SystemRoot\System32\drivers\tcpip.sys
0x8B977000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8B9A8000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x8B9E7000 \SystemRoot\system32\DRIVERS\TVALZ_O.SYS
0x8B9EC000 \SystemRoot\System32\Drivers\spldr.sys
0x8B800000 \SystemRoot\System32\drivers\rdyboost.sys
0x8B71C000 \SystemRoot\System32\Drivers\mup.sys
0x8B9F4000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8B72C000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8B75E000 \SystemRoot\system32\DRIVERS\disk.sys
0x8B76F000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x90317000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x90336000 \SystemRoot\System32\Drivers\Null.SYS
0x9033D000 \SystemRoot\System32\Drivers\Beep.SYS
0x90344000 \SystemRoot\System32\drivers\vga.sys
0x90350000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x90371000 \SystemRoot\System32\drivers\watchdog.sys
0x9037E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x90386000 \SystemRoot\system32\drivers\rdpencdd.sys
0x9038E000 \SystemRoot\system32\drivers\rdprefmp.sys
0x90396000 \SystemRoot\System32\Drivers\Msfs.SYS
0x903A1000 \SystemRoot\System32\Drivers\Npfs.SYS
0x903AF000 \SystemRoot\system32\DRIVERS\tdx.sys
0x903C6000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8B7A1000 \SystemRoot\system32\drivers\afd.sys
0x8B360000 \SystemRoot\System32\DRIVERS\netbt.sys
0x903D1000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x903D8000 \SystemRoot\system32\DRIVERS\pacer.sys
0x90200000 \SystemRoot\system32\DRIVERS\netbios.sys
0x9020E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8B417000 \SystemRoot\system32\DRIVERS\termdd.sys
0x90221000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8B392000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8B3D3000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8B3DD000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x90227000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0x8B3E7000 \SystemRoot\System32\drivers\discache.sys
0x8B1CC000 \SystemRoot\System32\Drivers\dfsc.sys
0x8B1E4000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x90C1D000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x90C40000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x90C61000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x90E1F000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x91334000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x90C73000 \SystemRoot\System32\drivers\dxgmms1.sys
0x90E00000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x913EB000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x90CAC000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x90CF7000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x90D06000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
0x91C04000 \SystemRoot\system32\DRIVERS\netw5v32.sys
0x92017000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x92043000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x9205C000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x92060000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x92078000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x92085000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x92092000 \SystemRoot\System32\Drivers\AnyDVD.sys
0x920AB000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x920B8000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x920CA000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x920E2000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x920ED000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x9210F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x92127000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x9213E000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x92155000 \SystemRoot\system32\DRIVERS\swenum.sys
0x92157000 \SystemRoot\system32\DRIVERS\ks.sys
0x9218B000 \SystemRoot\system32\DRIVERS\umbus.sys
0x92199000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x921DD000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x90D2B000 \SystemRoot\system32\drivers\HdAudio.sys
0x90D7B000 \SystemRoot\system32\drivers\portcls.sys
0x90DAA000 \SystemRoot\system32\drivers\drmk.sys
0x9482A000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0x94930000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x94932000 \SystemRoot\system32\drivers\modem.sys
0x958E0000 \SystemRoot\System32\win32k.sys
0x9493F000 \SystemRoot\System32\drivers\Dxapi.sys
0x94949000 \SystemRoot\System32\Drivers\crashdmp.sys
0x9022C000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x94956000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x9497E000 \SystemRoot\system32\DRIVERS\monitor.sys
0x95B40000 \SystemRoot\System32\TSDDD.dll
0x95B70000 \SystemRoot\System32\cdd.dll
0x95B90000 \SystemRoot\System32\ATMFD.DLL
0x94989000 \SystemRoot\system32\drivers\luafv.sys
0x949A4000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x949B9000 \SystemRoot\system32\drivers\WudfPf.sys
0x949D3000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x9323F000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x93285000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x93295000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x932A8000 \SystemRoot\system32\drivers\HTTP.sys
0x9332D000 \SystemRoot\System32\Drivers\fastfat.SYS
0x93357000 \SystemRoot\system32\DRIVERS\bowser.sys
0x93370000 \SystemRoot\System32\drivers\mpsdrv.sys
0x93382000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x933A5000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x933E0000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9C80B000 \SystemRoot\system32\drivers\peauth.sys
0x9C8A2000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9C8AC000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9C8CD000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9C8DA000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9C929000 \SystemRoot\System32\DRIVERS\srv.sys
0xA548B000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0xA5494000 \SystemRoot\system32\DRIVERS\KMWDFILTER.sys
0xA549D000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xA54A8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xA54BB000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA54C2000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA54CD000 \??\C:\Users\DIRKG~1\AppData\Local\Temp\kglcapoc.sys
0x76E70000 \Windows\System32\ntdll.dll
0x480C0000 \Windows\System32\smss.exe
0x770B0000 \Windows\System32\apisetschema.dll
0x00CB0000 \Windows\System32\autochk.exe
0x76C70000 \Windows\System32\iertutil.dll
0x77090000 \Windows\System32\lpk.dll
0x77030000 \Windows\System32\difxapi.dll
0x76B10000 \Windows\System32\ole32.dll
0x76A40000 \Windows\System32\msctf.dll
0x76990000 \Windows\System32\rpcrt4.dll
0x768F0000 \Windows\System32\advapi32.dll
0x767B0000 \Windows\System32\urlmon.dll
0x766E0000 \Windows\System32\user32.dll
0x77010000 \Windows\System32\sechost.dll
0x76FC0000 \Windows\System32\Wldap32.dll
0x76FB0000 \Windows\System32\normaliz.dll
0x76630000 \Windows\System32\msvcrt.dll
0x76530000 \Windows\System32\wininet.dll
0x758E0000 \Windows\System32\shell32.dll
0x75740000 \Windows\System32\setupapi.dll
0x75730000 \Windows\System32\psapi.dll
0x756B0000 \Windows\System32\comdlg32.dll
0x75650000 \Windows\System32\shlwapi.dll
0x755C0000 \Windows\System32\clbcatq.dll
0x75570000 \Windows\System32\gdi32.dll
0x75490000 \Windows\System32\kernel32.dll
0x75460000 \Windows\System32\imagehlp.dll
0x753C0000 \Windows\System32\usp10.dll
0x75380000 \Windows\System32\ws2_32.dll
0x752F0000 \Windows\System32\oleaut32.dll
0x752D0000 \Windows\System32\imm32.dll
0x752C0000 \Windows\System32\nsi.dll
0x75270000 \Windows\System32\KernelBase.dll
0x75240000 \Windows\System32\wintrust.dll
0x751B0000 \Windows\System32\comctl32.dll
0x75090000 \Windows\System32\crypt32.dll
0x75060000 \Windows\System32\cfgmgr32.dll
0x75040000 \Windows\System32\devobj.dll
0x75030000 \Windows\System32\msasn1.dll

