Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner ZBot - erfolgreich gelöscht?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.12.2010, 15:32   #1
ernst_g
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Hallo,

ich habe vor kurzem einen Malwarebytes-Scan durchlaufen lassen und dabei eine infizierte Datei angezeigt bekommen (mit dem Hinweis auf Trojan/ZBot -> siehe Log im Anhang). Die Datei befand sich auf meiner externen Platte und lag in einem tausendfach verschachtelten Ordner, der scheinbar mal die Dateien der NoScript-Extension für Firefox enthalten hat.
Die Ordner (ca. 40.000 Dateien und ca. 3.600 Ordner) konnte Windows wegen der langen Verschachtelung nicht löschen, also versuche ich es mit Unlocker, der sich seit Stunden daran die Zähne ausbeißt, aber zumindest schon 10.000 Dateien geschafft hat.

Malwarebytes zeigte dann Delete on Reboot an, also neu gestartet. Danach habe ich Malwarebytes nochmal (ausschließlich) auf der externen Platte suchen lassen und es wurde nichts mehr gefunden (siehe Logfile im Anhang).

Könnt Ihr mir sagen, welche Gefahr bzgl. Datensicherheit bestand (Google zeigte mir sehr viele verschiedene Zbot-Arten, wodurch ich noch viel weniger verstand)? Und, am wichtigsten natürlich, ob ich jetzt sicher sein kann, dass alles von dem ZBot weg ist und ob ich sonstige Sicherheitslücken übersehe?

Die Logs, die in der Checkliste standen, habe ich angehängt (HJT und OTL-Logs habe ich gerade erstellt und von Malwarebytes auch noch ein neues). Komisch ist, dass ich schon öfter Spybot und ähnliche Progs durchlaufen lassen habe und nie was gefunden wurde.

Danke schonmal an alle, die sich mit meinem Problem beschäftigen!
Ich hoffe, dass ich nicht zuviel falsch gemacht habe mit der Beseitigung !

Geändert von ernst_g (27.12.2010 um 16:17 Uhr)

Alt 29.12.2010, 13:15   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Zitat:
Datenbank Version: 5384
Die Signaturen waren nicht wirklich aktuell. Bitte updaten und den Vollscan wiederholen.
__________________

__________________

Alt 29.12.2010, 16:42   #3
ernst_g
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Zitat:
Zitat von cosinus Beitrag anzeigen
Die Signaturen waren nicht wirklich aktuell. Bitte updaten und den Vollscan wiederholen.
Habe einen neuen Vollscan nach Update gemacht und Malwarebytes hat wieder nichts mehr gefunden. Könnte aber auch daran liegen, dass Windows die externe Platte nicht mehr im Arbeitsplatz anzeigt, da ich diese formatiert habe (mit Ubuntu)...
__________________
Angehängte Dateien
Dateityp: txt mbam-log-2010-12-29 (17-34-02).txt (1,0 KB, 199x aufgerufen)

Alt 29.12.2010, 18:51   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Zitat:
[ZoneAlarm Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
Kann ich nur von abraten. Ist unnötiger Blödsinn, völlig sinnfrei, aber dafür ne knallbunte Oberfläche.
Verwende besser einen Router ggf. in Kombination mit Windows-Firewall.

Ansonsten sieht das OTL-Log ok aus.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.01.2011, 14:32   #5
ernst_g
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



So, habe Zonealarm runtergemacht und die WinFirewall an, der Rechner hängt mit einem weiteren schon immer an einem Router. Was tue ich jetzt?

Danke für Deine Hilfe und ein frohes neues Jahr!

Mir fällt gerade ein, dass ich in letzter Zeit öfter mal Download-Fehler hatte (NSIS-Error), nach Winsock-Neustart liefs meist wieder. Kann das mit dem ZBot zusammengehangen haben?


Geändert von ernst_g (01.01.2011 um 14:47 Uhr)

Alt 02.01.2011, 10:11   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Mach nochmal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Trojaner ZBot - erfolgreich gelöscht?

Alt 02.01.2011, 13:43   #7
ernst_g
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Also, Combofix läuft jetzt seit ca. einer Stunde. Ist es normal, dass nach den Stufen, die einzeln angezeigt und abgeschlossen wurden (ca. 15 min. gedauert) jetzt nichts mehr passiert?

