|
WORM/Zbot.D Hi leute! Avira meldete vor 3 Tagen bei meinem Bruder den WORM/Zbot.D in Folgenden verzeichnissen: Zitat:
Auch nach mehrmaligem Neuaufsetzen (mit Formation von allen Partitionen) wurden ALLE Dateien von Avira bei einem Scan wieder gefunden. Ich bin ratlos!!! Hjack This: Zitat:
Hoffe ihr könnt mir weiterhelfen :confused: EDIT: Der Virus ist durch den Download und ausführens einer gefälschten SP3 Update version aus dem Internett |
Ich warte immernoch auf Hilfe :) |
Hallo, ich kann dir leider nicht helfen aber dir sagen, dass man hier wirklich professionelle Hilfe bekommt. Ein bisschen Geduld musst du natürlich schon mitbringen. Hast du das hier nicht gelesen? Zitat:
Beste Grüße und viel Glück Perelina |
Ich weiß :daumenhoc |
MAsterboot Sektor überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck. Halte dich dafür bitte an diese Anleitung: rootkit in master boot record Das Ergebins bitte kurz hier reinstellen Versuch erstmal den Masterbootsektor zu überprüfen... |
Also: Zitat:
|
Den einen Kram bekommst du mit der Systemwiederherstellung weg... Aber der HJT-Log wirft auch zwei Backddoorvarianten aus... Ausserdem sind in dem HJT-Log verdammt viele "svchost.exe". Meines Wissens nach, sind das eindeutig zuviel... Ich würde den Rechner, ohne drüber nachzudenken, platt machen und Neuaufsetzten. Es sei denn es kümmert sich nen Experte hier im Forum um dich... http://www.trojaner-board.de/51262-a...sicherung.html Siehe: TR/Spy.ZBot.R - Vollstndig Code: Es injiziert sich in einen Prozess. |
Wie schon gesagt: Zitat:
Ist vL die CD mit der ich neuaufsetze infiziert??? |
Wenn es eine " richtige" Windows cd, vom Hersteller ist, dann wohl kaum... Neuaufsetzten und langsam Formatieren...evtl. |
Ich habe ja nichts zu verlieren. ich versuche es mal also bis später. Gruß Space |
Kommando zurück! Lade dir verdächtigen Dateien mal im Uploadchannel vom Tb hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
So neuaufsetzen ist fertig. Ich werde gleich Avira instalieren und einen Scan machen und sehen ob Avira wieder was finden (was ich [leider] auch glaube). EDIT: Zitat:
Aber egal |
So ich wollte gerade die Dateien hochladen doch als ich auf Dursuchen klickte und die erste Datei markieren wollte , gabs Bluescreen. Was nun?? |
Geht ihr von deinem Bruder aus mit einem Router ins Internet? Ist die Windowsfirewall aktiviert? mfg, Kaos |
1.Er benutzt aus privaten gründen LAN 2. Ja |
Es ist schon komisch, wenn der MBR sauber ist, die Windows-CD original und der Rechner vor Angriffen von außen geschützt ist, sollte einfach so nichts draufkommen. Was wurde denn genau nach der Neuinstallation gemacht? Gleich ein AV-Programm oder erst Treiber und andere Programme installiert. mfg, Kaos |
Zitat:
Zitat:
Dann Graka Treiber. Dann Avira. Dann SP3. Dann IE8. Dann Firefox. Soweit halt... |
Sind die Treiber von einer CD oder aus dem Netz geladen? Wird die Malware denn jetzt immernoch gefunden? mfg, Kaos |
Mainboard - CD Graka - CD Avira - Von chip.de und dann gehen die alarme schon los. |
Dann lade mal die gemeldeten Dateien bei Virustotal.com hoch. mfg, Kaos |
Da ist das Problem: Ich kann die Dateien alle finden aber: Wenn ich die Datei anklicke (also nur markiere) kommt ein Error (der Leer ist ) und kurz darauf ein Bluescreen. Aber bei den Namen denke ich nicht das es Fehler sind... |
Überprüfe mal dein System mit Gmer....