Processes (total 53):
0 System Idle Process
4 System
276 C:\Windows\System32\smss.exe
368 csrss.exe
440 C:\Windows\System32\wininit.exe
448 csrss.exe
488 C:\Windows\System32\services.exe
508 C:\Windows\System32\lsass.exe
516 C:\Windows\System32\lsm.exe
628 C:\Windows\System32\svchost.exe
712 C:\Windows\System32\svchost.exe
764 C:\Windows\System32\atiesrxx.exe
816 C:\Windows\System32\winlogon.exe
872 C:\Windows\System32\svchost.exe
904 C:\Windows\System32\svchost.exe
960 C:\Windows\System32\svchost.exe
1112 C:\Windows\System32\svchost.exe
1176 C:\Windows\System32\atieclxx.exe
1280 C:\Windows\System32\svchost.exe
1412 C:\Windows\System32\spoolsv.exe
1440 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1460 C:\Windows\System32\svchost.exe
1644 C:\Windows\System32\taskhost.exe
1696 C:\Windows\System32\dwm.exe
1720 C:\Windows\explorer.exe
1820 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1860 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1892 C:\Program Files\Application Updater\ApplicationUpdater.exe
1920 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
1960 C:\Program Files\Bonjour\mDNSResponder.exe
1992 C:\Program Files\Dell V715w\dleemon.exe
2000 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
2016 C:\Windows\System32\conhost.exe
2028 C:\Windows\System32\dleecoms.exe
300 C:\Windows\System32\svchost.exe
348 C:\Program Files\CDBurnerXP\NMSAccessU.exe
572 C:\Program Files\Dell V715w\ezprint.exe
1900 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
1500 C:\Windows\System32\svchost.exe
1988 C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
2088 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
2820 C:\Windows\System32\SearchIndexer.exe
2396 C:\Windows\System32\svchost.exe
3868 C:\Program Files\Windows Media Player\wmpnetwk.exe
3220 C:\Windows\System32\svchost.exe
3140 C:\Program Files\Mozilla Firefox\firefox.exe
3764 C:\Users\Dirk G\Downloads\osam_autorun_manager_5_0_portable\osam.exe
3704 C:\Windows\System32\SearchProtocolHost.exe
1160 C:\Windows\System32\SearchFilterHost.exe
2008 C:\Windows\System32\audiodg.exe
2580 C:\Users\Dirk G\Desktop\MBRCheck.exe
1408 C:\Windows\System32\conhost.exe
1664 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`06500000 (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive1 Model Number: WDCWD2500BEVT-00ZCT0, Rev: 11.01A11

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive1 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!


