Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus oder unerwünschtes Programm 'TR/PSW.Zbot.128000.Y.3' (https://www.trojaner-board.de/91175-virus-unerwuenschtes-programm-tr-psw-zbot-128000-y-3-a.html)

Wehri77 26.09.2010 19:55
Virus oder unerwünschtes Programm 'TR/PSW.Zbot.128000.Y.3'
 
Hallo zusammen,

nachdem ich seit ca. 2 Monaten von Antivir (Guard) des öftern die folgende Meldung erhalte:

"In der Datei 'C:\Users\****\AppData\Roaming\Peylok\itli.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Zbot.128000.Y.3' [trojan] gefunden."

habe ich "versucht" mich schlau zu machen um das Problem zu lösen.
Dabei bin ich auf dieses Forum gestoßen, da ein weiterer Nutzer dieses Forums das gleiche Problem hatte.

Ich könnte zwar jetzt alles so ausführen wie dieser andere Nutzer es getan hat, traue mich aber nicht wirklich, da ich nichts falsch machen möchte.

Daher die große Bitte an die anderen Forumsmitglieder, mir Hilfestellung (in Verständlicher Form "Ich bin Laie")zu leisten.

Jetzt habe ich die beiden Datein OTL.txt sowie Extra.txt der Software OTL angefügt und hoffe das es weiter hilft. Wenn noch weiter Daten für die Lösung des Problems benötigt werden, bitte eine kurze Rückinfo an mich.

Vielen Dank schon einmal!!!
Wehri77

cosinus 27.09.2010 22:51
Malwarebytes schon aufgeführt?
Logdateien kann man auch alle zusammen in eine Datei zippen, es ist rel. sinnfrei jede für sich zu zippen.

Wehri77 28.09.2010 16:33
Hallo Arne,

bis eben wußte ich gar nicht, dass es so ein Programm, sprich malwarebytes gibt.
Habe es mir also besorgt und einen Quick-Scan durchgeführt. Dieser brachte nicht nur eine, sondern gleich 4 infizierte Dateien zu Tage. Nachdem ich auf löschen geklickt habe und sich das System nach Aufforderung neu startete (Mannnn hat das lange gedauert) habe ich Malewarebytes (Quickscan) erneut ausgeführt. Und siehe da, alle 4 Probleme tauchen nicht mehr auf.

Super, vielen Dank für die schnelle Hilfe !!!

Gruß
Wehri77

cosinus 28.09.2010 18:06
Poste bitte das Log von malwarebytes!!

Wehri77 28.09.2010 18:19
Nabend,

anbei die Dateien von Malwarebytes vor und nach der Korrektur.

Gruß
wehri77

cosinus 28.09.2010 18:34
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Wehri77 28.09.2010 20:48
Hier nun das Log.

Gruß
Wehri77

cosinus 28.09.2010 21:20
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
PRC - C:\Users\Marko\AppData\Roaming\Peylok\itli.exe ()
SRV:64bit: - (ezSharedSvc) -- C:\Windows\SysNative\ezsvc7.dll File not found
O32 - AutoRun File - [2005.09.11 17:18:54 | 000,000,340 | -HS- | M] () - D:\AUTOMODE -- [ NTFS ]
O33 - MountPoints2\{d51605d8-f5c4-11dd-900a-001eecf4b8aa}\Shell\AutoRun\command - "" = G:\InstallTomTomHOME.exe -- File not found
[2009.12.17 14:03:55 | 000,000,088 | ---- | C] () -- C:\Users\Marko\AppData\Local\bqfti.bat
[2009.12.15 19:20:58 | 000,261,478 | ---- | C] () -- C:\Users\Marko\AppData\Local\bqfti_nav.dat
[2009.12.13 19:08:16 | 000,003,288 | ---- | C] () -- C:\Users\Marko\AppData\Local\bqfti.dat
[2009.12.13 19:08:16 | 000,001,855 | ---- | C] () -- C:\Users\Marko\AppData\Local\bqfti_navps.dat
[2009.12.13 19:03:59 | 000,000,088 | ---- | C] () -- C:\Users\Marko\AppData\Local\fsjgdfcz.bat
[2009.12.08 21:08:56 | 000,239,025 | ---- | C] () -- C:\Users\Marko\AppData\Local\jcxlg_nav.dat
[2009.12.08 21:08:56 | 000,003,302 | ---- | C] () -- C:\Users\Marko\AppData\Local\jcxlg.dat
[2009.12.08 21:08:56 | 000,001,843 | ---- | C] () -- C:\Users\Marko\AppData\Local\jcxlg_navps.dat
[2009.12.04 21:19:10 | 000,000,091 | ---- | C] () -- C:\Users\Marko\AppData\Local\rfhsdiu.bat
[2009.12.01 21:21:03 | 000,000,090 | ---- | C] () -- C:\Users\Marko\AppData\Local\mddaao.bat
[2009.11.21 21:09:21 | 000,000,089 | ---- | C] () -- C:\Users\Marko\AppData\Local\kodheje.bat
[2009.11.17 21:32:29 | 000,000,090 | ---- | C] () -- C:\Users\Marko\AppData\Local\xgqbc.bat
[2009.10.30 21:14:48 | 000,000,088 | ---- | C] () -- C:\Users\Marko\AppData\Local\nnoooo.bat
[2009.03.04 20:16:11 | 000,000,090 | ---- | C] () -- C:\Users\Marko\AppData\Local\aityf.bat
[2009.11.17 14:54:57 | 000,000,000 | ---D | M] -- C:\Users\Marko\AppData\Roaming\Peylok
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Wehri77 29.09.2010 16:00
Anhängend nun das Log nach dem fixen mit OTL.