Mittlerweile zeigt Combofix seit knapp 40 min. nur Folgendes an: "Bereite Logdatei vor. Starte keine anderen Programme, bevor Combofix fertig ist".

Achso, Maus und Tastatur wurden nicht benutzt und den Beitrag hier tippe ich naturlich von einem anderen Rechner .

Alt 02.01.2011, 13:44   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Warte noch ein bisschen ab.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.01.2011, 16:00   #9
ernst_g
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Hey nochmal,

also, Combofix ist fertig, hat ein Log angezeigt. Das Problem ist aber, dass danach kein Programm mehr starten wollte (irgendsoeine Meldung in der Richtung von "Schlüssel ist für Löschen vorgemerkt..., kann nicht starten"). Dann hab ich einen Neustart probiert und, naja, jetzt gibt es nur noch Bluescreens...


Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-01.02 - bgf 02.01.2011  13:33:24.4.4 - x86

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3327.2128 [GMT 1:00]

ausgeführt von:: c:\users\bgf\Desktop\cofi.exe

AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {DAAC1C79-1A96-9DFE-FC4C-6940214C33E6}

AV: Sophos Anti-Virus *Disabled/Updated* {479CCF92-4960-B3E0-7373-BF453B467D2C}

SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {61CDFD9D-3CAC-9270-C6FC-52325ACB795B}

SP: Sophos Anti-Virus *Disabled/Updated* {FCFD2E76-6F5A-BC6E-49C3-843740C13791}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.



(((((((((((((((((((((((   Dateien erstellt von 2010-12-02 bis 2011-01-02  ))))))))))))))))))))))))))))))

.



2011-01-02 12:41 . 2011-01-02 12:41	--------	d-----w-	c:\users\Karin\AppData\Local\temp

2011-01-02 12:41 . 2011-01-02 12:41	--------	d-----w-	c:\users\Default\AppData\Local\temp

2011-01-02 11:18 . 2011-01-02 12:41	--------	d-----w-	c:\users\bgf\AppData\Local\temp

2011-01-02 10:59 . 2011-01-02 11:09	--------	d-----w-	C:\cofi

2011-01-02 10:54 . 2011-01-02 10:54	--------	d-----w-	c:\windows\Internet Logs

2011-01-01 15:41 . 2011-01-01 15:40	131824	----a-w-	c:\windows\system32\sdccoinstaller.dll

2011-01-01 15:41 . 2011-01-01 15:41	--------	d-----w-	c:\programdata\Sophos Web Intelligence

2011-01-01 15:41 . 2011-01-01 15:41	--------	d-----w-	c:\program files\Common Files\Cisco Systems

2011-01-01 15:41 . 2011-01-01 15:39	28912	----a-w-	c:\windows\system32\SophosBootTasks.exe

2011-01-01 15:40 . 2011-01-01 15:40	122360	----a-w-	c:\windows\system32\drivers\savonaccess.sys

2011-01-01 15:39 . 2011-01-01 15:39	22536	----a-w-	c:\windows\system32\drivers\SophosBootDriver.sys

2011-01-01 15:34 . 2011-01-01 15:34	23928	----a-w-	c:\windows\system32\drivers\sdcfilter.sys

2011-01-01 14:37 . 2010-11-10 04:33	6273872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{DC7ECBAC-7A2B-4233-AE51-FC7C8C73A653}\mpengine.dll

2010-12-24 10:40 . 2010-06-01 08:57	1848584	----a-w-	c:\windows\RXSUnins.exe

2010-12-24 10:40 . 2010-06-01 08:57	1848584	----a-w-	c:\windows\RXCUnins.exe

2010-12-24 00:07 . 2010-12-03 09:05	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys

2010-12-24 00:07 . 2010-12-24 00:07	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys

2010-12-24 00:05 . 2010-12-24 00:05	--------	d-----w-	c:\users\bgf\AppData\Local\Sunbelt Software

2010-12-24 00:02 . 2010-12-24 00:02	--------	dc-h--w-	c:\programdata\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}

2010-12-24 00:02 . 2010-12-24 00:02	--------	d-----w-	c:\program files\Lavasoft

2010-12-23 17:44 . 2010-12-23 17:44	--------	d-----w-	c:\users\bgf\AppData\Roaming\Malwarebytes

2010-12-23 17:44 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-23 17:44 . 2010-12-23 17:44	--------	d-----w-	c:\programdata\Malwarebytes

2010-12-23 17:40 . 2010-12-27 16:31	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware

