Hallo,

kannst du jetzt bitte noch einmal versuchen, die Datei zu VT hochzuladen?
Der ursprüngliche "Sparkassen-Trojaner" ist gelöscht, ja, aber ich würde gerne noch sichergehen, was Sache bei dieser anderen Datei ist.

Hallo, ist leider dabei geblieben. Lässt sich nicht nach virustotal&co hochladen!

Dann lade die Datei bitte in ein zip-Archiv gepackt bei uns hoch.
Achtung: Die Datei selbst auf keinen Fall verschieben oder sonst wie bearbeiten.


Lade bitte folgendermassen Dateien zur Analyse hoch:

• Deaktiviere bitte temporär deinen Virenscanner.
• Suche folgenden Datei

  c:\windows\system32\ntoskrnl.exe

  und packe sie in ein zip-Archiv (Rechtsklick darauf -> Senden an -> zip-komprimierten Ordner).
• Gehe nun zum Trojaner-Board Upload-Channel:
  1. Drücke auf Durchsuchen..., wähle das erstellte zip-File aus und klicke Öffnen.
  2. Füge den Link deines Themas im Forum in das entsprechende Feld ein.
  3. Gib deinen Benutzernamen ein.
  4. Drücke auf den Button Hochladen.
• Du kannst jetzt deinen Virenscanner wieder aktivieren.
  (bebilderte Anleitung)

Sobald ich einen Rechtsklick auf die Datei mache erscheint eine Eieruhr und bleibt auch. Das Rechtsklick-Menü erscheint nicht, und wenn die Eieruhr dann weg ist, ist alles als hätte ich nie einen Rechtsklick gemacht.

Tönt ja merkwürdig.. :wtf:
Kannst du bitte mal mit ein paar Dateien neben dieser ntoskrnl.exe testen, ob es sich mit ihnen ähnlich verhält oder ob es nur mit dieser besagten Datei so ist?

Klicke ich Dateien im direkten Umfeld von ntoskrl an, so kann ich auch bei denen das Rechtsklickmenü nicht öffnen. Sind die Dateien weiter entfernt, geht es völlig probemlos!
Zudem scheint mir, während die Eieruhr angezeigt wird (vielleicht so 1 Minute) der Rechner langsamer zu laufen ...
Als wenn die Rechenleistung mit dem Klicken auf ntoskrl beschäftigt ist!

Ok, dann versuchen wir mal etwas anderes:


Schritt 1

• Gehe zu Start --> Alle Programme --> Zubehör und öffne dort Eingabeaufforderung.
• Gib dann in die sich öffnende Konsole den Befehl

  sfc /scannow

  ein und bestätige mit Enter. Folge den weiteren Anweisungen.
• Es wird dabei versucht, fehlende und beschädigte Systemdateien zu ersetzen. Starte den Rechner nach Abschluss dieser Prozedur neu.
• Gehe anschliessend zu Start --> Alle Programme --> Windows Update, such nach Windows Updates und lass alle gefundenen installieren.

Starte danach den Rechner neu auf.



Schritt 2

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte alle anderen Programme.
• Klicke nun auf None (deutsch "Nichts") und danach auf den Scan Button.
• Kopiere danach den Inhalt der OTL.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von OTL

Ich habe sfc/scannow gestartet, und bekomme ständig eine Meldung es müssen dll's kopiert werden (Dateien, die für die Ausführung von Windows erforderlich sind, müssen auf den DLL-Zwischenspeicher kopiert werden) und ich solle die Windows-CD einlegen. Dann kommt: Falsche CD!

Mittlerweile denke ich auch es ist besser, wenn ich das ganze System neu aufsetze. Gibt es dafür Tipps? Ich habe Windows 7 und Windows XP Home. Werde wieder Windows XP Home nehmen.

Wird der MBR dann automatisch erneuert?

Seltsamerweise habe ich keine Gruppenrichtlinien. Muss ich, wenn ich XP neu aufsetze nden MBR extra löschen, oder wird dieser von der XP-Inmstallation so behandelt, dass man sich keine Sorgen machen braucht? Danke!

Hallo,

formatiere bei der Neuinstallation die ganze Festplatte, lösche die bestehenden Partitionen und erstelle sie neu. Dann sollte es ok sein.

Ich würde aber nicht mehr XP installieren, sondern Windows 7. Microsoft stellt im April nächsten Jahres den Support für XP ein und dann ist dieses Betriebssystem tot.

Eigentlich schade, denn mein Rechner läuft nach den ganzen Aktionen oben wie der geölte Blitz. Gestern abend meldete Avira einen Neu-Installationsversuch von Zbot. Habe ich natürlich entfernt, aber daher gesehen das sich der Kram noch immer irgendwo versteckt und sich selbst neu starten möchte!

Das wäre aber sehr unüblich (und deshalb auch interessant)..
Kannst du bitte in den Avira Reporten nachschauen, wo genau dieser Zbot gefunden wurde? (War es unter C:\Qoobox\Quarantine\.. ?)

19:39 In der Datei 'C:\System Volume Information\_restore{6CE7F842-61E1-418D-8C02-8C446095C96C}\RP137\A0101792.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.mtda' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

20.13 Die Datei 'C:\System Volume Information\_restore{6CE7F842-61E1-418D-8C02-8C446095C96C}\RP137\A0101792.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.ZBot.mtda' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51ce508a.qua' verschoben!

Ah, nein diese Funde sind gar kein Grund zur Sorge. Das ist nur der entfernte Zbot, welcher noch in zwei Systemwiederherstellungspunkten drin ist - diese löschen wir jeweils zum Schluss und erstellen einen neuen sauberen Punkt.

Wie willst du jetzt fortfahren? Platte formatieren und System neu installieren oder mit der Bereinigung weitermachen?

War diese Sache welche Avira da gefunden hatte sozusagen ein Zeichen dafür, dass die bisherigen Aktionen erflolgreich waren? Ich kann eine weitere Sperrung durch die Sparkasse nicht akzeptieren, denn evtl. ist mein Onlinekonto dann für immer "futsch"?

Problem bei sfc/scannow war, dass ich irgendwelche Gruppenrichtlinien abschalten müsse. Habe diese aber in der Konsole (Start>Ausführen Mmc) nie gefunden!

Hallo, was wäre nun der nächste Schritt? Wie gesagt konnte ich in der Konsole nichts abschalten. Gibt es zu fs/scannow eine Alternative? Habe eben gelesen dass sogar nach einer Neuinstallation das Problem weiter bestehen kann.

Ich persönlich habe den Eindruck, es hat sich gebessert, da der Rechner an sich schneller/besser läuft. Aber das heisst wahrscheinlich nichts, denn kann ja sein dass andere adware oder malware den Rechner blockierte.

Danke!

Hallo,

entschuldige bitte die Verzögerung.

Nein die Sache mit Avira ist unabhängig davon. Dein Avira hat einfach nur den Zbot gemeldet, welcher noch in alten Systemwiederherstellungspunkten drin ist, weil er ja zu dieser Zeit, als die Punkte erstellt wurden, noch auf dem Rechner war.

Du kannst ein inplace Upgrade von Windows versuchen: Windows 7 Reparaturinstallation: Windows 7 Inplace Upgrade