Trojaner-Board - Bundestrojaner eingefangen, Trojan.Zbot.CBCGen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundestrojaner eingefangen, Trojan.Zbot.CBCGen (https://www.trojaner-board.de/106542-bundestrojaner-eingefangen-trojan-zbot-cbcgen.html)

Bundestrojaner eingefangen, Trojan.Zbot.CBCGen

Hallo,
ich habe mir vor zwei Tagen diesen Bundestrojaner eingefangen, mit der Aufforderung 100 Euro zu bezahlen. Nach etwas stöbern in diesem tollen Forum habe ich meinen Lappi im Abgesicherten Modus auf einen früheren Zeitpunkt zurücksetzen können. Anschließend habe ich mir das Programm von Malwarebytes runtergeladen und einen Komplettscan gemacht.
Folgendes wurde gefunden:

Trojan.Zbot.CBCGen

Wie soll ich weiter vorgehen? Kann ich meine Daten auf einer externen Festplatte nun absichern? Muss ich meinen Laptop neu "aufsetzen"?

Würde mich sehr freuen wenn mir jemand helfen kann da ich mich leider nicht soooo toll auskenne, vielen Dank erstmal

Grüße
Thomas

Hier noch der Scan-Bericht:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8396

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

19.12.2011 13:18:36
mbam-log-2011-12-19 (13-18-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 331081
Laufzeit: 2 Stunde(n), 35 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Thomas\AppData\LocalLow\Sun\Java\deployment\cache\6.0\39\47427ee7-4f5bf8eb (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo, nein ist das erste mal dass ich dieses Programm verwendet habe.

Grüße
Thomas

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,
ESET hat folgendes gefunden:

Code:

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cl264dec.ax        probably a variant of Win32/Hupigon.DCPCEC trojan

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldabc.dll        probably a variant of Win32/Hupigon.EFSSZFA trojan

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldorz.dll        probably a variant of Win32/Hupigon.KQQLKZT trojan

C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\61d88c50-5fdef2ba        Java/Exploit.CVE-2011-3544.D trojan

Wie gehts denn weiter?

Viele Grüße
Thomas

Achso,

Das hier hab ich noch:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=a0e91d3b1af49f44bd26f023c768e9ea

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-12-19 09:31:45

# local_time=2011-12-19 10:31:45 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7600 NT 

# compatibility_mode=1797 16775166 100 100 44248 99216746 891741 0

# compatibility_mode=5893 16776573 100 94 7372 76758925 0 0

# compatibility_mode=8192 67108863 100 0 3879 3879 0 0

# scanned=166773

# found=4

# cleaned=0

# scan_time=10123

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cl264dec.ax        probably a variant of Win32/Hupigon.DCPCEC trojan (unable to clean)        00000000000000000000000000000000        I

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldabc.dll        probably a variant of Win32/Hupigon.EFSSZFA trojan (unable to clean)        00000000000000000000000000000000        I

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldorz.dll        probably a variant of Win32/Hupigon.KQQLKZT trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\61d88c50-5fdef2ba        Java/Exploit.CVE-2011-3544.D trojan (unable to clean)        00000000000000000000000000000000        I

ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=a0e91d3b1af49f44bd26f023c768e9ea

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-12-20 08:16:34

# local_time=2011-12-20 09:16:34 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7600 NT 

# compatibility_mode=1797 16775166 100 100 83532 99256030 931025 0

# compatibility_mode=5893 16776573 100 94 3925 76798209 0 0

# compatibility_mode=8192 67108863 100 0 43163 43163 0 0

# scanned=167246

# found=4

# cleaned=0

# scan_time=9528

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cl264dec.ax        probably a variant of Win32/Hupigon.DCPCEC trojan (unable to clean)        00000000000000000000000000000000        I

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldabc.dll        probably a variant of Win32/Hupigon.EFSSZFA trojan (unable to clean)        00000000000000000000000000000000        I

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldorz.dll        probably a variant of Win32/Hupigon.KQQLKZT trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\61d88c50-5fdef2ba        Java/Exploit.CVE-2011-3544.D trojan (unable to clean)        00000000000000000000000000000000        I

Grüße

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,
...also irgendwas stimmt nicht...habe mir Otl runtergeladen, aber läuft schon mehrere Stunden, ist das normal? Hab schon mehrmals gestartet...immer das gleiche nach einiger zeit....hängt irgendwie:confused:

Grüße
Thomas

Dann probier es bitte im abgesicherten Modus aus

Guten Morgen,
hab´s im abgesicherten Modus probiert aber funktioniert auch nicht...
Der Scanner läuft kurz und bleibt dann stehen bei:

Scanning service: [verify-U]...

..hoffe das hilft vielleicht weiter?

Grüße
Thomas

Dann mach es "nur" so im normalen Modus

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo,
hab´s probiert aber will einfach nicht funktionieren(Scan und Qick Scan)...bleibt immer an der selben Stelle hängen...gibts doch nicht...und nun??

Grüße
Thomas

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.