Hallo,

ein Kunde von uns hat einen Brief von der Telekom bekommen in dem drin steht das in dem Netzwerk der Trojaner Zeus/Zbot (Online Banking Trojaner) läuft.

Es wird empfohlen das man auf botfrei-de-Website einen dieser Cleaner runterlädt und durchscannt.

Die Sache ist folgende: Es sind ungefähr 20 Rechner und dies erschwert die Suche nach dem Übeltäter .

Es wird die Software Trend Micro OfficeScan 10.6 für Server und Clients eingesetzt.

Ich persönlich bin momentan nicht vor Ort deswegen konnte ich den anderen vorgeschlagen mit Trend Micro Officescan sowie Malware Antibytes ersteinmal durchscannen. Die haben dann doch recht schnell alle PCs vollständig durchgescannt. Bei drei Rechner sind folgende Sachen aufgetreten:

Code: Alles auswählenAufklappen

ATTFilter

PC1

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-21-560983695-2248128953-1299572565-1112\$3e831ee7f3fab31ee49a4ed173084987\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.

Infizierte Dateien: 1
C:\$Recycle.Bin\S-1-5-21-560983695-2248128953-1299572565-1112\$RDNCPO1\367078012D5059BE0020367057EAB37C.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

PC2

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Ykurronya (Spyware.Password) -> Daten: C:\Users\username\AppData\Roaming\Dini\omigs.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Users\username\AppData\Roaming\Dini\omigs.exe (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.

PC3

Infizierte Dateien: 1
D:\Sicherung alter PC\WINNT\aconti.exe (Porn.Dialer) -> Keine Aktion durchgeführt.
         

Folgendes wurde mir noch mitgeteilt: Auch wenn z.B. da steht „Keine Aktion durchgeführt“ wir haben die sachen entfernen lassen, anschließend neu gestartet und einen Quickscan durchgeführt.

Wie kann man da jetzt weiter vorgehen? Vorallem bei 20 Rechnern wird es halt schwer und zeitintensiv viele Programme auszuprobieren um verschiedene Resultate zu bekommen.

Taugt dieser DE-Scanner von Avira, Kaspersky oder Norton etwas?

Vielen Dank erst einmal!

Gruß

hi
gibts den keine Backups, wenns ne Firma ist? pc2 könnt ihr auf jeden fall neu aufsetzen da ist zbot drauf.
pc1 önnte auch infiziert gewesen sein, den würd ich auch neu machen und auf pc3 ist ne sicherung von Schadsoftware, je nach dem ob die von dem PC stammt würd ich den auch neu aufsetzen.
wenn onlinebanking von diesen PCS betrieben wird, neue Zugangsdaten schicken lassen.

Hallo,

die Client PCs werden nicht direkt gesichert. Das wichtigste befindet sich auf Netzlaufwerken und Outlook Dateien werden synchronisiert. Ein Neuaufsetzen wäre denke ich möglich.

Bist du ganz sicher das bei PC2 der Zeus/Zbot drauf ist? Sollte man bei sowas gar nicht erst ausprobieren mit weiteren Scannern ob offline oder online das durchzugehen?

Verbreitet sich dieser Trojaner auch selbstständig über das Netzwerk? Das wäre natürlich sehr schlimm .

Danke schonmal!

Gruß,
Burak

hi
nicht übers netzwerk, nein.
bin mir sicher, dass auf pc2 zbot ist.

Ok, gut zu wissen.

Da ich das Neuaufsetzen vllt. erst am Freitag oder nächste Woche schaffen würde, würde ich den anderen noch weitergeben das sie vllt. nochmal mal mit einer Boot CD den PC durchscannen. Kannst du dafür eine empfehlen? Dient nur nochmal zu Sicherheit für die Tage jetzt wo der PC noch läuft.

hi
der pc sollte gar nicht mehr ins internet, der zweite auf jeden fall nicht
kannst ja mal alle pcs mit hitman scannen:
HitmanPro - Download - Filepony
je nach dem ob 32 bit, dann link1 sonst link2
öffnen, lizenz, testlizenz.
dann scannen, nichts löschen, klickt auf weiter, logs als xml exportieren, anhängen.

Wollte HitmanPro gerade mal testen aber das geht bei mir direkt nach dem "Update" wieder zu. Testlizenz wurde aktiviert. Komme gar nicht dazu "Weiter" zu klicken, ist da irgendetwas faul Oo?

hmm
versuchs mal im abgesicherten modus mit netzwerk.