Trojaner-Board - Trojaner Trojan-Spy.Zbot.YETH: noch Gefahr?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner Trojan-Spy.Zbot.YETH: noch Gefahr? (https://www.trojaner-board.de/76929-trojaner-trojan-spy-zbot-yeth-noch-gefahr.html)

hi

Dann prüfen wir mal dein System etwas genauer und räumen wir es ein wenig auf:

1.
deinstalliere:
`Systemsteuerung -->Software -->Ändern/Entfernen...`

- Bonjour (wenn nicht brauchst):
wird von Apple (mit Quicktime, Photoshop und iTunes) wird ungefragt mitinstalliert

- Spyware Doctor 6.0:
wenn nicht Kaufversion

2.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)

3.
Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

4.
Adobe Reader: sehe nach, ob neuere Versionen vorhanden sind

5.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne Gmer
- das Malwarebytes deinstallieren

6.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
[b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

7.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

9.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

So ich hab MAM (endlich weiß ich was das heißt! :D ) nochmal durchlaufen lassen, hier das log:

Code:

Malwarebytes' Anti-Malware 1.40

Datenbank Version: 2729

Windows 5.1.2600 Service Pack 3
 

03.09.2009 16:09:06

mbam-log-2009-09-03 (16-09-06).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 498453

Laufzeit: 1 hour(s), 27 minute(s), 23 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 6
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\ktssleay80_0.9.8.2.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Programme\Lineage II\system\Engine~.~dll~.org (Malware.Packer.T) -> Not selected for removal.

C:\System Volume Information\_restore{A9A0E270-E05A-4A9A-90DC-2C564F4E3A63}\RP409\A0112295.dll (Malware.Packer.T) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{A9A0E270-E05A-4A9A-90DC-2C564F4E3A63}\RP409\A0112300.exe (Malware.Packer.T) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{A9A0E270-E05A-4A9A-90DC-2C564F4E3A63}\RP409\A0112310.dll (Malware.Packer.T) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ktlibeay80_0.9.8.2.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ktssleay80_0.9.8.2.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

und danach Prevx....und der meldet immer noch dieselben zwei Funde. :headbang:

@Navaki:
Ich glaube Du bist im Thread verrutscht, oder?
chris

Zitat:

[b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"

Hier bin ich mir nicht sicher, was ich machen soll, wenn der "Temp"-Ordner geöffnet wird... :confused:

Soll ich in Temp alles löschen? Inklusive Unterordner? Und wenn ja: auch die, die eigentlich versteckt sein sollten?

@Nicki79: Kannst Du alle löschen.

exakt - entschuldige! :taenzer: :headbang:

@Coverflow: 1-7 hab ich gemacht (bzw. 2-7, ohne Bonjour spinnt mein iTunes bei Updates und Spyware Doctor ist ne Kaufversion).

8. SUPERAntiSpyware-log:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 09/04/2009 at 01:32 AM
 

Application Version : 4.28.1008
 

Core Rules Database Version : 4084

Trace Rules Database Version: 2024
 

Scan type       : Complete Scan

Total Scan Time : 02:54:14
 

Memory items scanned      : 586

Memory threats detected   : 0

Registry items scanned    : 6760

Registry threats detected : 0

File items scanned        : 27956

File threats detected     : 2
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt

Punkt 9:

Code:

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

 Friday, September 4, 2009

 Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

 Kaspersky Online Scanner version: 7.0.26.13

 Last database update: Friday, September 04, 2009 02:12:22

 Records in database: 2744145

--------------------------------------------------------------------------------
 

Scan settings:

        scan using the following database: extended

        Scan archives: yes

        Scan e-mail databases: yes
 

Scan area - My Computer:

        C:\

        D:\
 

Scan statistics:

        Objects scanned: 104716

        Threats found: 1

        Infected objects found: 2

        Suspicious objects found: 0

        Scan duration: 06:56:36
 
 

File name / Threat / Threats count

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP655\A0140862.exe        Infected: Trojan-Spy.Win32.Zbot.aamu        1

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCGHWWIZ\lexus111[1].exe        Infected: Trojan-Spy.Win32.Zbot.aamu        1
 

Selected area has been scanned.

hi

um gründlich zu sein:

1.
öffne CCleaner und unter "Einstellungen → Benutzerdefiniert hinzufügen..."
füge noch die hier aufgelisteten Ordner hinzu:

Code:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\*.*

C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*

C:\Dokumente und Einstellungen\DeinBenutzername\Lokale Einstellungen\Temp\*.*

C:\Windows\Temp\*.*

die automatische Bereinigung, wird dann immer v. Ccleaner erledigt

2.
Sollst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Code:

bitdefender
 emsisoft
 f-secure

Mach ich...
Das Ergebnis von Bitdefender hab ich schon und hängs unten an.
A-Sqaured hab ich gestern suchen lassen, aber dummerweise den Repport nicht gespeichert (war schon spät). Da wurden 29 Cookies gefunden. Jetzt läufts grad nochmal durch, aber das dauert noch ne Weile.
Muss nachher bis Mo wegfahren und werde, sobald ich zurück bin, f-secure durchlaufen lassen und den Report posten.
Brauch ich eigentlich JavaRa noch? Und die vielen reg-Dateien, die CCleaner beim Bereinigen der Registry gespeichert hat, was mach ich mit denen?
Danke schonmal und schönes Wochenende!

...und hier ist a-squared (Anhang)

...und der Scan von F-Secure (Anhang)

hi

sonst noch Probleme?

Hi Coverflow!
Probleme nicht, bin mir nur unsicher, was ich von den Programmen, die ich die letzten Tage installiert habe (JavaRa, SUPERAntispyware...), noch brauche und was ich wieder löschen kann.
Ich bin dir so dankbar für deine Hilfe!

hi

1.
Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:

Code:

HijackThis/Trend Micro

hjtscanlist

CCleaner

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

2.
Zum Schluss, führe den folgenden Schritt aus:
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner

Lesestoff:

Windows XP hat Benutzerkonten
Ein sicherer Browser als IE ist z.B. Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
"Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw!- IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
Virenscanner
BSI für Bürger
SETI@home -
[Sicherheit] Sicherheitskonzept
`Die sieben Todsünden beim Surfen` - von Tobias Weidemann/pcwelt.de

ich wünsche dir alles Gute:)