cosinus 30.09.2010 12:37
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Wehri77 01.10.2010 12:45
Hallo Arne,

habe nun den Quick-Scan ausgeführt und als Anlage beigefügt.
Kannst Du einem "unwissenden" kurz erklären, wofür wir das jetzt hier machen, da ich davon ausgegangen bin, nach Ausführung von Malwarebytes, das alles wieder in Ordnung ist.

Vielen Dank und Gruß
Wehri77

cosinus 01.10.2010 14:40
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL):

Code:
:Files
C:\Users\Marko\AppData\Local\*.bat
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Wehri77 01.10.2010 19:42
wie gewünscht anbei das logfile.

cosinus 03.10.2010 12:06
Hast Du das ":Files" am Anfang mitkopiert?

Wehri77 10.10.2010 13:28
Ja, das ist eine sehr gute Frage, nur leider kann ich mich daran nicht mehr erinnern. Komme gerade aus dem Urlaub, daher erst jetzt meine verspätete Reaktion.

Ich habe jetzt OTL erneut gestartet und penibel darauf geachtet, nichts zu vergessen.

Anbei das Logfile.

Viele Grüße

cosinus 10.10.2010 19:57
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Wehri77 11.10.2010 16:35
Hallo Arne,

anbei die MBR-Check txt-Datei.

Viele Grüße

cosinus 11.10.2010 19:41
Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei
  • Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
  • Enter your choice: 2
  • Enter the physical disk number to fix (0-99, -1 to cancel): 0
  • Please select the MBR code to write to this drive: 3 (für Vista)
  • Gib nun Yes ein und bestätige mit ENTER.
  • Starte den Rechner neu auf.
Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

Wehri77 12.10.2010 19:24
Nabend Arne,

anbei die zwei gewünschten txt. Dokumente vom MBR Check.

Grüße
Wehri77

Wehri77 12.10.2010 19:26
Auch habe ich nun eine Datei "MBRCheck_MBR_Backup_10-12-10_20-15-20.bak" auf dem Deskop stehen. Brauchen wir die auch noch oder kann ich die löschen?

Grüße
Wehri77

cosinus 13.10.2010 09:37
Zitat:
232 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 08F21ADD893776C287CC68A3558F8D095B50ED3C
Hast Du nur Windows drauf oder noch sowas wie ne Recoverypartition oder zweites OS (Linux)?

Wehri77 13.10.2010 15:49
Die 232 GB ist ein Teil meiner Festplatte, Laufwerk D:
dort ist aber kein weiteres Betriebssystem aufgespielt.
das Laufwerk D: nutzte ich aber nicht, brauche ich also nicht wirklich.

cosinus 13.10.2010 16:48
Es geht um PhysicalDrive0 (das 1. Plattenlaufwerk) - das ist Laufwerk C: !

Zitat:
232 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 08F21ADD893776C287CC68A3558F8D095B50ED3C
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
Da Du vista hast, müssen wir den MBR mal anders fixen:

Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).
Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.

