Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"

"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


Plagegeister aller Art und deren Bekämpfung: "Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.03.2012, 14:54   #1
infecteduser
 
"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" - Standard

"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


ok danke mach ich gleich, muss malewarebytes ein zweites mal laufen lassen, nach dem ersten mal hat es mein Windows neu gestartet und es gab keinen log mehr :/

Alt 12.03.2012, 14:59   #2
Chris4You
 
"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" - Standard

"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


Hi,

starte MAM und schau mal auf dem Reiter "Logdateien" nach, poste das entsprechende LOG...

Wir prüfen nach her noch den MBR und auf TDSS..

chris
__________________

__________________
Alt 12.03.2012, 15:05   #3
infecteduser
 
"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" - Standard

"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


soll ich den suchlauf den ich gestartet habe also wieder abbrechen?
__________________
Alt 12.03.2012, 15:23   #4
Chris4You
 
"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" - Standard

"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


Hi,

nein, lass laufen und poste dann einfach bei logs...

Später dann:
TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

aswMBR
Von http://filepony.de/download-aswmbr/ die aswMBR.exe runterladen und auf dem Desktop speichern.
  • Doppelklick auf die aswMBR.exe.
  • Scan-Button anklicken
  • Bootsectoren (MBR) etc. werden nun untersucht.....
  • Log speichern und im Thread posten

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 12.03.2012, 15:59   #5
infecteduser
 
"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" - Standard

"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


so hier mal alle Scanns:

Malewarebytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.12.02

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Default :: DEFAULT-PC [Administrator]

Schutz: Aktiviert

12.03.2012 14:43:41
mbam-log-2012-03-12 (14-43-41).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 441644
Laufzeit: 1 Stunde(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

OTL:

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default.Default-PC
->Temp folder emptied: 263326818 bytes
->Temporary Internet Files folder emptied: 188410584 bytes
->Java cache emptied: 52193042 bytes
->FireFox cache emptied: 130617503 bytes
->Opera cache emptied: 11358255 bytes
->Flash cache emptied: 470 bytes
 
User: DEFAUL~1~DEF
->Temp folder emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 107105487 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 718,00 mb
 
 
OTL by OldTimer - Version 3.2.36.3 log created on 03122012_154650

Files\Folders moved on Reboot...
C:\Users\Default.Default-PC\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

