|
Plagegeister aller Art und deren Bekämpfung: Win32/Zbot.gen!YWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.06.2011, 10:17 | #1 |
| Win32/Zbot.gen!Y Hallo, erstmal freue ich mich dieses Forum gefunden zu haben und hoffe hier die Hilfe zu bekommen, die ich leider bitter nötig habe. Gestern während des Online-Bankings fielen mir ungewöhnliche "Sicherheitsabfragen" mit TAN-Eingabe auf. Meine Bank bestätigte mir, dass dies ein Trojaner sei und reagierte entsprechend. Nun habe ich Avira Premium und den Windows Defender durchlaufen lassen, beide blieben aber ohne Ergebnis. Erst Windows Malicious erkannte dann den Eindringling, konnte ihn aber selbst nicht entfernen: PWS:Win32/Zbot.gen!Y Von dieser Seite her erfuhr ich auch, dass dieser Trojaner als schwerwiegend eingeschätzt wird. Da mich das Neuaufsetzen des PC mehrere Tage kosten würde, würde ich gerne erstmal versuchen ihn zu säubern und erbitte eure Hilfe. Viele Grüße und vielen Dank im voraus, DaLendil |
22.06.2011, 10:24 | #2 |
/// Malware-holic | Win32/Zbot.gen!Y hi
__________________1. bank anrufen, onlinebanking sperren. 2. naja, wenn man keine backups macht, muss man sich nicht wundern, damit wäre die sache in 10 minuten erledigt. ich sehe jetzt schon das das system neu aufgesetzt gehört, wir werden es soweit machen das wir sicher daten sichern können, dann wird das system formatiert, also neu instaliert, und ich zeig dir wie mans dann richtig schützt 3. otl achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKCU..\Run: [{CB16A380-7565-5E4C-C07B-FE10C805D740}] C:\Users\*\AppData\Roaming\Igyhvo\peges.exe () :Files C:\Users\*\AppData\Roaming\Igyhvo :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html
__________________ |
22.06.2011, 10:51 | #3 |
| Win32/Zbot.gen!Y Danke für deine Hilfe.
__________________Hier ist der Log: Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{CB16A380-7565-5E4C-C07B-FE10C805D740} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB16A380-7565-5E4C-C07B-FE10C805D740}\ not found. File C:\Users\*\AppData\Roaming\Igyhvo\peges.exe not found. ========== FILES ========== File\Folder C:\Users\*\AppData\Roaming\Igyhvo not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Bastian ->Flash cache emptied: 48821 bytes User: Default ->Flash cache emptied: 41620 bytes User: Default User ->Flash cache emptied: 0 bytes User: Public Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] |
22.06.2011, 11:09 | #4 |
/// Malware-holic | Win32/Zbot.gen!Y na wenn du im log deinen benutzernamen löschst ist es doch logisch das du in meinem script den benutzernamen wieder hinzufügen musst damits klappt... führs noch mal aus und lads dann hoch bitte, das gepackte moved files in den upload channel.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.06.2011, 12:11 | #5 |
| Win32/Zbot.gen!Y Sorry, das habe ich nicht gesehen. OTL hat sich beim ersten Versuch direkt nach dem Klick auf FIX aufgehängt, nach einer Stunde ohne Weiterkommen habe ich den Rechner neugestartet und es nochmal versucht. Hier die beiden Logs, ZIP ist erneut hochgeladen. Code:
ATTFilter Files\Folders moved on Reboot... C:\Users\X\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{CB16A380-7565-5E4C-C07B-FE10C805D740} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB16A380-7565-5E4C-C07B-FE10C805D740}\ not found. File C:\Users\*\AppData\Roaming\Igyhvo\peges.exe not found. ========== FILES ========== File\Folder C:\Users\X\AppData\Roaming\Igyhvo not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Bastian ->Flash cache emptied: 0 bytes User: Default ->Flash cache emptied: 0 bytes User: Default User ->Flash cache emptied: 0 bytes User: Public Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] |
22.06.2011, 12:14 | #6 |
/// Malware-holic | Win32/Zbot.gen!Y man dankt. also, bei diesem befall würd ich in den sauren apfel beißen, daten sichern und neu machen. ich erkläre dir, wie man formatiert, falls dies nötig ist. und wie man das system richtig absichert, heißt auch mit automatischer datensicherung etc, damits beim nächsten mal nur 5 minuten dauert um das system sauber mit allen daten zurück zu setzen. das ist zwar erst mal viel arbeit, lohnt sich aber.