2010-12-23 17:40 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

2010-12-22 14:30 . 2010-12-22 14:30	--------	d-----w-	c:\users\bgf\AppData\Local\FixItCenter

2010-12-22 11:42 . 2010-12-22 11:42	--------	d-----w-	c:\program files\iPod

2010-12-22 11:39 . 2010-12-22 11:39	--------	d-----w-	c:\program files\Bonjour

2010-12-22 11:12 . 2010-12-22 11:12	--------	d-----w-	c:\program files\Audible

2010-12-22 10:47 . 2010-12-22 10:56	--------	d-----w-	c:\users\bgf\AppData\Roaming\VSO

2010-12-22 10:47 . 2010-12-22 10:47	--------	d-----w-	c:\program files\VSO

2010-12-20 21:54 . 2010-12-20 21:54	--------	d-----w-	c:\program files\directx

2010-12-20 21:52 . 2010-12-20 21:52	--------	d-----w-	c:\program files\Rockstar Games

2010-12-20 21:52 . 2002-12-05 13:10	155648	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iuser.dll

2010-12-20 21:52 . 2002-12-02 12:33	57344	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll

2010-12-20 21:52 . 2002-12-02 12:33	237568	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iscript.dll

2010-12-20 21:52 . 2010-12-20 21:52	163972	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iGdi.dll

2010-12-20 21:52 . 2002-12-05 13:12	692224	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iKernel.dll

2010-12-20 21:52 . 2002-12-02 14:22	5632	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe

2010-12-20 21:52 . 2010-12-20 21:52	282756	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\setup.dll

2010-12-20 21:46 . 2010-12-20 21:46	--------	d-----w-	c:\program files\Microsoft Fix it Center

2010-12-20 21:46 . 2010-12-20 21:46	--------	d-----w-	c:\windows\MATS

2010-12-14 16:26 . 2010-12-14 16:26	--------	d-----w-	C:\found.000

2010-12-12 19:05 . 2010-12-12 19:05	--------	d-----w-	c:\program files\af0.net

2010-12-11 22:16 . 2010-12-11 22:19	--------	d-----w-	C:\Loksim3D

2010-12-11 22:06 . 2010-12-11 22:06	--------	d-----w-	c:\program files\Common Files\Skype

2010-12-11 09:37 . 2010-12-11 09:37	--------	d-----w-	c:\users\bgf\AppData\Local\IsolatedStorage

2010-12-11 09:37 . 2010-12-11 09:37	--------	d-----w-	c:\users\bgf\AppData\Local\Futuremark_Corporation

2010-12-11 08:57 . 2010-12-11 08:57	--------	d-----w-	c:\program files\Common Files\Futuremark Shared

2010-12-11 08:56 . 2010-06-02 03:55	74072	----a-w-	c:\windows\system32\XAPOFX1_5.dll

2010-12-11 08:56 . 2010-06-02 03:55	527192	----a-w-	c:\windows\system32\XAudio2_7.dll

2010-12-11 08:56 . 2010-06-02 03:55	239960	----a-w-	c:\windows\system32\xactengine3_7.dll

2010-12-11 08:56 . 2010-05-26 10:41	2106216	----a-w-	c:\windows\system32\D3DCompiler_43.dll

2010-12-11 08:56 . 2010-05-26 10:41	1868128	----a-w-	c:\windows\system32\d3dcsx_43.dll

2010-12-11 08:56 . 2010-05-26 10:41	248672	----a-w-	c:\windows\system32\d3dx11_43.dll

2010-12-11 08:56 . 2010-05-26 10:41	470880	----a-w-	c:\windows\system32\d3dx10_43.dll

2010-12-11 08:56 . 2010-05-26 10:41	1998168	----a-w-	c:\windows\system32\D3DX9_43.dll

2010-12-11 08:44 . 2010-12-11 08:44	--------	d-----w-	c:\program files\MozBackup

2010-12-10 17:47 . 2010-12-10 17:47	--------	d-----w-	c:\program files\NSIS



.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-12 21:35 . 2009-08-18 10:30	564632	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll

2010-12-12 21:35 . 2009-08-18 10:24	17816	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2010-12-03 09:05 . 2010-02-04 20:44	15880	----a-w-	c:\windows\system32\lsdelete.exe