tdsskiller:
Code:
ATTFilter
15:57:12.0473 1348	TDSS rootkit removing tool 2.7.20.0 Mar  9 2012 17:10:43
15:57:12.0753 1348	============================================================
15:57:12.0753 1348	Current date / time: 2012/03/12 15:57:12.0753
15:57:12.0753 1348	SystemInfo:
15:57:12.0753 1348	
15:57:12.0753 1348	OS Version: 6.1.7600 ServicePack: 0.0
15:57:12.0753 1348	Product type: Workstation
15:57:12.0753 1348	ComputerName: DEFAULT-PC
15:57:12.0753 1348	UserName: Default
15:57:12.0753 1348	Windows directory: C:\Windows
15:57:12.0753 1348	System windows directory: C:\Windows
15:57:12.0753 1348	Running under WOW64
15:57:12.0753 1348	Processor architecture: Intel x64
15:57:12.0753 1348	Number of processors: 4
15:57:12.0753 1348	Page size: 0x1000
15:57:12.0753 1348	Boot type: Normal boot
15:57:12.0753 1348	============================================================
15:57:14.0625 1348	Drive \Device\Harddisk0\DR0 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
15:57:14.0625 1348	Drive \Device\Harddisk1\DR1 - Size: 0x1D1C1116000 (1863.02 Gb), SectorSize: 0x200, Cylinders: 0x3B601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
15:57:14.0625 1348	Drive \Device\Harddisk2\DR2 - Size: 0x1D1C1116000 (1863.02 Gb), SectorSize: 0x200, Cylinders: 0x3B601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
15:57:14.0625 1348	\Device\Harddisk0\DR0:
15:57:14.0625 1348	MBR used
15:57:14.0625 1348	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x32000
15:57:14.0625 1348	\Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x32800, BlocksNum 0x3A353000
15:57:14.0625 1348	\Device\Harddisk1\DR1:
15:57:14.0625 1348	GPT used
15:57:14.0625 1348	\Device\Harddisk1\DR1\Partition0: GPT, TypeGUID: {E3C9E316-0B5C-4DB8-817D-F92DF00215AE}, UniqueGUID: {243D31A8-A48C-4488-A2A9-EAC517EBF326}, Name: Microsoft reserved partition, StartLBA 0x22, BlocksNum 0x40000
15:57:14.0625 1348	\Device\Harddisk1\DR1\Partition1: GPT, TypeGUID: {EBD0A0A2-B9E5-4433-87C0-68B6B72699C7}, UniqueGUID: {5F7A2127-5DA3-4181-BE49-AE41CA5998D1}, Name: Basic data partition, StartLBA 0x40800, BlocksNum 0xE8DC8000
15:57:14.0625 1348	\Device\Harddisk2\DR2:
15:57:14.0625 1348	MBR used
15:57:14.0625 1348	\Device\Harddisk2\DR2\Partition0: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0xE8E08000
15:57:14.0641 1348	Initialize success
15:57:14.0641 1348	============================================================
15:57:28.0166 1584	============================================================
15:57:28.0166 1584	Scan started
15:57:28.0166 1584	Mode: Manual; SigCheck; TDLFS; 
15:57:28.0166 1584	============================================================
15:57:28.0712 1584	1394ohci - ok
15:57:28.0728 1584	ACPI - ok
15:57:28.0728 1584	AcpiPmi - ok
15:57:28.0728 1584	adp94xx - ok
15:57:28.0743 1584	adpahci - ok
15:57:28.0743 1584	adpu320 - ok
15:57:28.0775 1584	AFD - ok
15:57:28.0775 1584	agp440 - ok
15:57:28.0775 1584	aliide - ok
15:57:28.0790 1584	amdide - ok
15:57:28.0790 1584	AmdK8 - ok
15:57:28.0790 1584	AmdPPM - ok
15:57:28.0790 1584	amdsata - ok
15:57:28.0790 1584	amdsbs - ok
15:57:28.0806 1584	amdxata - ok
15:57:28.0821 1584	androidusb - ok
15:57:28.0837 1584	AppID - ok
15:57:28.0853 1584	arc - ok
