Hallo,
ich habe mir vor zwei Tagen diesen Bundestrojaner eingefangen, mit der Aufforderung 100 Euro zu bezahlen. Nach etwas stöbern in diesem tollen Forum habe ich meinen Lappi im Abgesicherten Modus auf einen früheren Zeitpunkt zurücksetzen können. Anschließend habe ich mir das Programm von Malwarebytes runtergeladen und einen Komplettscan gemacht.
Folgendes wurde gefunden:

Trojan.Zbot.CBCGen

Wie soll ich weiter vorgehen? Kann ich meine Daten auf einer externen Festplatte nun absichern? Muss ich meinen Laptop neu "aufsetzen"?

Würde mich sehr freuen wenn mir jemand helfen kann da ich mich leider nicht soooo toll auskenne, vielen Dank erstmal

Grüße
Thomas

Hier noch der Scan-Bericht:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8396

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

19.12.2011 13:18:36
mbam-log-2011-12-19 (13-18-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 331081
Laufzeit: 2 Stunde(n), 35 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Thomas\AppData\LocalLow\Sun\Java\deployment\cache\6.0\39\47427ee7-4f5bf8eb (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo, nein ist das erste mal dass ich dieses Programm verwendet habe.

Grüße
Thomas

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,
ESET hat folgendes gefunden:

Code: Alles auswählenAufklappen

ATTFilter

C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cl264dec.ax	probably a variant of Win32/Hupigon.DCPCEC trojan
C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldabc.dll	probably a variant of Win32/Hupigon.EFSSZFA trojan
C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldorz.dll	probably a variant of Win32/Hupigon.KQQLKZT trojan
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\61d88c50-5fdef2ba	Java/Exploit.CVE-2011-3544.D trojan
         

Wie gehts denn weiter?

Viele Grüße
Thomas

Achso,

Das hier hab ich noch:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a0e91d3b1af49f44bd26f023c768e9ea
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-19 09:31:45
# local_time=2011-12-19 10:31:45 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1797 16775166 100 100 44248 99216746 891741 0
# compatibility_mode=5893 16776573 100 94 7372 76758925 0 0
# compatibility_mode=8192 67108863 100 0 3879 3879 0 0
# scanned=166773
# found=4
# cleaned=0
# scan_time=10123
C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cl264dec.ax	probably a variant of Win32/Hupigon.DCPCEC trojan (unable to clean)	00000000000000000000000000000000	I
C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldabc.dll	probably a variant of Win32/Hupigon.EFSSZFA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldorz.dll	probably a variant of Win32/Hupigon.KQQLKZT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\61d88c50-5fdef2ba	Java/Exploit.CVE-2011-3544.D trojan (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a0e91d3b1af49f44bd26f023c768e9ea
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-20 08:16:34
# local_time=2011-12-20 09:16:34 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1797 16775166 100 100 83532 99256030 931025 0
# compatibility_mode=5893 16776573 100 94 3925 76798209 0 0
# compatibility_mode=8192 67108863 100 0 43163 43163 0 0
# scanned=167246
# found=4
# cleaned=0
# scan_time=9528
C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cl264dec.ax	probably a variant of Win32/Hupigon.DCPCEC trojan (unable to clean)	00000000000000000000000000000000	I
C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldabc.dll	probably a variant of Win32/Hupigon.EFSSZFA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Program Files\Acer Arcade Deluxe\PlayMovie\VideoFilter\cldorz.dll	probably a variant of Win32/Hupigon.KQQLKZT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\61d88c50-5fdef2ba	Java/Exploit.CVE-2011-3544.D trojan (unable to clean)	00000000000000000000000000000000	I
         

Grüße

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,
...also irgendwas stimmt nicht...habe mir Otl runtergeladen, aber läuft schon mehrere Stunden, ist das normal? Hab schon mehrmals gestartet...immer das gleiche nach einiger zeit....hängt irgendwie

Grüße
Thomas

Dann probier es bitte im abgesicherten Modus aus

Guten Morgen,
hab´s im abgesicherten Modus probiert aber funktioniert auch nicht...
Der Scanner läuft kurz und bleibt dann stehen bei:

Scanning service: [verify-U]...

..hoffe das hilft vielleicht weiter?

Grüße
Thomas

Dann mach es "nur" so im normalen Modus

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo,
hab´s probiert aber will einfach nicht funktionieren(Scan und Qick Scan)...bleibt immer an der selben Stelle hängen...gibts doch nicht...und nun??

Grüße
Thomas

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.