2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx

2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts

2010-11-16 16:07 . 2010-11-16 16:07	46448	----a-w-	c:\windows\apppatch\AppPatch64\EMET64.dll

2010-11-16 16:07 . 2010-11-16 16:07	43888	----a-w-	c:\windows\apppatch\EMET.dll

2010-11-07 17:21 . 2010-01-30 14:36	139152	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys

2010-11-07 17:21 . 2010-01-30 14:36	111928	----a-w-	c:\windows\system32\PnkBstrB.exe

2010-11-05 15:06 . 2010-09-06 13:32	57344	----a-r-	c:\users\bgf\AppData\Roaming\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe

2010-11-01 23:03 . 2010-11-24 20:00	1448448	----a-w-	c:\windows\system32\inetcpl.cpl

2010-11-01 22:59 . 2010-11-24 20:00	2381824	----a-w-	c:\windows\system32\mshtml.tlb

2010-10-27 03:59 . 2010-10-27 03:59	6573568	----a-w-	c:\windows\system32\drivers\atikmdag.sys

2010-10-27 03:08 . 2010-10-27 03:08	16281600	----a-w-	c:\windows\system32\atioglxx.dll

2010-10-27 02:55 . 2010-10-27 02:55	143360	----a-w-	c:\windows\system32\atiapfxx.exe

2010-10-27 02:55 . 2010-02-03 04:23	547328	----a-w-	c:\windows\system32\aticfx32.dll

2010-10-27 02:52 . 2010-10-27 02:52	450560	----a-w-	c:\windows\system32\ATIDEMGX.dll

2010-10-27 02:51 . 2010-10-27 02:51	393216	----a-w-	c:\windows\system32\atieclxx.exe

2010-10-27 02:51 . 2010-10-27 02:51	176128	----a-w-	c:\windows\system32\atiesrxx.exe

2010-10-27 02:50 . 2010-10-27 02:50	159744	----a-w-	c:\windows\system32\atitmmxx.dll

2010-10-27 02:50 . 2010-10-27 02:50	356352	----a-w-	c:\windows\system32\atipdlxx.dll

2010-10-27 02:49 . 2010-10-27 02:49	278528	----a-w-	c:\windows\system32\Oemdspif.dll

2010-10-27 02:49 . 2010-10-27 02:49	15872	----a-w-	c:\windows\system32\atimuixx.dll

2010-10-27 02:49 . 2010-10-27 02:49	43520	----a-w-	c:\windows\system32\ati2edxx.dll

2010-10-27 02:46 . 2009-09-19 02:12	4020736	----a-w-	c:\windows\system32\atidxx32.dll

2010-10-27 02:35 . 2010-10-27 02:35	46080	----a-w-	c:\windows\system32\aticalrt.dll

2010-10-27 02:35 . 2010-10-27 02:35	44032	----a-w-	c:\windows\system32\aticalcl.dll

2010-10-27 02:33 . 2010-10-27 02:33	5441536	----a-w-	c:\windows\system32\aticaldd.dll

2010-10-27 02:28 . 2009-09-19 01:56	4094464	----a-w-	c:\windows\system32\atiumdag.dll

2010-10-27 02:14 . 2010-02-03 03:23	52736	----a-w-	c:\windows\system32\coinst.dll

2010-10-27 02:14 . 2010-10-27 02:14	249856	----a-w-	c:\windows\system32\atiadlxx.dll

2010-10-27 02:14 . 2010-10-27 02:14	12800	----a-w-	c:\windows\system32\atiglpxx.dll

2010-10-27 02:14 . 2010-10-27 02:14	27136	----a-w-	c:\windows\system32\atigktxx.dll

2010-10-27 02:14 . 2010-10-27 02:14	229888	----a-w-	c:\windows\system32\drivers\atikmpag.sys

2010-10-27 02:13 . 2010-02-03 03:23	30720	----a-w-	c:\windows\system32\atiuxpag.dll

2010-10-27 02:13 . 2010-02-03 03:22	28672	----a-w-	c:\windows\system32\atiu9pag.dll

2010-10-27 02:12 . 2010-10-27 02:12	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll

2010-10-27 01:50 . 2009-09-19 01:38	3460096	----a-w-	c:\windows\system32\atiumdva.dll

2010-10-27 01:37 . 2010-10-27 01:37	52736	----a-w-	c:\windows\system32\atimpc32.dll

2010-10-27 01:37 . 2010-10-27 01:37	52736	----a-w-	c:\windows\system32\amdpcom32.dll