15:57:28.0853 1584	arcsas - ok
15:57:28.0853 1584	AsIO - ok
15:57:28.0868 1584	AsyncMac - ok
15:57:28.0868 1584	atapi - ok
15:57:28.0884 1584	AtiPcie - ok
15:57:28.0899 1584	avgntflt - ok
15:57:28.0915 1584	avipbb - ok
15:57:28.0915 1584	avkmgr - ok
15:57:28.0915 1584	avmeject - ok
15:57:28.0931 1584	b06bdrv - ok
15:57:28.0931 1584	b57nd60a - ok
15:57:28.0931 1584	Beep - ok
15:57:28.0946 1584	blbdrive - ok
15:57:28.0946 1584	bowser - ok
15:57:28.0946 1584	BrFiltLo - ok
15:57:28.0946 1584	BrFiltUp - ok
15:57:28.0962 1584	Brserid - ok
15:57:28.0962 1584	BrSerWdm - ok
15:57:28.0962 1584	BrUsbMdm - ok
15:57:28.0962 1584	BrUsbSer - ok
15:57:28.0962 1584	BTHMODEM - ok
15:57:28.0977 1584	cdfs - ok
15:57:28.0977 1584	cdrom - ok
15:57:28.0993 1584	circlass - ok
15:57:28.0993 1584	CLFS - ok
15:57:28.0993 1584	CmBatt - ok
15:57:29.0009 1584	cmdide - ok
15:57:29.0009 1584	CNG - ok
15:57:29.0009 1584	Compbatt - ok
15:57:29.0009 1584	CompositeBus - ok
15:57:29.0024 1584	crcdisk - ok
15:57:29.0024 1584	CSC - ok
15:57:29.0040 1584	DfsC - ok
15:57:29.0040 1584	discache - ok
15:57:29.0040 1584	Disk - ok
15:57:29.0055 1584	drmkaud - ok
15:57:29.0055 1584	DXGKrnl - ok
15:57:29.0055 1584	ebdrv - ok
15:57:29.0071 1584	elxstor - ok
15:57:29.0071 1584	ErrDev - ok
15:57:29.0071 1584	exfat - ok
15:57:29.0071 1584	fastfat - ok
15:57:29.0087 1584	fdc - ok
15:57:29.0102 1584	FileInfo - ok
15:57:29.0102 1584	Filetrace - ok
15:57:29.0102 1584	flpydisk - ok
15:57:29.0118 1584	FltMgr - ok
15:57:29.0149 1584	FsDepends - ok
15:57:29.0149 1584	Fs_Rec - ok
15:57:29.0149 1584	fvevol - ok
15:57:29.0149 1584	fwlanusbn - ok
15:57:29.0149 1584	gagp30kx - ok
15:57:29.0165 1584	GMSIPCI - ok
15:57:29.0165 1584	hcw85cir - ok
15:57:29.0165 1584	HdAudAddService - ok
15:57:29.0165 1584	HDAudBus - ok
15:57:29.0180 1584	HidBatt - ok
15:57:29.0180 1584	HidBth - ok
15:57:29.0180 1584	HidIr - ok
15:57:29.0180 1584	HidUsb - ok
15:57:29.0196 1584	HpSAMD - ok
15:57:29.0196 1584	HTTP - ok
15:57:29.0196 1584	hwpolicy - ok
15:57:29.0196 1584	i8042prt - ok
15:57:29.0211 1584	iaStorV - ok
15:57:29.0211 1584	iirsp - ok
15:57:29.0211 1584	intelide - ok
15:57:29.0227 1584	intelppm - ok
15:57:29.0227 1584	IpFilterDriver - ok
15:57:29.0227 1584	IPMIDRV - ok
15:57:29.0227 1584	IPNAT - ok
15:57:29.0243 1584	IRENUM - ok
15:57:29.0243 1584	isapnp - ok
15:57:29.0243 1584	iScsiPrt - ok
15:57:29.0243 1584	kbdclass - ok
15:57:29.0243 1584	kbdhid - ok
15:57:29.0258 1584	KSecDD - ok
15:57:29.0258 1584	KSecPkg - ok
15:57:29.0258 1584	ksthunk - ok
15:57:29.0289 1584	LHidFilt - ok
15:57:29.0289 1584	lltdio - ok
15:57:29.0289 1584	LSI_FC - ok
15:57:29.0305 1584	LSI_SAS - ok
15:57:29.0305 1584	LSI_SAS2 - ok
15:57:29.0305 1584	LSI_SCSI - ok
15:57:29.0305 1584	luafv - ok
15:57:29.0305 1584	LUsbFilt - ok
15:57:29.0321 1584	MBAMProtector - ok
15:57:29.0336 1584	megasas - ok
15:57:29.0336 1584	MegaSR - ok
15:57:29.0336 1584	Modem - ok
15:57:29.0352 1584	monitor - ok
15:57:29.0352 1584	mouclass - ok
15:57:29.0352 1584	mouhid - ok
15:57:29.0352 1584	mountmgr - ok
15:57:29.0352 1584	mpio - ok
15:57:29.0367 1584	mpsdrv - ok
15:57:29.0367 1584	MRxDAV - ok
15:57:29.0367 1584	mrxsmb - ok
15:57:29.0367 1584	mrxsmb10 - ok
15:57:29.0383 1584	mrxsmb20 - ok
