![]() |
|
Log-Analyse und Auswertung: TR/PSW.Zbot.2334 gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() | ![]() TR/PSW.Zbot.2334 gefunden Hallo zusammen, vor kurzem wurde der TR/PSW.Zbot.2334 nach einem massiven Virenfund schon 2 tage davor auf dem Rechner meiner Freundin gefunden. Gestern hat sich dann ihre Bank gemeldet dass ihre Bankdaten wohl nichtmehr sicher sind und empfohlen den Rechner neu aufzusetzen. Ich hänge gleichmal die aktuellen logfiles von Avira antivir und malewarebytes an, leider ist das logfile von den ersten Funden nichtmehr aufzufinden, so kann ich nur das mit dem Zbot Fund mitschicken. Bevor ich jetzt den ganzen Rechner neu aufsetze würde ich gerne wissen ob sich das ganz nich reparieren lässt und ob angeschlossene externe Festlatten ein Problem sein werden. Laut Quarantäneverzeichnis von avire wurden vor dem Zbot fund folgende Schadprogramme gefunden: Typ: Datei Quelle: C:\Users\******\AppData\Local\Temp\V.class Status: Infiziert Quarantäne-Objekt: 3cfe2839.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.104 Virendefinitionsdatei: 7.11.35.74 Meldung: EXP/2012-0507.AW Datum/Uhrzeit: 7/6/2012, 10:15 Typ: Datei Quelle: C:\Users\******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\cf5b5e9-3a1e30c3 Status: Infiziert Quarantäne-Objekt: 55f73e53.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.104 Virendefinitionsdatei: 7.11.35.74 Meldung: EXP/2012-0507.CF Datum/Uhrzeit: 7/6/2012, 10:15 Typ: Datei Quelle: C:\Users\*******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\63d16c20-5a92fa21 Status: Infiziert Quarantäne-Objekt: 1f4e4ac2.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.104 Virendefinitionsdatei: 7.11.35.74 Meldung: EXP/2012-0507.CW Datum/Uhrzeit: 7/6/2012, 10:15 Typ: Datei Quelle: C:\Users\*******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\559bfd9e-564e6b65 Status: Infiziert Quarantäne-Objekt: 790c050e.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.104 Virendefinitionsdatei: 7.11.35.74 Meldung: JAVA/Dldr.Lamar.CI Datum/Uhrzeit: 7/6/2012, 10:15 Typ: Datei Quelle: C:\Users\*******\AppData\Local\Mozilla\Firefox\Profiles\b8phw04a.default\Cache\C\90\B219Ad01 Status: Infiziert Quarantäne-Objekt: 439b1a5c.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.104 Virendefinitionsdatei: 7.11.35.74 Meldung: JS/Agent.alw Datum/Uhrzeit: 7/6/2012, 10:15 Typ: Datei Quelle: C:\Users\*******\AppData\Local\Mozilla\Firefox\Profiles\b8phw04a.default\Cache\6\BC\A1715d01 Status: Infiziert Quarantäne-Objekt: 0f293617.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.104 Virendefinitionsdatei: 7.11.35.74 Meldung: JS/Agent.alw Datum/Uhrzeit: 7/6/2012, 10:15 Typ: Datei Quelle: C:\Users\*******\AppData\Local\Mozilla\Firefox\Profiles\b8phw04a.default\Cache\1\06\34681d01 Status: Infiziert Quarantäne-Objekt: 73307644.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.104 Virendefinitionsdatei: 7.11.35.74 Meldung: JS/Blacole.HA.1 Datum/Uhrzeit: 7/6/2012, 10:15 ------------------------------------------------------------- Typ: Datei Quelle: C:\Users\*******\AppData\Roaming\Hoca\bywyc.exe Status: Infiziert Quarantäne-Objekt: 54edff3f.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.106 Virendefinitionsdatei: 7.11.35.120 Meldung: TR/PSW.Zbot.2334 Datum/Uhrzeit: 7/10/2012, 18:10 Typ: Datei Quelle: C:\Users\******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\2f07ae67-493140ea Status: Infiziert Quarantäne-Objekt: 4d6d11f5.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.10.110 Virendefinitionsdatei: 7.11.36.00 Meldung: EXP/JAVA.Ternub.Gen Datum/Uhrzeit: 7/12/2012, 19:43 Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Dienstag, 10. Juli 2012 18:09 Es wird nach 3845887 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Professional Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : AURORA Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 19:10:45 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 19:10:45 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 19:10:52 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 19:10:54 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 06:25:28 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 06:45:48 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 06:45:55 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 08:36:01 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 08:36:01 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 08:36:01 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 08:36:01 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 08:36:01 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 08:36:01 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 08:36:01 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 