2010-10-26 18:26 . 2010-10-26 18:26	294912	----a-w-	c:\windows\system32\ATIODE.exe

2010-10-26 18:25 . 2010-10-26 18:25	45056	----a-w-	c:\windows\system32\ATIODCLI.exe

2010-10-25 09:09 . 2010-10-25 09:09	413696	----a-w-	c:\programdata\Microsoft\Windows\Templates\msvcp60.dll

2010-10-25 09:09 . 2010-10-25 09:09	23040	----a-w-	c:\programdata\Microsoft\Windows\Templates\psapi.dll

2010-10-25 09:09 . 2010-10-25 09:09	511328	----a-w-	c:\windows\system32\Synchronization2.dll

2010-10-25 09:09 . 2010-10-25 09:09	288608	----a-w-	c:\windows\system32\Microsoft.Synchronization.dll

2010-10-25 09:09 . 2010-10-25 09:09	253280	----a-w-	c:\windows\system32\MetaStore2.dll

2010-10-25 09:07 . 2010-10-25 09:07	319456	----a-w-	c:\programdata\Microsoft\Windows\Templates\DIFxAPI.dll

2010-10-25 09:03 . 2009-12-21 11:58	36640	----a-w-	c:\windows\system32\FsUsbExDisk.Sys

2010-10-25 09:03 . 2009-12-21 11:58	217088	----a-w-	c:\windows\system32\FsUsbExService.Exe

2010-10-19 09:41 . 2009-11-16 19:55	222080	------w-	c:\windows\system32\MpSigStub.exe

2010-10-14 00:36 . 2010-10-14 00:36	15451288	----a-w-	c:\windows\system32\xlive.dll

2010-10-14 00:36 . 2010-10-14 00:36	13642904	----a-w-	c:\windows\system32\xlivefnt.dll

2010-10-07 11:23 . 2010-10-07 11:23	91424	----a-w-	c:\windows\system32\dnssd.dll

2010-10-07 11:23 . 2010-10-07 11:23	75040	----a-w-	c:\windows\system32\jdns_sd.dll

2010-10-07 11:23 . 2010-10-07 11:23	197920	----a-w-	c:\windows\system32\dnssdX.dll

2010-10-07 11:23 . 2010-10-07 11:23	107808	----a-w-	c:\windows\system32\dns-sd.exe

2010-10-04 23:21 . 2009-11-22 13:56	218496	----a-w-	c:\windows\system32\PnkBstrB.xtr

2010-10-04 23:15 . 2009-11-22 13:52	75064	----a-w-	c:\windows\system32\PnkBstrA.exe

2010-10-04 23:11 . 2009-11-22 13:54	138056	----a-w-	c:\users\bgf\AppData\Roaming\PnkBstrK.sys

2010-10-04 22:43 . 2010-10-04 23:05	2601752	----a-w-	c:\windows\system32\pbsvc_moh.exe

2009-09-18 12:20 . 2010-05-31 12:28	2560	----a-w-	c:\program files\tibsun_regadd.reg

.



((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"rfxsrvtray"="c:\program files\Tobit Radio.fx\Client\rfx-tray.exe" [2010-01-13 686344]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-07-06 9394792]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-10-26 98304]

"MacrokeyManager"="WTMKM.exe" [2010-01-26 5881576]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Sophos AutoUpdate Monitor"="c:\program files\Sophos\AutoUpdate\almon.exe" [2011-01-01 439536]



c:\users\bgf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled

Launchy.lnk - c:\program files\Launchy\Launchy.exe [N/A]

Logitech . Produktregistrierung.lnk - c:\program files\Common Files\Logishrd\eReg\SetPoint\eReg.exe [2008-11-7 517384]



c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Audible Download Manager.lnk.disabled [2010-12-22 2093]

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2010-1-18 813584]



c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled

Radio.fx.LNK - g:\tobit radio.fx\Client\rfx-client.exe [N/A]

Rainmeter.lnk - c:\program files\Rainmeter\Rainmeter.exe [N/A]

VPN Client.lnk - c:\windows\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico [N/A]



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2009-07-20 11:28	72208	----a-w-	c:\program files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~2\Sophos\SOPHOS~1\sophos_detoured.dll



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"Start WingMan Profiler"=c:\program files\Logitech\Gaming Software\LWEMon.exe /noui