15:57:29.0383 1584	msahci - ok
15:57:29.0383 1584	msdsm - ok
15:57:29.0383 1584	Msfs - ok
15:57:29.0399 1584	mshidkmdf - ok
15:57:29.0399 1584	msisadrv - ok
15:57:29.0399 1584	MSKSSRV - ok
15:57:29.0399 1584	MSPCLOCK - ok
15:57:29.0414 1584	MSPQM - ok
15:57:29.0414 1584	MsRPC - ok
15:57:29.0414 1584	mssmbios - ok
15:57:29.0414 1584	MSTEE - ok
15:57:29.0430 1584	MTConfig - ok
15:57:29.0430 1584	MTsensor - ok
15:57:29.0430 1584	Mup - ok
15:57:29.0430 1584	NativeWifiP - ok
15:57:29.0445 1584	NDIS - ok
15:57:29.0445 1584	NdisCap - ok
15:57:29.0445 1584	NdisTapi - ok
15:57:29.0445 1584	Ndisuio - ok
15:57:29.0445 1584	NdisWan - ok
15:57:29.0461 1584	NDProxy - ok
15:57:29.0461 1584	NetBIOS - ok
15:57:29.0461 1584	NetBT - ok
15:57:29.0477 1584	nfrd960 - ok
15:57:29.0477 1584	Npfs - ok
15:57:29.0492 1584	nsiproxy - ok
15:57:29.0492 1584	Ntfs - ok
15:57:29.0492 1584	Null - ok
15:57:29.0508 1584	nusb3hub - ok
15:57:29.0508 1584	nusb3xhc - ok
15:57:29.0523 1584	NVHDA - ok
15:57:29.0523 1584	nvlddmkm - ok
15:57:29.0523 1584	nvraid - ok
15:57:29.0523 1584	nvstor - ok
15:57:29.0539 1584	nv_agp - ok
15:57:29.0539 1584	ohci1394 - ok
15:57:29.0555 1584	Parport - ok
15:57:29.0555 1584	partmgr - ok
15:57:29.0555 1584	pci - ok
15:57:29.0555 1584	pciide - ok
15:57:29.0570 1584	pcmcia - ok
15:57:29.0570 1584	pcw - ok
15:57:29.0570 1584	PEAUTH - ok
15:57:29.0586 1584	PptpMiniport - ok
15:57:29.0601 1584	Processor - ok
15:57:29.0601 1584	Psched - ok
15:57:29.0601 1584	ql2300 - ok
15:57:29.0617 1584	ql40xx - ok
15:57:29.0617 1584	QWAVEdrv - ok
15:57:29.0617 1584	RasAcd - ok
15:57:29.0617 1584	RasAgileVpn - ok
15:57:29.0633 1584	Rasl2tp - ok
15:57:29.0633 1584	RasPppoe - ok
15:57:29.0633 1584	RasSstp - ok
15:57:29.0633 1584	rdbss - ok
15:57:29.0648 1584	rdpbus - ok
15:57:29.0648 1584	RDPCDD - ok
15:57:29.0648 1584	RDPDR - ok
15:57:29.0648 1584	RDPENCDD - ok
15:57:29.0664 1584	RDPREFMP - ok
15:57:29.0664 1584	RDPWD - ok
15:57:29.0664 1584	rdyboost - ok
15:57:29.0679 1584	rspndr - ok
15:57:29.0695 1584	RTL8167 - ok
15:57:29.0695 1584	s0016bus - ok
15:57:29.0695 1584	s0016mdfl - ok
15:57:29.0695 1584	s0016mdm - ok
15:57:29.0695 1584	s0016mgmt - ok
15:57:29.0711 1584	s0016nd5 - ok
15:57:29.0711 1584	s0016obex - ok
15:57:29.0711 1584	s0016unic - ok
15:57:29.0711 1584	s3cap - ok
15:57:29.0726 1584	SbieDrv - ok
15:57:29.0726 1584	sbp2port - ok
15:57:29.0726 1584	scfilter - ok
15:57:29.0742 1584	secdrv - ok
15:57:29.0742 1584	Serenum - ok
15:57:29.0757 1584	Serial - ok
15:57:29.0757 1584	sermouse - ok
15:57:29.0757 1584	sffdisk - ok
15:57:29.0773 1584	sffp_mmc - ok
15:57:29.0773 1584	sffp_sd - ok
15:57:29.0773 1584	sfloppy - ok
15:57:29.0773 1584	SiSRaid2 - ok
15:57:29.0789 1584	SiSRaid4 - ok
15:57:29.0789 1584	Smb - ok
15:57:29.0789 1584	speedfan - ok
15:57:29.0789 1584	spldr - ok
15:57:29.0820 1584	sptd - ok
15:57:29.0820 1584	srv - ok
15:57:29.0820 1584	srv2 - ok
15:57:29.0820 1584	srvnet - ok
15:57:29.0913 1584	ssadbus - ok
15:57:29.0929 1584	ssadmdfl - ok
15:57:29.0945 1584	ssadmdm - ok
15:57:29.0945 1584	sscdbus - ok
15:57:29.0976 1584	sscdmdfl - ok
15:57:29.0976 1584	sscdmdm - ok
15:57:29.0991 1584	stexstor - ok
15:57:30.0007 1584	storflt - ok
15:57:30.0007 1584	storvsc - ok
