Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   WORM/Zbot.D (https://www.trojaner-board.de/74368-worm-zbot-d.html)

Kaos 21.06.2009 19:39
Es ist schon komisch, wenn der MBR sauber ist, die Windows-CD original und der Rechner vor Angriffen von außen geschützt ist, sollte einfach so nichts draufkommen.

Was wurde denn genau nach der Neuinstallation gemacht?

Gleich ein AV-Programm oder erst Treiber und andere Programme installiert.

mfg, Kaos

space23 21.06.2009 19:42
Zitat:
Es ist schon komisch, wenn der MBR sauber ist, die Windows-CD original und der Rechner vor Angriffen von außen geschützt ist, sollte einfach so nichts draufkommen.
Allerdings.

Zitat:
Was wurde denn genau nach der Neuinstallation gemacht?
Als aller erstes Mainboard Treiber instaliert.
Dann Graka Treiber.
Dann Avira.
Dann SP3.
Dann IE8.
Dann Firefox.

Soweit halt...

Kaos 21.06.2009 19:46
Sind die Treiber von einer CD oder aus dem Netz geladen?
Wird die Malware denn jetzt immernoch gefunden?

mfg, Kaos

space23 21.06.2009 19:47
Mainboard - CD
Graka - CD
Avira - Von chip.de und dann gehen die alarme schon los.

Kaos 21.06.2009 19:50
Dann lade mal die gemeldeten Dateien bei Virustotal.com hoch.

mfg, Kaos

space23 21.06.2009 19:51
Da ist das Problem:

Ich kann die Dateien alle finden aber:
Wenn ich die Datei anklicke (also nur markiere) kommt ein Error (der Leer ist ) und kurz darauf ein Bluescreen.

Aber bei den Namen denke ich nicht das es Fehler sind...

Kaos 21.06.2009 20:00
Überprüfe mal dein System mit Gmer....
  • Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop.
  • Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet).
  • Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls Gmer etwas findet klicke auf Ja, um einen vollständigen Scan zu machen).
  • Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde).
  • Wenn der Scan fertig ist, drücke auf "Copy"
  • Füge den Text hier im Board mit "STRG + V" ein
mfg, Kaos

space23 21.06.2009 20:08
Nein zu spät ich habs selbst geschafft und zwar so:

1. Abgesicherter Modus
2. Avira Suchlauf
3. Infizierte Dateien Manuel löschen
4. Neustart
5. Mbam
6. Keine funde
7. Avira
8. Keine funde
9. SAS
10. Keine Funde
11. Hjack This Log
12. Ist wieder sauber.

Wenn ihr nochmal drüber schauen wollt, hier ist es:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:05:28, on 21.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4088 bytes
Hat jemand von euch ne Ahnung wie der Virus so lange überleben konnte??

Kaos 21.06.2009 20:25
Es könnte sein, das eine der Treiber CDs infiziert ist, zwar unwahrscheinlich, aber könntest du ja mal überprüfen.

Diese Einträge fixen:

Code:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Alle O8, O9 und O16 Einträge kannst du auch rausschmeissen.
Ebenso die
Code:
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
 O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
Kann man auch selber starten ;)

mfg, Kaos

space23 21.06.2009 20:26
Zitat:
Es könnte sein, das eine der Treiber CDs infiziert ist, zwar unwahrscheinlich, aber könntest du ja mal überprüfen.
Wohl kaum wenn es die Original Treiber aus der Verpackung sind ;)

space23 21.06.2009 20:32
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:00, on 21.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\ICQ6.5\ICQ.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wuauclt.exe

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

--
End of file - 1846 bytes

Zufireden??^^

Kaos 21.06.2009 20:39
Das ist doch mal ein feines und schlankes HJT-Log :)

Es kann unter umständen sein, das Viren auf Original-CDs sind. Wie gesagt, das ist selten, aber nicht ausgeschlossen.

Irgendwie muss die Malware ja auf den PC gekommen sein.

Wenn er über Lan ins Internet geht, geschieht es über einen anderen PC?
Also Gemeinsame Nutzung des Internets?

mfg, Kaos

space23 21.06.2009 20:40
Ja aber nur über meinen und der ist Clean^^

Und du meinst echt das ATI oder Gigabyte , Viren auf ihre CD`s rauf hauhen würden?? oO

Kaos 21.06.2009 20:46
Ich halte es eigentlich für unwahrscheinlich, aber es gab nen Fall, bei dem in einer Zeitschrift-CD ein Virus war. Natürlich machen die es dann nicht mit absicht.

Über deinen PC? Seid ihr nach der -Neuinstallation- ins Netz gegangen, bevor das SP3 draufgespielt wurde?

mfg, Kaos

Kaos 22.06.2009 03:22
Auch wenn das System jetzt sauber scheint, würde ich dem Frieden nicht so wirklich trauen.

Ich würde euch empfehlen alles nocheinmal Neu zu machen.

Vielleicht vorab alle CDs, die zur Neuinstallation verwendet werden, gründlich mit Avira mit aggressiven Einstellungen prüfen (Von einem sauberen Rechner aus, auf dem Autostart deaktiviert ist). Oder Treiber von einem saueren Rechner aus dem Internet von den Herstellern laden (Das wäre noch besser).

Danach von dem sauberen Rechner aus das Sevicepack 3 laden, das Updatepack von Winfuture und Avira.

Jetzt LAN-Kabel ziehen und den Rechner Offline lassen. Auch kein anderes Medium anschließen, bis Avira drauf ist.

1. Alle Festplatten, die benutzt werden und wurden, mit mbr.exe prüfen.
2. System Platt machen, ebenso ALLE Partitionen.
3. Windows neuinstallieren.
4. Treiber installieren (die aktuellsten).
5. Servicepack und danach gleich das Updatepack.
6. Avira mit anschließendem Scan mit den aggressiven Einstellungen.

Wenn alles läuft und keine Meldungen kommen, kann das Internet wieder genutzt werden, aber nicht vorher.

mfg, Kaos


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:58 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131