"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe"



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe"

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"



[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]

"DisableMonitoring"=dword:00000001



R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 dtpd;ShrewSoft DNS Proxy Daemon;c:\program files\ShrewSoft\VPN Client\dtpd.exe [2009-11-15 49152]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-17 133104]

R2 iked;ShrewSoft IKE Daemon;c:\program files\ShrewSoft\VPN Client\iked.exe [2009-11-15 716800]

R2 ipsecd;ShrewSoft IPSEC Daemon;c:\program files\ShrewSoft\VPN Client\ipsecd.exe [2009-11-15 536576]

R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\program files\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2011-01-01 163056]

R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

R3 ALSysIO;ALSysIO;c:\users\bgf\AppData\Local\Temp\ALSysIO.sys [x]

R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [x]

R3 FLASHSYS;FLASHSYS;c:\program files\MSI\Live Update 4\LU4\FLASHSYS.sys [2007-12-14 9216]

R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2010-10-25 36640]

R3 Futuremark SystemInfo Service;Futuremark SystemInfo Service;c:\program files\Common Files\Futuremark Shared\Futuremark SystemInfo\FMSISvc.exe [2010-11-11 128928]

R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-12-03 1389400]

R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2010-12-03 15264]

R3 MatSvc;Microsoft Fix it Supportcenter;c:\program files\Microsoft Fix it Center\Matsvc.exe [2010-11-16 267568]

R3 PAC207;SoC PC-Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2006-12-05 507136]

R3 RTCore32;RTCore32;c:\program files\RMClock\RTCore32.sys [2005-05-25 4608]

R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-06-23 275048]

R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]

R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]

R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]

R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]

R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]

R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]

R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]

R3 sdcfilter;sdcfilter;c:\windows\system32\DRIVERS\sdcfilter.sys [2011-01-01 23928]

R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [2009-11-19 9728]

R4 SophosBootDriver;SophosBootDriver;c:\windows\system32\DRIVERS\SophosBootDriver.sys [2011-01-01 22536]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-12-03 64288]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-11-22 691696]

S1 SAVOnAccess;SAVOnAccess;c:\windows\system32\DRIVERS\savonaccess.sys [2011-01-01 122360]

S1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [2009-11-19 17408]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-10-27 176128]

S2 AMD FusionUtility Service;AMD FusionUtility Service;c:\program files\AMD\Fusion Utility for Desktop\FusionUtility2Service.exe [2010-04-14 275832]

S2 AMD Reservation Manager;AMD Reservation Manager;c:\program files\AMD\Reservation Manager\AMD Reservation Manager.exe [2010-04-14 140160]

S2 AODService;AODService;c:\program files\AMD\OverDrive\AODAssist.exe [2009-10-22 136544]

S2 Radio.fx;Radio.fx Server;c:\program files\Tobit Radio.fx\Server\rfx-server.exe [2010-06-24 2450696]

S2 SAVService;Sophos Anti-Virus;c:\program files\Sophos\Sophos Anti-Virus\SavService.exe [2011-01-01 97520]

S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-03-02 5120]

S2 swi_service;Sophos Web Intelligence Service;c:\program files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [2011-01-01 1541360]

S2 USBSafelyRemoveService;USB Safely Remove Assistant;c:\program files\USB Safely Remove\USBSRService.exe [2010-05-06 242000]

S2 WTService;WTService;c:\windows\system32\atwtusb.exe [2010-01-27 515816]

S3 amdiox86;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox86.sys [2010-02-18 37944]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-10-27 6573568]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-10-27 229888]

S3 AODDriver;AODDriver;c:\program files\AMD\OverDrive\i386\AODDriver.sys [2009-10-22 8704]

S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]





[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper	REG_MULTI_SZ   	getPlusHelper

WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr

LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr

.