15:57:30.0007 1584	swenum - ok
15:57:30.0023 1584	tap0901 - ok
15:57:30.0038 1584	Tcpip - ok
15:57:30.0038 1584	TCPIP6 - ok
15:57:30.0038 1584	tcpipreg - ok
15:57:30.0054 1584	TDPIPE - ok
15:57:30.0054 1584	TDTCP - ok
15:57:30.0054 1584	tdx - ok
15:57:30.0069 1584	TermDD - ok
15:57:30.0069 1584	truecrypt - ok
15:57:30.0085 1584	tssecsrv - ok
15:57:30.0085 1584	tunnel - ok
15:57:30.0101 1584	uagp35 - ok
15:57:30.0101 1584	udfs - ok
15:57:30.0101 1584	uliagpkx - ok
15:57:30.0101 1584	umbus - ok
15:57:30.0116 1584	UmPass - ok
15:57:30.0147 1584	usbaudio - ok
15:57:30.0147 1584	usbccgp - ok
15:57:30.0163 1584	usbcir - ok
15:57:30.0163 1584	usbehci - ok
15:57:30.0163 1584	usbfilter - ok
15:57:30.0179 1584	usbhub - ok
15:57:30.0179 1584	usbohci - ok
15:57:30.0179 1584	usbprint - ok
15:57:30.0179 1584	USBSTOR - ok
15:57:30.0179 1584	usbuhci - ok
15:57:30.0194 1584	usbvideo - ok
15:57:30.0194 1584	vdrvroot - ok
15:57:30.0194 1584	vga - ok
15:57:30.0210 1584	VgaSave - ok
15:57:30.0210 1584	vhdmp - ok
15:57:30.0210 1584	VIAHdAudAddService - ok
15:57:30.0210 1584	viaide - ok
15:57:30.0225 1584	vmbus - ok
15:57:30.0225 1584	VMBusHID - ok
15:57:30.0225 1584	volmgr - ok
15:57:30.0225 1584	volmgrx - ok
15:57:30.0225 1584	volsnap - ok
15:57:30.0241 1584	vsmraid - ok
15:57:30.0241 1584	vwifibus - ok
15:57:30.0241 1584	WacomPen - ok
15:57:30.0241 1584	WANARP - ok
15:57:30.0257 1584	Wanarpv6 - ok
15:57:30.0257 1584	Wd - ok
15:57:30.0272 1584	Wdf01000 - ok
15:57:30.0288 1584	WfpLwf - ok
15:57:30.0288 1584	whfltr2k - ok
15:57:30.0288 1584	WIMMount - ok
15:57:30.0303 1584	WinUsb - ok
15:57:30.0303 1584	WmiAcpi - ok
15:57:30.0319 1584	ws2ifsl - ok
15:57:30.0335 1584	WudfPf - ok
15:57:30.0335 1584	WUDFRd - ok
15:57:30.0350 1584	MBR (0x1B8)     (9c58313c5dda6d94904a3d60ad87b6bb) \Device\Harddisk0\DR0
15:57:30.0615 1584	\Device\Harddisk0\DR0 - ok
15:57:30.0631 1584	MBR (0x1B8)     (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk1\DR1
15:57:30.0771 1584	\Device\Harddisk1\DR1 - ok
15:57:30.0771 1584	MBR (0x1B8)     (a36c5e4f47e84449ff07ed3517b43a31) \Device\Harddisk2\DR2
15:57:31.0395 1584	\Device\Harddisk2\DR2 - ok
15:57:31.0427 1584	Boot (0x1200)   (01e8b4a1190ce473cbd1a4fc821982b2) \Device\Harddisk0\DR0\Partition0
15:57:31.0427 1584	\Device\Harddisk0\DR0\Partition0 - ok
15:57:31.0442 1584	Boot (0x1200)   (3a4a50e3678c1f5d005c66d9a8a9e3e0) \Device\Harddisk0\DR0\Partition1
15:57:31.0442 1584	\Device\Harddisk0\DR0\Partition1 - ok
15:57:31.0442 1584	Boot (0x1200)   (b1e27aa018409de6bfd73f8afb883a65) \Device\Harddisk1\DR1\Partition0
15:57:31.0442 1584	\Device\Harddisk1\DR1\Partition0 - ok
15:57:31.0458 1584	Boot (0x1200)   (fbbb329176e2d72a4e4b064594771fae) \Device\Harddisk1\DR1\Partition1
15:57:31.0458 1584	\Device\Harddisk1\DR1\Partition1 - ok
15:57:31.0458 1584	Boot (0x1200)   (04c170b5072e296d806ad0b0435f8fce) \Device\Harddisk2\DR2\Partition0
15:57:31.0458 1584	\Device\Harddisk2\DR2\Partition0 - ok
15:57:31.0458 1584	============================================================
15:57:31.0458 1584	Scan finished
15:57:31.0458 1584	============================================================
15:57:31.0473 3700	Detected object count: 0
15:57:31.0473 3700	Actual detected object count: 0