Viele Grüße
Dirk

Alt 14.11.2010, 09:35   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.11.2010, 17:23   #13
multihase
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Hallo Arne,

wie Du empfohlen hast habe ich mit beiden Programmen einen Vollscan gemacht.
Malwarebytes war OK:


Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 5115

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.11.2010 21:36:44
mbam-log-2010-11-14 (21-36-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 242939
Laufzeit: 43 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Der Lauf mit SUPERAntiSpyware hat noch was aufgedeckt. Der Datei-Ort kommt mir aber komisch vor, da dieses Programm normalerweise aus zuverlässiger Quelle kommt.
Egal, hier ist der Log:


SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 11/14/2010 at 11:55 PM

Application Version : 4.45.1000

Core Rules Database Version : 5859
Trace Rules Database Version: 3671

Scan type : Complete Scan
Total Scan Time : 02:01:59

Memory items scanned : 753
Memory threats detected : 0
Registry items scanned : 9257
Registry threats detected : 0
File items scanned : 98500
File threats detected : 1

Trojan.Agent/Gen-FraudPack
C:\PROGRAM FILES\MOTORRAD TOURENPLANER 2008 2009\BIN\DXBAREXTITEMSD9.BPL


Viele Grüße
Dirk

Alt 15.11.2010, 21:02   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Das ist ein Fehlalarm.
Noch Probleme oder weitere Funde?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.11.2010, 17:47   #15
multihase
 
Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Standard

Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert



Hallo Arne,
Nein - keine weiteren Auffälligkeiten oder Funde mehr.

Reicht es nun aus, wenn ich regelmässig Vollscans mit Avira, Malwarebytes und SUPERAntiSpyware mache?
Ansonsten natürlich die "üblichen" Verhaltensregeln - Keine dubiosen Internetseiten aufrufen, Keine Junkmails öffnen oder beantworten, keine torrent Seiten etc...

Ich möchte Deine Zeit nicht unnötig beanspruchen, wenn die bisherigen Massnahmen zielführend scheinen.

Viele Grüße
Dirk

Antwort

Themen zu Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert
auffällig, avira, dankbar, dateien, entdeck, entdeckt, entfernt, gefunde, hallo zusammen, hijack, hijackthis, infiziert, logfiles, malwarebytes, nachricht, nichts, olt.exe, programm, rechner, remover, scan, troja, trojaner, update, virenprogramm, zusammen



Ähnliche Themen: Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert


  1. Post von der Telekom, infiziert mit dem ZBot/ZeuS
    Log-Analyse und Auswertung - 03.12.2013 (3)
  2. Brief von Telekom: Sie sind mit ZeuS/ZBot-Trojaner infiziert
    Log-Analyse und Auswertung - 10.10.2013 (3)
  3. Zeus Rundumschlag - BIOS infiziert, Android Handys, gehijacked
    Plagegeister aller Art und deren Bekämpfung - 20.04.2013 (15)
  4. Zeus Rundumschlag - BIOS infiziert, Android Handys, gehijacked
    Plagegeister aller Art und deren Bekämpfung - 10.04.2013 (2)
  5. PC mit ZeuS/ZBot infiziert? Logs liegen vor.
    Log-Analyse und Auswertung - 19.01.2013 (7)
  6. Zeus 2 Trojaner nach Auskunft der Bank
    Plagegeister aller Art und deren Bekämpfung - 14.01.2013 (2)
  7. Brief von der Telekom, Trojaner, ZeuS/ZBot infiziert..?
    Plagegeister aller Art und deren Bekämpfung - 08.12.2012 (15)
  8. GMX Nachricht: ich bin infiziert mit Zeus
    Plagegeister aller Art und deren Bekämpfung - 06.12.2012 (24)
  9. Post von web.de abuser, ebay und der Bank :-( Trojaner Zeus, was soll ich tun?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (1)
  10. Hermes_v01 laut Bank auf meinem Rechner
    Log-Analyse und Auswertung - 11.07.2012 (7)
  11. "Zeus"-Trojaner durch Web.de Nachricht "entdeckt
    Plagegeister aller Art und deren Bekämpfung - 01.07.2012 (15)
  12. Per Post Nachricht von Bank Trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.05.2012 (3)
  13. E-mail von Internetanbieter, dass mein PC mit Trojaner ZeuS infiziert ist!
    Plagegeister aller Art und deren Bekämpfung - 07.03.2012 (4)
  14. Laut Bank SpionageVirus auf meinem Rechner
    Plagegeister aller Art und deren Bekämpfung - 23.02.2011 (7)
  15. Spyeye Trojaner hat laut Bank meinen PC infiziert
    Plagegeister aller Art und deren Bekämpfung - 15.02.2011 (18)
  16. Nachricht von der Bank, dass mein Rechner mit Trojaner GOZI befallen ist
    Log-Analyse und Auswertung - 19.11.2010 (34)
  17. Warnung von Bank, Rechner mit Trojaner Gozi infiziert
    Plagegeister aller Art und deren Bekämpfung - 08.11.2010 (1)

Zum Thema Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert - Hallo Zusammen, ich habe eine Nachricht von der Bank bekommen, dass mein Rechner mit dem Trojaner Zeus/Zeus2 infiziert sei. Benutze den avira 10.0 als Virenprogramm, der nach einem Update und - Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert...
Archiv
Du betrachtest: Nachricht von der Bank, Rechner sei mit Zeus/Zeus2 infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.