__________________ --> Win32/Zbot.gen!Y |
22.06.2011, 12:33 | #7 |
| Win32/Zbot.gen!Y Gut, dann werde ich dies tun. Für jede Art der Hilfe um es das nächste Mal zu verhindern, bzw. schmerzfreier zu gestalten wäre ich sehr dankbar. Kannst du mir etwas über die Art des Befalls erzählen? Ich bin zwar nicht völlig unbedarft, aber nah dran. PS: Kann ich Datenträger risikofrei anschließen oder könnte sich der Trojaner auch darauf einnisten? Geändert von DaLendil (22.06.2011 um 13:05 Uhr) |
22.06.2011, 13:57 | #8 |
/// Malware-holic | Win32/Zbot.gen!Y hi, datenträger kannst du anschließen. dieser trojaner nennt sich zbot, oder wahlweise auch zeus. er hat es, wie dir ja selbst aufgefallen ist, auf bank daten und sonstiges abgesehen, womit sich geld machen lässt. deaktiviere autorun: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de sichere daten. normalerweise sollte es auch so gehen, aber sicher ist sicher. die tipps gibts, wenn du die daten gesichert hast. weist du, wie man formatiert oder soll das in die anleitung?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.06.2011, 14:09 | #9 |
| Win32/Zbot.gen!Y Wenn ich Win7 neu aufspiele sollte mir die Wahlmöglichkeit Formatieren geboten werden, ich denke das ist nicht das Problem. Daten sind in in ein paar Minuten gesichert, kopiert nur noch. |
22.06.2011, 14:12 | #10 |
/// Malware-holic | Win32/Zbot.gen!Y ja, benutzerdefiniert auswählen, dann bis zu dem screen wo du die partitionen bzw festplatten siehst, dort unter erweiterte optionen auf formatieren, dann auf windows instalieren, falls daten nach windows.old verschoben werden sollen ist was falsch gelaufen. wenn du treiber cds hast, bzw support cds vom hersteller die danach instalieren. dann öffnest du start, suchen tippe: windows update enter dann klicke auf optionale updates, instaliere so lange, bis es nichts neues mehr gibt. der pc wird neustarten, dann musst du die seite erneut aufrufen. das selbe mit den optionalen updates. dann kommt diese anleitung, sie ist lang, lies und arbeite langsam, dafür richtig. wenn du die funktionsweise eines programmes, einer funktion nicht verstehst, lasse sie nicht weg, sondern frage, dafür sind wir hier. http://www.trojaner-board.de/96344-a...-rechners.html hier alles unter windows xp / und allgemeines abarbeiten! außerdem den abschnitt Maßnahmen für ALLE Windows-Versionen abarbeiten. als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier: Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition denke die haben das beste gesammt angebot für kostenlose produkte. als browser opera. falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt. um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.06.2011, 14:22 | #11 |
| Win32/Zbot.gen!Y Ich danke dir und werde mich durcharbeiten. Eine Frage noch vorher: Ich habe eine Avira Premium Lizenz, zum Zeitpunkt des Befalls war aber nur die Freeware installiert. Die Premium-Version habe ich erst nach dem Befall installiert, weswegen es wahrscheinlich nicht verwunderlich ist, dass sie nichts gefunden hat. Kann ich Avira Premium weiter verwenden, oder ist Avast Free trotzdem ratsamer? |
22.06.2011, 14:24 | #12 |
/// Malware-holic | Win32/Zbot.gen!Y naja wenn du schon ne lizenz hast wäre es ja blöd jetzt was anderes zu instalieren. obwohl ich im moment avast beforzuge. avira genauestens nach anleitung instalieren: http://www.trojaner-board.de/54192-a...tellungen.html achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig. unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren. die anleitung ist zwar für die free, passt aber größtenteils für die premium.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.06.2011, 19:53 | #13 |
| Win32/Zbot.gen!Y So, ich denke ich bin soweit durch. Einzig bei Panda habe ich noch Schwierigkeiten, da ich nicht finde wo es zu konfigurieren ist, und Back-ups sind noch nicht gemacht, weil meine Platte noch nicht leer ist, bzw ich nur eine habe. Somit hoffe ich, dass der PC jetzt wieder Virefrei ist und es auch auf absehbare Zeit bleibt. Danke dir! |
22.06.2011, 19:54 | #14 |
/// Malware-holic | Win32/Zbot.gen!Y du meinst panda vaccine? hast du ein symbol neben der uhr, da drauf klicken und über die programm oberfläche konfigurieren. ansonsten kommst du mit allen programmen klar, sandboxie secunia filehippo? einstellungen gemacht, also eingeschrenktes nutzerkonto für die tägliche arbeit etc? updates konfiguriert?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.06.2011, 09:13 | #15 |
| Win32/Zbot.gen!Y Alle Programme aufgespielt und konfiguriert, Konten sind getrennt. Bei Panda Vaccine find ich in der Programm-Oberfläche keinen Punkt zum konfigurieren, auch ein Rechtsklick auf das Symbol neben der Uhr bietet mir nur nur Show und Exit als Möglichkeiten. Bin ich mit Blindheit geschlagen? |
Themen zu Win32/Zbot.gen!Y |
avira, defender, eindringling, entferne, entfernen, erbitte, forum, freue, gefunde, hoffe, konnte, kosten, malicious, neuaufsetzen, nötig, premium, seite, säubern, troja, trojaner, versuche, win, win32/zbot.gen!y, windows, würde |