Sauber oder nicht? Infiziert mit TR/Spy.ZBot.ind.5; Weiterleitung auf alltimes.com, evtl. gefixt...

tuxer2002

Hallo zusammen,

ich habe ein verdammt unsicheres Gefühl auf Grund eine Infektion mit einem Virus von dem Rechner meiner Frau und hoffe, ihr könnte mir helfen: Der Patient ist ein Lenovo Thinkpad. Das System ist ca. ein halbes Jahr alt.

Ausnahmsweise weiß ich leider recht genau, wie das System infiziert wurde: Ein kontaminierter USB-Stick hat am 22.01.2012 (~17:30 Uhr) beim Anschluss an den Rechner das laufende Antivir veranlasst, die auf dem Stick hinterlegte autorun.inf zu blockieren. Ich habe blöderweise kurz den Virenschutz deaktiviert, um eine Datei vom USB-Stick zu öffnen, dumm! In dem Moment kam dieses Windows Menü "Was wollen sie mit dem Datenträger tun", ich habe mir eingebildet, dass es irgendwie anders aussah. Auf dem USB-Stick waren Dateien, die dort nicht sein sollten. Ein Scan mit dem Virenscanner ergab dann den Fund des Trojaners:
"D:\winrsrvdr32.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.ind.5"

Ich habe sofort wieder den Virenschutz aktiviert und das gesamte System scannen lassen, es wurden aber bis auf die Datei auf dem USB-Stick keine Infektion gefunden. Ich habe uns dann sicher gewähnt...

Am übernächsten Tag hat der Rechner nach einem Neustart dann erste Sonderlichkeiten gezeigt: Beim Surfen landete man bei einer google Suche ständig auf der Seite: (thealltimes.com). Da bin ich auch hier auf das Forum gestoßen, diese Seite (thealltimes.com) scheint ja öfter in Zusammenhang mit Trojanern aufzutauchen. Habe dann den Rechner vom Internet getrennt und am Wochenende versucht, das Problem zu beheben:

Da ich Hinweise gefunden hatte, dass solche Trojaner öfter im MBR unterwegs sind, habe ich den Rechner mit der Rettungspartition gestartet (kann man beim lenovo-System-Start auswählen). Dort habe ich 1. den letzten Systemwiederherstellungspunkt vor der Infektion ausgewählt und wiederherstellen lassen und 2. in der Rettungskonsole den mbr repariert (Bootrec.exe /FixMbr).

Dann habe ich mich hier durch verschiedene Beiträge gelesen, welche Tools ein befallenes System untersuchen können, Malwarebytes' Anti-Malware, PCDoctorBackgroundMonitorTask.job, UnHackMe. Keines der Programme hat irgendetwas gefunden. Ich habe dann (29.01.2012) OTL hier (hatte die dateinamen der tools umbennant, otl.exe heißt irk.exe) gefunden und einen Scan durchgeführt.

Ab da an hat sich das System wieder völlig normal verhalten. Wir haben aber schon ein wenig Vertrauen verloren und Onlinebanking o.ä. nicht mehr mit dem Rechner durchgeführt. Einmal gab es noch ein kurzes Zwischenspiel: www.google.de war von dem Rechner aus nicht erreichbar. Ich kann leider nicht sagen, ob es ein temporäres Problem vom Rechner oder vom Internetanschluss war. Ein Neustart des Rechners hat nicht gebracht, nach ca. 1 Stunde ging aber alles wieder. Als weitere Aktion habe ich dann das proramm regrun reanimator heruntergeladen / installiert. Hat bei jedem Start sich gemeldet und 58 Dinge gefunden, u.a. den Explorer von Windows.

Ich weiß jetzt nicht mehr schlau weiter, habe Angst vieleicht weiter falsche Dinge zu tun und kann vor allem nicht einschätzen, was jetzt los ist. Meine Riesenbitte wäre, ob sich jemand das angehängte OTL-Log File anschauen könnte, ob da noch verräterische Spuren zu erkennen sind? Ich habe damals zwar auch ein OTL File erzeugt, aber glaube ich einen haken falsch gesetzt, jedenfalls ist die Datei 2,5MB groß... Ich habe den Scan jetzt noch einmal durchführt und das Feld "Datei-Alter" auf 60 Tage gestellt, damit der kritische Bereich eingeschlossen ist. Ich kann gerne auch andere Analyseschritte durchführen, wenn das irgendwie hilfreich ist. Ich habe in dem Logfile den tatsächlichen Usernamen durch ##USER## ersetzt sowie einige Pfade teilweise mit Rauten ersetzt.

Vielen Dank und einen schönen Abend,

Henning