Trojaner-Board - Trojaner ZPack.Gen gefunden von Antivir

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner ZPack.Gen gefunden von Antivir (https://www.trojaner-board.de/74835-trojaner-zpack-gen-gefunden-antivir.html)

Trojaner ZPack.Gen gefunden von Antivir

Hi, hier im Forum gibts ja schon einige Threads zum "leidigen" Thema ZPack.Gen. Trotzdem nochmal.
Hab ihn Anfang der Woche von Antivir aufgezeigt bekommen: Bei jedem Hochfahren mehrere Meldungen von Antivir über Funde. Ausserdem ist bei jedem Hochfahren meine Firewall ausschaltet (-> manuelle Aktivierung). Habe mir zunächst CureIt geladen und wollte das laufen lassen - der PC brachte Fehlermeldung und fuhr neu hoch. Hab jetzt (mittlerweile zum zweiten Mal) CC Cleaner, Anti-Mal Ware und HijackThis! laufen lassen, hier die Log-files. Danke schonmal für Hilfe und Tipps, Grüße
urn

1. log-file Anti-Malware:

Code:

Malwarebytes' Anti-Malware 1.38

Datenbank Version: 2374

Windows 5.1.2600 Service Pack 3
 

05.07.2009 13:02:07

mbam-log-2009-07-05 (13-02-07).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 132665

Laufzeit: 29 minute(s), 9 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

2. log-file HJT:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:16:25, on 05.07.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Power Manager\PM.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Apoint2K\Apoint.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\Uniblue\LocalCooling\localcooling2.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Hijack This!_TROJANER\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [BrStsWnd] C:\Programme\Brownie\BrstsWnd.exe Autorun

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background

O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll, InitGauge

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: LocalCooling.lnk = C:\Programme\Uniblue\LocalCooling\localcooling2.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242043391074

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
 

--

End of file - 5540 bytes

Nachträglich noch die uninstall-list.

Code:

Adobe Flash Player 10 Plugin

Adobe Reader 7.0.7 - Deutsch

Agere Systems AC'97 Modem

ALPS Touch Pad Driver

Avira AntiVir Personal - Free Antivirus

Brother HL-2140

CCleaner (remove only)

Cisco Systems VPN Client 5.0.05.0290

eXPert PDF 4

Glary Utilities 2.12.0.658

GPL Ghostscript 8.64

HijackThis 2.0.2

Hotfix für Windows XP (KB952287)

ICQ6.5

Intel(R) Graphics Media Accelerator Driver for Mobile

J2SE Runtime Environment 5.0

Java(TM) 6 Update 13

Local Cooling Setup

Malwarebytes' Anti-Malware

Maple 10

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 German Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft Office XP Professional mit FrontPage

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

MiKTeX 2.7

Mozilla Firefox (3.0.11)

MSXML 4.0 SP2 (KB954430)

Notebook BatteryInfo 

Power Manager 1.8.6

Realtek AC'97 Audio

Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows XP (KB923561)

Sicherheitsupdate für Windows XP (KB923789)

Sicherheitsupdate für Windows XP (KB938464-v2)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950760)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952004)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB954459)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956572)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Sicherheitsupdate für Windows XP (KB958690)

Sicherheitsupdate für Windows XP (KB959426)

Sicherheitsupdate für Windows XP (KB960225)

Sicherheitsupdate für Windows XP (KB960715)

Sicherheitsupdate für Windows XP (KB960803)

Sicherheitsupdate für Windows XP (KB961373)

Sicherheitsupdate für Windows XP (KB961501)

Sicherheitsupdate für Windows XP (KB963027)

Sicherheitsupdate für Windows XP (KB968537)

Sicherheitsupdate für Windows XP (KB969898)

Sicherheitsupdate für Windows XP (KB970238)

Texas Instruments PCIxx21/x515 drivers.

TeXnicCenter Version 1.0 Stable RC1

Update für Windows Internet Explorer 8 (KB969497)

Update für Windows XP (KB898461)

Update für Windows XP (KB951978)

Update für Windows XP (KB955839)

Update für Windows XP (KB967715)

VLC media player 0.9.9

Winamp (remove only)

Windows Internet Explorer 8

Windows XP Service Pack 3

WinRAR Archivierer

Zune Desktop Theme

Bitte um Hilfe... danke im voraus.
urny

Hi, kann mir da denn keiner weiterhelfen!? Oder gibts denn Threads, an denen ich mich 1:1 entlanghangeln kann?! Ist dringend... danke schonma.

Es waere schon hilfreich zu wissen, wo Antivir diese Malware gefunden hat.

Ahso, sorry. Also die letzten Ereignisse bei AV scans sind folgende (seitdem finden weder AV noch Malware Bytes Anti-Malware irgendwas):

Code:

Die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20090703-104916-5A9EBA22\AVSCAN-00000002.exe'

enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan].
 

In der Datei 'C:\WINDOWS\system32\twext.exe'

wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
 

In der Datei 'C:\Dokumente und Einstellungen\Bastian\Lokale Einstellungen\Temp\c.exe'

wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa3c891.qua' verschoben!
 

