Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Zeus/Zbot Trojaner Meldung von der Telekom (https://www.trojaner-board.de/129936-zeus-zbot-trojaner-meldung-telekom.html)

Illidan 22.01.2013 18:59
Zeus/Zbot Trojaner Meldung von der Telekom
 
Hallo,

ein Kunde von uns hat einen Brief von der Telekom bekommen in dem drin steht das in dem Netzwerk der Trojaner Zeus/Zbot (Online Banking Trojaner) läuft.

Es wird empfohlen das man auf botfrei-de-Website einen dieser Cleaner runterlädt und durchscannt.

Die Sache ist folgende: Es sind ungefähr 20 Rechner und dies erschwert die Suche nach dem Übeltäter :(.

Es wird die Software Trend Micro OfficeScan 10.6 für Server und Clients eingesetzt.

Ich persönlich bin momentan nicht vor Ort deswegen konnte ich den anderen vorgeschlagen mit Trend Micro Officescan sowie Malware Antibytes ersteinmal durchscannen. Die haben dann doch recht schnell alle PCs vollständig durchgescannt. Bei drei Rechner sind folgende Sachen aufgetreten:

Code:

PC1

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-21-560983695-2248128953-1299572565-1112\$3e831ee7f3fab31ee49a4ed173084987\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.

Infizierte Dateien: 1
C:\$Recycle.Bin\S-1-5-21-560983695-2248128953-1299572565-1112\$RDNCPO1\367078012D5059BE0020367057EAB37C.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

PC2

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Ykurronya (Spyware.Password) -> Daten: C:\Users\username\AppData\Roaming\Dini\omigs.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Users\username\AppData\Roaming\Dini\omigs.exe (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.

PC3

Infizierte Dateien: 1
D:\Sicherung alter PC\WINNT\aconti.exe (Porn.Dialer) -> Keine Aktion durchgeführt.
Folgendes wurde mir noch mitgeteilt: Auch wenn z.B. da steht „Keine Aktion durchgeführt“ wir haben die sachen entfernen lassen, anschließend neu gestartet und einen Quickscan durchgeführt.

Wie kann man da jetzt weiter vorgehen? Vorallem bei 20 Rechnern wird es halt schwer und zeitintensiv viele Programme auszuprobieren um verschiedene Resultate zu bekommen.

Taugt dieser DE-Scanner von Avira, Kaspersky oder Norton etwas?

Vielen Dank erst einmal!

Gruß

markusg 22.01.2013 19:39
hi
gibts den keine Backups, wenns ne Firma ist? pc2 könnt ihr auf jeden fall neu aufsetzen da ist zbot drauf.
pc1 önnte auch infiziert gewesen sein, den würd ich auch neu machen und auf pc3 ist ne sicherung von Schadsoftware, je nach dem ob die von dem PC stammt würd ich den auch neu aufsetzen.
wenn onlinebanking von diesen PCS betrieben wird, neue Zugangsdaten schicken lassen.

Illidan 22.01.2013 20:43
Hallo,

die Client PCs werden nicht direkt gesichert. Das wichtigste befindet sich auf Netzlaufwerken und Outlook Dateien werden synchronisiert. Ein Neuaufsetzen wäre denke ich möglich.

Bist du ganz sicher das bei PC2 der Zeus/Zbot drauf ist? Sollte man bei sowas gar nicht erst ausprobieren mit weiteren Scannern ob offline oder online das durchzugehen?

Verbreitet sich dieser Trojaner auch selbstständig über das Netzwerk? Das wäre natürlich sehr schlimm :(.

Danke schonmal!

Gruß,
Burak

markusg 22.01.2013 20:46
hi
nicht übers netzwerk, nein.
bin mir sicher, dass auf pc2 zbot ist.

Illidan 22.01.2013 21:00
Ok, gut zu wissen.

Da ich das Neuaufsetzen vllt. erst am Freitag oder nächste Woche schaffen würde, würde ich den anderen noch weitergeben das sie vllt. nochmal mal mit einer Boot CD den PC durchscannen. Kannst du dafür eine empfehlen? Dient nur nochmal zu Sicherheit für die Tage jetzt wo der PC noch läuft.

markusg 22.01.2013 21:06
hi
der pc sollte gar nicht mehr ins internet, der zweite auf jeden fall nicht
kannst ja mal alle pcs mit hitman scannen:
HitmanPro - Download - Filepony
HitmanPro - Download - Filepony
je nach dem ob 32 bit, dann link1 sonst link2
öffnen, lizenz, testlizenz.
dann scannen, nichts löschen, klickt auf weiter, logs als xml exportieren, anhängen.

Illidan 22.01.2013 21:15
Wollte HitmanPro gerade mal testen aber das geht bei mir direkt nach dem "Update" wieder zu. Testlizenz wurde aktiviert. Komme gar nicht dazu "Weiter" zu klicken, ist da irgendetwas faul Oo?

markusg 22.01.2013 21:16
hmm
versuchs mal im abgesicherten modus mit netzwerk.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131