Wehri77 13.10.2010 16:58
hmmm komisch, habe gerade einmal geschaut. Laufwerk C: hat 222 GB Gesamtgröße davon 20,2 GB frei und Laufwerk D: hat 232 GB und davon 229 GB frei?!

Und es geht hier doch um die 232 GB. Das wäre aber ein komischer Zufall, wenn es nicht Laufwerk D: ist oder?

Gruß

cosinus 13.10.2010 17:15
Du versechselst was. Sowas wie C: und D: sind Partitionen bzw. Volumes. Partitionen sind ein Teil einer physikalischen Platte. Man kann eine Partition über eine ganze Platte definieren, man kann aber auch mehrere Partitionen auf einer Festplatte anlegen.

Schau Dir mal das Log genauer an:

Code:
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000037`bd900000  (NTFS)

PhysicalDrive0 Model Number: HitachiHTS543225L9A300, Rev: FBEOC44C
PhysicalDrive1 Model Number: HitachiHTS543225L9A300, Rev: FBEOC44C

    Size  Device Name          MBR Status
  --------------------------------------------
  232 GB  \\.\PhysicalDrive0  Unknown MBR code
            SHA1: 08F21ADD893776C287CC68A3558F8D095B50ED3C
    232 GB  \\.\PhysicalDrive1  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

C + E sind also Volumes/Partition auf der ersten Platte, D ist eine Partition der zweiten Platte.
Laufwerksbuchstaben sagen nichts darüber aus, auf welcher Platte bzw. Partition die sich befinden!

Worum es beim jetzigen MBR-Fix geht, ist um das erste Plattenlaufwerk (PhysiacalDrive0). Von dem wird Windows gestartet.

Wehri77 13.10.2010 17:36
OK, verstanden !

also auf der ersten Platte Laufwerk E: sind noch einmal 10 GB Speicher. Dann kommen wir ja auch auf die Gesamtsumme von 332 GB. Für die erste Festplatte.

Das Laufwerk E: hat die Bezeichnung: HP_RECOVERY (E:) und es ist nur eine Datei dort vorhanden, die auch Recovery heißt. Also handelt es sich wie von dir bereits angefragt um die Recoverypartition.

Grüße

Wehri77 13.10.2010 17:56
Ist denn jetzt alles ok bei mir oder müssen wir(Du) noch etwas unternehmen?

Grüße

cosinus 13.10.2010 18:17
Ok. Dann kann der MBR auch deswegen "unbekannt" sein, weil der Hersteller da Bootoptionen für die Recovery-Geschichte eingebaut hat.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Wehri77 14.10.2010 19:31
Hallo Arne,

hier nun die beiden Log-Dateien.

Als ich Malwarebytes ausgeführt habe ist mein Virenprogramm "angesprungen"
und folgende Meldung erschien !? Hört sich nicht gut an oder?

in der Datei 'C:\HP\BIN\EndProcess.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/KillApp.A' [program] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Viele Grüße
Marko

cosinus 15.10.2010 11:44
Zitat:
C:\USERS\MARKO\DOWNLOADS\OFFICE.XP.PROFESSIONAL.GERMAN.INKL.SERIAL\OFFICE.XP.PROFESSIONAL.GERMAN.INKL.SERIAL\SHAREPT\SQL\X86\SETUP\_ISDEL.EXE
D:\OFFICE.XP.PROFESSIONAL.GERMAN.INKL.SERIAL\OFFICE.XP.PROFESSIONAL.GERMAN.INKL.SERIAL\OFFICE.XP.PROFESSIONAL.GERMAN.INKL.SERIAL\ORK\FILES\PFILES\ORKT OOLS\ORK10\TOOLS\OCP\SETUP.EXE
:headbang: :stirn: :headbang:

Das disqualifiziert Dich leider für weitere Hinweise zur Bereinigung denn es gilt:

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Wehri77 15.10.2010 14:02
Hallo Arne,

wo Du Recht hast, hast Du recht! ... wie habe ich hier mal gelesen .... Brain.exe !
Ich werde in Zukunft genau schauen was ich, und von wem ich etwas installiere.

Ich werde nun einmal den Link anschauen, den du mir geschickt hast und das System neu aufsetzten.

Ich möchte aber trotzdem nicht versäumen, mich hier für Deinen tollen und schnellen Support zu bedanken. DANKESCHÖN !!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55