aswMBR:

Code:
ATTFilter
aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-12 16:07:06
-----------------------------
16:07:06.546    OS Version: Windows x64 6.1.7600 
16:07:06.546    Number of processors: 4 586 0x403
16:07:06.546    ComputerName: DEFAULT-PC  UserName: Default
16:07:07.466    Initialize success
16:07:23.058    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
16:07:23.058    Disk 0 Vendor: WDC_WD5000AAKS-007AA0 05.01D05 Size: 476940MB BusType: 3
16:07:23.073    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-1
16:07:23.073    Disk 1 Vendor: ST32000542AS CC37 Size: 1907729MB BusType: 3
16:07:23.089    Disk 2  \Device\Harddisk2\DR2 -> \Device\Ide\IdeDeviceP2T1L0-6
16:07:23.089    Disk 2 Vendor: WDC_WD2001FASS-00W2B0 05.01D05 Size: 1907729MB BusType: 3
16:07:23.104    Disk 0 MBR read successfully
16:07:23.104    Disk 0 MBR scan
16:07:23.104    Disk 0 unknown MBR code
16:07:23.104    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS               100 MB offset 2048
16:07:23.120    Disk 0 Partition 2 00     07    HPFS/NTFS            476838 MB offset 206848
16:07:23.120    Disk 0 scanning C:\Windows\system32\drivers
16:07:23.120    Service scanning
16:07:25.990    Service GMSIPCI D:\INSTALL\GMSIPCI.SYS **LOCKED** 21
16:07:33.338    Modules scanning
16:07:33.354    Disk 0 trace - called modules:
16:07:33.369    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys 
16:07:33.385    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004a28790]
16:07:33.385    3 CLASSPNP.SYS[fffff880018bd43f] -> nt!IofCallDriver -> [0xfffffa80048f69b0]
16:07:33.400    5 ACPI.sys[fffff88000f5f781] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80049a6060]
16:07:33.400    Scan finished successfully
16:07:42.324    Disk 0 MBR has been saved successfully to "C:\Users\Default.Default-PC\Desktop\MBR.dat"
16:07:42.339    The log file has been saved successfully to "C:\Users\Default.Default-PC\Desktop\aswMBR.txt"