|
Nein zu spät ich habs selbst geschafft und zwar so: 1. Abgesicherter Modus 2. Avira Suchlauf 3. Infizierte Dateien Manuel löschen 4. Neustart 5. Mbam 6. Keine funde 7. Avira 8. Keine funde 9. SAS 10. Keine Funde 11. Hjack This Log 12. Ist wieder sauber. Wenn ihr nochmal drüber schauen wollt, hier ist es: Zitat:
|
Es könnte sein, das eine der Treiber CDs infiziert ist, zwar unwahrscheinlich, aber könntest du ja mal überprüfen. Diese Einträge fixen: Code: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157Ebenso die Code: O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silentmfg, Kaos |
Zitat:
|
Zitat:
Zufireden??^^ |
Das ist doch mal ein feines und schlankes HJT-Log :) Es kann unter umständen sein, das Viren auf Original-CDs sind. Wie gesagt, das ist selten, aber nicht ausgeschlossen. Irgendwie muss die Malware ja auf den PC gekommen sein. Wenn er über Lan ins Internet geht, geschieht es über einen anderen PC? Also Gemeinsame Nutzung des Internets? mfg, Kaos |
Ja aber nur über meinen und der ist Clean^^ Und du meinst echt das ATI oder Gigabyte , Viren auf ihre CD`s rauf hauhen würden?? oO |
Ich halte es eigentlich für unwahrscheinlich, aber es gab nen Fall, bei dem in einer Zeitschrift-CD ein Virus war. Natürlich machen die es dann nicht mit absicht. Über deinen PC? Seid ihr nach der -Neuinstallation- ins Netz gegangen, bevor das SP3 draufgespielt wurde? mfg, Kaos |
Auch wenn das System jetzt sauber scheint, würde ich dem Frieden nicht so wirklich trauen. Ich würde euch empfehlen alles nocheinmal Neu zu machen. Vielleicht vorab alle CDs, die zur Neuinstallation verwendet werden, gründlich mit Avira mit aggressiven Einstellungen prüfen (Von einem sauberen Rechner aus, auf dem Autostart deaktiviert ist). Oder Treiber von einem saueren Rechner aus dem Internet von den Herstellern laden (Das wäre noch besser). Danach von dem sauberen Rechner aus das Sevicepack 3 laden, das Updatepack von Winfuture und Avira. Jetzt LAN-Kabel ziehen und den Rechner Offline lassen. Auch kein anderes Medium anschließen, bis Avira drauf ist. 1. Alle Festplatten, die benutzt werden und wurden, mit mbr.exe prüfen. 2. System Platt machen, ebenso ALLE Partitionen. 3. Windows neuinstallieren. 4. Treiber installieren (die aktuellsten). 5. Servicepack und danach gleich das Updatepack. 6. Avira mit anschließendem Scan mit den aggressiven Einstellungen. Wenn alles läuft und keine Meldungen kommen, kann das Internet wieder genutzt werden, aber nicht vorher. mfg, Kaos |
Hab ich genau so gemacht, Avira hat nichts gefunden. Dann habe ich wieder LAN angesteckt und nach einem Neustart nochmal gescannt und er hat wieder nichts gefunden... Schätze das hat sich dann erledigt... obwohl ich mich immernoch frage wo das herkam... Aber egal hauptsache es ist weg... Gruß Space23 |
Das wird wohl an der Lanverbindung liegen, mit der dein Bruder ins Internet geht, ein ungepatches Windows wird sehr schnell von Würmern überrannt. Es wird auf einem Remotecomputer (in dem Fall der deines Bruders) Schadcode eingeschleust (z.B. über DCOM). Dieser veranlasst den Rechner dazu, den eigentlichen Schädling zu laden und z.B. im Windowsverzeichnis auszuführen. Das ganze geht dann immer so weiter, er wird nun von dem Rechner aus weiter suchen und zwar nach anderen ungepatchten Systemen, die nun auch den Befehl bekommen, den Wurm zu laden und auszuführen. usw. usw. Das wäre dann der gute alte W32.Blaster, allerdings nutzen auch andere Würmer diese Technik und einige auch andere Techniken um Code einzuschleusen. Deswegen diese Vorgehensweise der Installation, alles andere bringt ohne Router nicht viel, denn die heutigen Router verwerfen alle Packete, die nicht angefordert wurden, eine mögliche Gefahr trotz Router kann durch die uPnP Option gegeben sein. Nun sollte das System wirklich sauber sein, alles andere würde mich dann doch sehr wundern. mfg, Kaos |
Ja es ist jetzt sauber und ich habe ihm auch gesagt nun auch die Updates zu instalieren |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board