Inhalt des "geplante Tasks" Ordners



2010-10-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-17 08:37]



2010-10-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-17 08:37]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.netvibes.com/

uInternet Settings,ProxyOverride = *.local

IE: Alles mit FDM herunterladen - file://c:\program files\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://c:\program files\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://c:\program files\Free Download Manager\dllink.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000

IE: Videos mit FDM herunterladen - file://c:\program files\Free Download Manager\dlfvideo.htm

TCP: {CF99E15B-DF01-41C3-9722-7443B477A671} = 128.176.0.28,128.176.0.13

FF - ProfilePath - c:\users\bgf\AppData\Roaming\Mozilla\Firefox\Profiles\pggr1ce2.default\

FF - prefs.js: browser.search.selectedEngine - Bing

FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul

FF - prefs.js: network.proxy.type - 0

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Add to Search Bar: add-to-searchbox@maltekraus.de - %profile%\extensions\add-to-searchbox@maltekraus.de

FF - Ext: Tab Progress Bar: tabprogressbar@studio17.wordpress.com - %profile%\extensions\tabprogressbar@studio17.wordpress.com

FF - Ext: TweakTube: {15e67a59-bd3d-49ae-90dd-b3d3fd14c2ed} - %profile%\extensions\{15e67a59-bd3d-49ae-90dd-b3d3fd14c2ed}

FF - Ext: Image Zoom: {1A2D0EC4-75F5-4c91-89C4-3656F6E44B68} - %profile%\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}

FF - Ext: Split Browser: {29c4afe1-db19-4298-8785-fcc94d1d6c1d} - %profile%\extensions\{29c4afe1-db19-4298-8785-fcc94d1d6c1d}

FF - Ext: Readability: {6005d9b1-d115-485a-a92a-3f6453ca3fe2} - %profile%\extensions\{6005d9b1-d115-485a-a92a-3f6453ca3fe2}

FF - Ext: Speed Dial: {64161300-e22b-11db-8314-0800200c9a66} - %profile%\extensions\{64161300-e22b-11db-8314-0800200c9a66}

FF - Ext: ReloadEvery: {888d99e7-e8b5-46a3-851e-1ec45da1e644} - %profile%\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}

FF - Ext: Converter: {8B72860F-C5F8-4286-865E-D2C2DB98A9E6} - %profile%\extensions\{8B72860F-C5F8-4286-865E-D2C2DB98A9E6}

FF - Ext: AddonFox: {ad48108d-92a6-4eb9-87e4-978aca1dbae4} - %profile%\extensions\{ad48108d-92a6-4eb9-87e4-978aca1dbae4}

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}

FF - Ext: QuickJava: {E6C1199F-E687-42da-8C24-E7770CC3AE66} - %profile%\extensions\{E6C1199F-E687-42da-8C24-E7770CC3AE66}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -



AddRemove-Racer - c:\sims\RACER\Uninst.isu

AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe







**************************************************************************



Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net

Windows 6.1.7600 



CreateFile("\\.\PHYSICALDRIVE0"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

device: opened successfully

user: error reading MBR 

kernel: MBR read successfully

user != kernel MBR !!! 



**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------



[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,10,1a,a6,8d,53,42,f9,4f,ba,f3,98,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,10,1a,a6,8d,53,42,f9,4f,ba,f3,98,\



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-01-02  16:01:45

ComboFix-quarantined-files.txt  2011-01-02 15:01



Vor Suchlauf: 29 Verzeichnis(se), 67.017.068.544 Bytes frei

Nach Suchlauf: 31 Verzeichnis(se), 66.940.133.376 Bytes frei



- - End Of File - - 5E2D94B8B2D27245F70D64F231A7947F
         
]
--- --- ---

Und es gibt noch Quarantined Files
Code:
ATTFilter
2011-01-02 15:00:59 . 2011-01-02 15:00:59              928 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-24_flashusbdriver.reg.dat

2011-01-02 15:00:59 . 2011-01-02 15:00:59              446 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Racer.reg.dat

2011-01-02 11:07:46 . 2011-01-02 12:38:25            7,705 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2011-01-02 10:59:55 . 2011-01-02 12:33:23              248 ----a-w-  C:\Qoobox\Quarantine\catchme.log

2010-12-11 22:17:42 . 2010-04-07 01:04:17            2,124 ----a-w-  C:\Qoobox\Quarantine\C\Windows\System32\Readme.txt.vir

2010-06-20 12:44:58 . 2009-09-17 09:35:05              157 ----a-w-  C:\Qoobox\Quarantine\C\Users\bgf\autorun.inf.vir
         

Alt 02.01.2011, 17:52   #10
ernst_g
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Nur kurz noch eine Zwischenfrage:
Ich nutze auf demselben Rechner, auf dem ich den Trojaner gefunden habe, seitdem die neben Win7 installierte Ubuntu-Installation.
Wie wahrscheinlich ist es, dass der Trojaner auch unter Ubuntu Gefahren verursacht?
Danke schonmal!