Geändert von infecteduser (12.03.2012 um 16:08 Uhr)

Alt 12.03.2012, 16:53   #6
Chris4You
 
"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" - Standard

"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


Hi,

sieht ok aus...

chris
__________________
--> "Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"

Alt 12.03.2012, 16:55   #7
infecteduser
 
"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" - Standard

"Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


Da bin ich ja mehr als erleichtert :-)

Tausend Dank für die kompetente und schnelle Hilfe

Antwort

Themen zu "Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"
ablauf, appdata, avira, besuch, datei, ergebnis, ersichtlich, frage, infizierte, internet, kaspersky, melde, meldet, namen, neustart, nicht mehr, ordner, prozess, retten, roaming, systemwiederherstellung, taskmanager, trojaner, verdächtiger prozess, virus, virustotal.com, windows 7 64bit, windows-firewall, zugriff, zurücksetzen


« TR/rootkid.gen & TR/sirefef.BP.1 - Problem | PC durch Trojaner gesperrt "Bundespolizei" »


Ähnliche Themen: "Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Diese 3 Schaddateien tauchen immer wieder auf (C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\sced2vv7.default\prefs.js)
    Log-Analyse und Auswertung - 28.04.2014 (9)
  3. Trojaner "TR/Crypt.ZPACK.Gen8" in C:\Users\johanna\AppData\Roaming\skype.dat via Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.09.2013 (7)
  4. ZoneAlarm meldet Fund: "Trojan-Spy.Win32.Zbot.nesk"
    Log-Analyse und Auswertung - 18.07.2013 (11)
  5. Trojan.Bitminer "C:\Users\***\AppDate\Roaming\pejo\scvhost.exe"
    Log-Analyse und Auswertung - 05.06.2013 (10)
  6. "JS: pdfka-gen [Expl]" in "C:\Users\***\AppData\Local\Temp\plugtmp-44\plugin-dare.php"
    Log-Analyse und Auswertung - 19.03.2013 (13)
  7. "AcroIEHelpe163.dll" in C:\Users\Hendrik\AppData\Roaming\, TR/Rogue.kdv.666318
    Log-Analyse und Auswertung - 08.08.2012 (5)
  8. "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
    Log-Analyse und Auswertung - 12.04.2012 (21)
  9. Trojaner TR/Dropper.Gen2 in C:\Users\Mirja\AppData\Roaming\Mozilla\Firefox\Profiles\6x4lp5w3.default
    Plagegeister aller Art und deren Bekämpfung - 01.02.2012 (8)
  10. aswMBR.exe findet "Windows XP default MBR code" auf Win7 64bit System und unbekannte Partitionstabel
    Log-Analyse und Auswertung - 29.10.2011 (5)
  11. viren "Trojan:Win32/Bumat!rts" und "Exploit Java/CVE-2010-0840.ew" auf Laptop
    Plagegeister aller Art und deren Bekämpfung - 05.10.2011 (8)
  12. Firewall7Control "WSH Default Inbound Block Incoming"
    Antiviren-, Firewall- und andere Schutzprogramme - 15.09.2011 (24)
  13. Wie soll ich "HTML/Rce.gen" in "\Firefox\Profiles\p2hadvdz.default\Cache" entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (1)
  14. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  15. Trojan.Gen in C:\Users\***\AppData\Roaming\default\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (7)
  16. "Trojan-Spy.Win32.Zbot.ikh" hat Rechner lahm gelegt! Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 23.07.2009 (1)
  17. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema "Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" - ok danke mach ich gleich, muss malewarebytes ein zweites mal laufen lassen, nach dem ersten mal hat es mein Windows neu gestartet und es gab keinen log mehr :/ - "Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming"...
Archiv
Du betrachtest: "Trojan-Spy.Win32.Zbot.dnei" in "C:\Users\Default.Default-PC\AppData\Roaming" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55