Die Datei 'C:\Dokumente und Einstellungen\Bastian\Lokale Einstellungen\Temp\877766767.exe'

enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a801c1c.qua' verschoben!

Ich hab grade nochmal AV laufen lassen. Kann gleich die Report-Datei posten falls benötigt. Grüße

Das ist ein Zbot, diese Art Malware ist sehr effektiv was Informations und Passwortklau angeht.

En aktueller Antivir Report waere hilfreich..

AV log-file:

Code:

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Dienstag, 7. Juli 2009  10:48
 

Es wird nach 1460963 Virenstämmen gesucht.
 

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Abgesicherter Modus

Benutzername   : XXXX

Computername   : XXXX
 

Versionsinformationen:

BUILD.DAT      : 9.0.0.403     17961 Bytes  03.06.2009 17:00:00

AVSCAN.EXE     : 9.0.3.6      466689 Bytes  10.06.2009 08:49:26

AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10

LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44

LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59

ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36

ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  24.06.2009 09:36:13

ANTIVIR2.VDF   : 7.1.4.173    306688 Bytes  02.07.2009 08:47:19

ANTIVIR3.VDF   : 7.1.4.188    227840 Bytes  06.07.2009 14:29:24

Engineversion  : 8.2.0.204

AEVDF.DLL      : 8.1.1.1      106868 Bytes  16.05.2009 21:45:11

AESCRIPT.DLL   : 8.1.2.13     426362 Bytes  02.07.2009 13:16:16

AESCN.DLL      : 8.1.2.3      127347 Bytes  16.05.2009 21:45:11

AERDL.DLL      : 8.1.2.2      438642 Bytes  02.07.2009 13:16:15

AEPACK.DLL     : 8.1.3.18     401783 Bytes  28.05.2009 17:57:50

AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  18.06.2009 07:44:55

AEHEUR.DLL     : 8.1.0.137   1823095 Bytes  27.06.2009 09:36:29

AEHELP.DLL     : 8.1.3.6      205174 Bytes  12.06.2009 08:48:52

AEGEN.DLL      : 8.1.1.48     348532 Bytes  02.07.2009 13:16:15

AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 13:32:40

AECORE.DLL     : 8.1.6.12     180599 Bytes  28.05.2009 17:57:45

AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40

AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56

AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55

AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28

AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04

AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37

AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04

SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49

SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28

NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21

RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  10.06.2009 08:49:26

RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 09:13:12
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp

Protokollierung.......................: niedrig

Primäre Aktion........................: umbenennen

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, E:, 

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: mittel
 

Beginn des Suchlaufs: Dienstag, 7. Juli 2009  10:48
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Treiber konnte nicht initialisiert werden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'userinit.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '12' Prozesse mit '12' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'E:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '65' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.

    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.

Beginne mit der Suche in 'E:\' <Dateien>
 
 

Ende des Suchlaufs: Dienstag, 7. Juli 2009  11:01

Benötigte Zeit: 13:48 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   3242 Verzeichnisse wurden überprüft

 176645 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 176644 Dateien ohne Befall

    818 Archive wurden durchsucht

      1 Warnungen

      1 Hinweise

Die Datei scheint ja schon geloescht, der entsprechende Eintrag zu der Malware ist auch im Hijackthis Log nicht zu finden. Sofern die Malware bereits aktiv war ist davon auszugehen, das dir alle Passworte die sich auf dem PC befinden, bzw die du eingegeben hast, geklaut wurden. Du musst diese Passworte unbedingt aendern!

Unter normalen Umstaenden sollte sich keine weitere Malware auf dem Rechner befinden, solltest du dieses Restrisiko nicht eingehen wollen, musst du den PC neuaufsetzen!

Ok, danke. Klingt ja nicht sonderlich gut. Habe die meisten bereits geändert. Dumme Frage: Muss ich mein Windows(-Login)-PW auch ändern?
Wie kann man feststellen, ob und wenn ja, (ab) wann ZPack.Gen aktiv wurde?! Was muss beim Neuaufsetzen beachtet werden? Ich hab noch ne externe Festplatte und einen USB-Stick. Kann ich die prüfen bzw. cleanen?

Wie lange der Zbot bei dir aktiv war, ist schlecht zu sagen. War erst das ".gen" update von Antivir installiert, oder war die Infektion schon vorher da... Im Zweifel war die Malware eher aktiv... :(

Zum neu aufsetzen gibt es hierl einen Artikel: http://www.trojaner-board.de/51262-a...sicherung.html

Ok, danke für den Link. Aber bevor ich Windows neu draufspiele, wie kann ich prüfen, ob externe Medien infiziert worden sind?! Irgendwas mit Combofix hab ich hier schon einige Male gelesen...

Du darfst gerne Combofix nach einer Anleitung hier aus dem Forum nutzen. Denke daran vorher alle externen Datentraeger anzuschliessen und dann den Rechner starten. Sollte Combofix noch etwas melden (unter weitere loeschungen) posten den Report hier....

Kannst Du mir vll. den Link zur Combofix Manual posten? ich hab hier in der Such-Funktion keine Anleitung gefunden. :confused: Danke schonmal.

Hallo und :hallo:

1.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

2.) Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

ciao, andreas

Ok, thx. Falls sich was tut, meld ich mich nochmal.