Alt 02.01.2011, 18:37   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Zitat:
Wie wahrscheinlich ist es, dass der Trojaner auch unter Ubuntu Gefahren verursacht?
Windows-Viren laufen nur unter Windows und nicht unter Ubuntu!

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.01.2011, 19:09   #12
ernst_g
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Ich kann derzeit keine Logs mehr machen, da Windows nicht mehr startet. Kriege direkt beim Booten den Bluescreen und dann startet er neu. Soll ich die Dateien, die in die Quarantäne gesteckt wurden, wiederherstellen oder sowas?

Alt 02.01.2011, 20:38   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Funktioniert der abgesicherte Modus noch?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.01.2011, 21:40   #14
ernst_g
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Nein, ich kann auch nicht sehen, was der Bluescreen aussagt, weil der nach einer Sekunde verschwindet und sofort neustartet.

Alt 03.01.2011, 08:21   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner ZBot - erfolgreich gelöscht? - Standard

Trojaner ZBot - erfolgreich gelöscht?



Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner ZBot - erfolgreich gelöscht?
beseitigung, checkliste, datei, dateien, falsch, firefox, gelöscht, google, infizierte, infizierte datei, lag, locker, log, logfile, löschen, neu, neues, nicht löschen, ordner, problem, reboot, sicherheit, sicherheitslücke, trojan zbot verschachtelung ordner, trojaner, trojaner zbot, unlocker, windows, zbot, zuviel



Ähnliche Themen: Trojaner ZBot - erfolgreich gelöscht?


  1. PUA/Linkury.Gen2 erfolgreich gelöscht?
    Plagegeister aller Art und deren Bekämpfung - 24.02.2015 (13)
  2. PUP.Nextlive.a mit MAM erfolgreich gelöscht, aber noch in der Systemkonfig vorhanden
    Plagegeister aller Art und deren Bekämpfung - 09.06.2014 (11)
  3. Flirtfever-Trojaner erfolgreich gelöscht?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (7)
  4. Indiz dass Entfernung von Zbot nicht wirklich erfolgreich war
    Plagegeister aller Art und deren Bekämpfung - 19.04.2012 (5)
  5. Trojaner TR/PSW.Zbot.605 gelöscht. Jetzt alles sauber?
    Log-Analyse und Auswertung - 19.02.2012 (1)
  6. wpbt0.dll hat System blockiert durch Ukash. Hat Malwarebytes erfolgreich gelöscht?
    Plagegeister aller Art und deren Bekämpfung - 10.02.2012 (5)
  7. Bundeskriminalamt Virus erfolgreich gelöscht, aber eventuelle Folgen?
    Plagegeister aller Art und deren Bekämpfung - 15.08.2011 (3)
  8. Metropolitan-Police Trojaner mit Systemwiederherstellung erfolgreich gelöscht?
    Log-Analyse und Auswertung - 24.06.2011 (31)
  9. Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht?
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (23)
  10. Trojan.Vundo.H und Disabled.SecurityCenter - erfolgreich gelöscht?
    Log-Analyse und Auswertung - 01.10.2010 (25)
  11. Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (18)
  12. Antimalware Doctor erfolgreich gelöscht?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (1)
  13. Jhx.exe, virus erfolgreich gelöscht?
    Log-Analyse und Auswertung - 15.04.2010 (1)
  14. Virus erfolgreich gelöscht?
    Log-Analyse und Auswertung - 30.03.2010 (12)
  15. TR/Vundo.Gen und TR/Spy.ZBot.aeik erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2010 (3)
  16. Trojan.zlob gefunden, erfolgreich gelöscht?
    Plagegeister aller Art und deren Bekämpfung - 13.02.2009 (4)
  17. se.dll erfolgreich gelöscht, jedoch seitdem RUNDLL-Fehlermeldung
    Plagegeister aller Art und deren Bekämpfung - 17.03.2005 (3)

Zum Thema Trojaner ZBot - erfolgreich gelöscht? - Hallo, ich habe vor kurzem einen Malwarebytes-Scan durchlaufen lassen und dabei eine infizierte Datei angezeigt bekommen (mit dem Hinweis auf Trojan/ZBot -> siehe Log im Anhang). Die Datei befand sich - Trojaner ZBot - erfolgreich gelöscht?...
Archiv
Du betrachtest: Trojaner ZBot - erfolgreich gelöscht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.