Hallo,

bin neu hier und auf Hilfesuche.
Habe laut Malewarebytes einen z.bot-Trojaner. Kann ich den u.U. mit Spybot search & destroy beseitigen oder geht nur der Weg über komplette "Sanierung"?

LG & vielen Dank schon mal
Fili

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen!

Schritt 1:
Spybot bitte deinstallieren

Schritt 2:
Laufwerksemulationen abschalten mit Defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:

• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully ... Continue?" bestätige dies mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Poste bitte die defogger_disable.txt von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 3:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt 4:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
• Drücke Start Scan
• Warnung:
  Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Schritt 1: done
Schritt 2: done (finde aber die .txt nicht)
Schritt 3: done

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-22 09:17:18
-----------------------------
09:17:18.005 OS Version: Windows x64 6.1.7600
09:17:18.006 Number of processors: 2 586 0x602
09:17:18.006 ComputerName: ANTJE-PC UserName: Antje
09:17:18.516 Initialize success
09:17:26.715 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
09:17:26.717 Disk 0 Vendor: WDC_WD5000AAKS-00UU3A0 01.03B01 Size: 476940MB BusType: 3
09:17:26.727 Disk 0 MBR read successfully
09:17:26.728 Disk 0 MBR scan
09:17:26.730 Disk 0 Windows 7 default MBR code
09:17:26.732 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
09:17:26.742 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 79899 MB offset 206848
09:17:26.753 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 396939 MB offset 163840000
09:17:26.769 Disk 0 scanning C:\Windows\system32\drivers
09:17:34.535 Service scanning
09:17:45.979 Modules scanning
09:17:46.049 Disk 0 trace - called modules:
09:17:46.059 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
09:17:46.062 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80027d4390]
09:17:46.066 3 CLASSPNP.SYS[fffff8800199d43f] -> nt!IofCallDriver -> [0xfffffa80022cf520]
09:17:46.075 5 ACPI.sys[fffff88000f92781] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80022cb680]
09:17:46.079 Scan finished successfully
09:17:59.101 Disk 0 MBR has been saved successfully to "C:\Users\Antje\Desktop\MBR.dat"
09:17:59.121 The log file has been saved successfully to "C:\Users\Antje\Desktop\aswMBR.txt"

Schritt 4: done

Logs nicht zippen!!
Und schon gar nicht als Worddatei ... wer sagt dir, dass ich das Programm habe?

Nochmal posten bitte.

Zitat:

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 129,1 KB groß.

Gut, aber dann bitte als reine Textdatei und nicht als Word.

Und wie das? Hab doch keinen Plan

tdsskiller legt das schon als *.txt an, du musst es nur nehmen. kriegst du hin!

Tut mir leid. Ich finde die Datei nicht als .txt
Weiss wirklich nicht wo die gespeichert wird, kann sie mir nur anzeigen lassen.
daher hatte ich sie ja auch nach Word kopiert, aber da die Datei immer noch zu gross war, gezippt.

Im RL bin ich ganz gut darin kranke Leute gesund zu machen, aber das hier ist nicht mein Metier.

Also lassen wir es besser und ich bring den PC in die Werkstatt.

>Danke für Deine Bemühungen.

Deswegen habe ich dir doch ne Anleitung geschrieben:

Zitat:

TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Ich habe die .txt-Datei nun gefunden. Jetzt bin ich aber zu doof diese zu zippen. Da kommt immer nur "Cannot open file"

normalerweise geht rechtsklick > zippen, wenn du 7zip installiert hast

Ich weiss aber nicht wo der die hinwirft!

Na komm Fili das kriegst du schon hin!

Rechtsklick ... hinzufügen zu tdsskiller****.zip dann liegt die *.zip dort wo vorher auch die *.txt war. Diese *.zip bitte an deinen Post anhängen. Sei hartnäckig!