08:36:01 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 08:36:01 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 18:36:46 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 05:22:01 VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 07:23:05 VBASE017.VDF : 7.11.35.88 2048 Bytes 06.07.2012 07:23:05 VBASE018.VDF : 7.11.35.89 2048 Bytes 06.07.2012 07:23:06 VBASE019.VDF : 7.11.35.90 2048 Bytes 06.07.2012 07:23:06 VBASE020.VDF : 7.11.35.91 2048 Bytes 06.07.2012 07:23:07 VBASE021.VDF : 7.11.35.92 2048 Bytes 06.07.2012 07:23:07 VBASE022.VDF : 7.11.35.93 2048 Bytes 06.07.2012 07:23:07 VBASE023.VDF : 7.11.35.94 2048 Bytes 06.07.2012 07:23:07 VBASE024.VDF : 7.11.35.95 2048 Bytes 06.07.2012 07:23:07 VBASE025.VDF : 7.11.35.96 2048 Bytes 06.07.2012 07:23:07 VBASE026.VDF : 7.11.35.97 2048 Bytes 06.07.2012 07:23:07 VBASE027.VDF : 7.11.35.98 2048 Bytes 06.07.2012 07:23:07 VBASE028.VDF : 7.11.35.99 2048 Bytes 06.07.2012 07:23:07 VBASE029.VDF : 7.11.35.100 2048 Bytes 06.07.2012 07:23:07 VBASE030.VDF : 7.11.35.101 2048 Bytes 06.07.2012 07:23:08 VBASE031.VDF : 7.11.35.120 18944 Bytes 07.07.2012 07:54:35 Engineversion : 8.2.10.106 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 19:42:41 AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 05:22:07 AESCN.DLL : 8.1.8.2 131444 Bytes 01.05.2012 06:46:08 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 20:29:55 AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 19:58:20 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 29.06.2012 07:11:14 AEHEUR.DLL : 8.1.4.64 5009782 Bytes 06.07.2012 05:22:06 AEHELP.DLL : 8.1.23.2 258422 Bytes 29.06.2012 07:11:11 AEGEN.DLL : 8.1.5.32 434548 Bytes 07.07.2012 07:23:08 AEEXP.DLL : 8.1.0.60 86388 Bytes 06.07.2012 05:22:07 AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 06:55:34 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:42:54 AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 19:10:43 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 19:10:45 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 19:10:54 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 19:10:44 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 19:10:44 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 19:10:53 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 19:10:45 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 19:10:52 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 19:10:43 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 19:10:43 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ffc5347\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Dienstag, 10. Juli 2012 18:09 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CNAB4RPK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_S40RP7.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Steffi\AppData\Roaming\Hoca\bywyc.exe' C:\Users\Steffi\AppData\Roaming\Hoca\bywyc.exe [FUND] Ist das Trojanische Pferd TR/PSW.Zbot.2334 [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2776999186-2612592817-2417241952-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Okinqoxo> wurde erfolgreich repariert. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54edff3f.qua' verschoben! Ende des Suchlaufs: Dienstag, 10. Juli 2012 18:10 Benötigte Zeit: 01:17 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 46 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 45 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.12.09 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 Steffi :: AURORA [Administrator] Schutz: Aktiviert 7/12/2012 8:18:23 PM mbam-log-2012-07-12 (20-18-23).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|I:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 463066 Laufzeit: 1 Stunde(n), 36 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|renovator (Trojan.BTSoft.Gen) -> Daten: C:\Users\Steffi\AppData\Roaming\Media Center Programs\{0F252E87-58BF-4180-B676-58FC83E1EDAB}\renovator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Steffi\AppData\Roaming\Media Center Programs\{0F252E87-58BF-4180-B676-58FC83E1EDAB}\renovator.exe (Trojan.BTSoft.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Eset läuft gerade zum zweiten Mal, im ersten durchlauf wurden schon wieder zwei infizierte Dateien gefunden, allerdings ist auch dieses Logfile im eset verzeichnis nicht zu finden. |
Themen zu TR/PSW.Zbot.2334 gefunden |
.dll, administrator, antivir, autostart, avira, desktop, explorer.exe, firefox, heuristiks/extra, heuristiks/shuriken, iexplore.exe, juli 2012, logfiles, lsass.exe, microsoft, modul, mozilla, namen, neu, nt.dll, problem, prozesse, rundll, services.exe, software, svchost.exe, taskhost.exe, temp, tr/psw.zbot., winlogon.exe, wmp |