| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: PWS:Win32/Zbot.gen!AJ die x.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.04.2013, 03:18
| #1 |
 |  PWS:Win32/Zbot.gen!AJ die x. Hallo Ihr hilfreichen Geister, ich habe mir den PWS:Win32/Zbot.gen!AJ eingefangen. Da habt Ihr laut Suche reichlich Erfahrung mit. Da ich Eure Warnschilder auch Ernst nehme, versuche ich jetzt nicht, aus den vielen Suchtreffern für mich was passendes zu basteln sondern warte geduldig auf Anweisungen  Ich habe bisher lediglich den ComboFix laufen lassen, dass es immer der erste Schritt zu sein schien. Das war auch sehr erfolgreich. Er hat Sachen gefunden und jetzt kann ich microsoft.com wieder ansurfen  Die ComboFix.txt sieht so aus: Code:
ATTFilter ComboFix 13-04-26.01 - gbo 27.04.2013 3:33.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7601.1.1252.49.1033.18.3326.2069 [GMT 2:00]
ausgeführt von:: d:\temp\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Microsoft Security Essentials *Enabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\gbo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CBC.exe
c:\users\gbo\AppData\Roaming\Piqihe
c:\users\gbo\AppData\Roaming\Piqihe\xyvae.exe
c:\windows\IsUn0407.exe
c:\windows\system32\Inetde.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-03-27 bis 2013-04-27 ))))))))))))))))))))))))))))))
.
.
2013-04-27 01:40 . 2013-04-27 01:40 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-04-26 22:39 . 2013-04-26 22:39 60872 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{AEF19752-42C0-4D2D-815B-217996DDE7EA}\offreg.dll
2013-04-26 22:39 . 2013-04-26 22:39 29904 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{AEF19752-42C0-4D2D-815B-217996DDE7EA}\MpKsl1f05b6b2.sys
2013-04-26 18:56 . 2013-04-10 03:08 6906960 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{AEF19752-42C0-4D2D-815B-217996DDE7EA}\mpengine.dll
2013-04-26 18:36 . 2013-04-26 18:45 -------- d-----w- c:\users\gbo\AppData\Roaming\Ofmo
2013-04-26 18:36 . 2013-04-26 18:36 -------- d-----w- c:\users\gbo\AppData\Roaming\Xalo
2013-04-25 16:49 . 2013-04-10 03:08 6906960 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-04-25 14:36 . 2013-04-26 22:53 -------- d-----w- c:\users\gbo\AppData\Local\Hotot
2013-04-25 14:36 . 2013-04-25 14:36 -------- d-----w- c:\program files\Hotot
2013-04-24 08:18 . 2013-04-24 08:17 706640 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F1EFB606-3D30-4859-8FD6-21597775D06D}\gapaengine.dll
2013-04-24 08:17 . 2013-04-12 13:45 1211752 ----a-w- c:\windows\system32\drivers\ntfs.sys
2013-04-24 00:50 . 2013-04-24 01:01 -------- d-----w- c:\users\gbo\.qmc2
2013-04-23 23:22 . 2013-04-23 23:22 -------- d-----w- c:\users\gbo\AppData\Local\DOSBox
2013-04-23 23:21 . 2013-04-23 23:21 -------- d-----w- c:\program files\DOSBox-0.74
2013-04-23 09:51 . 2013-04-23 09:51 -------- d-----w- c:\program files\Foxit Software
2013-04-17 09:02 . 2013-04-17 09:02 -------- d-----w- c:\program files\FolderSort
2013-04-15 20:28 . 2013-04-15 20:28 -------- d-----w- c:\users\gbo\AppData\Roaming\EAC
2013-04-15 20:28 . 2013-04-15 20:28 -------- d-----w- c:\users\gbo\AppData\Roaming\AccurateRip
2013-04-15 20:26 . 2013-04-15 20:26 -------- d-----w- c:\program files\Exact Audio Copy
2013-04-10 23:21 . 2013-04-10 23:21 -------- d-----w- c:\program files\Common Files\Skype
2013-04-10 22:57 . 2013-04-10 22:57 -------- d-----w- c:\program files\Electrum
2013-04-10 16:26 . 2013-01-24 04:47 196328 ----a-w- c:\windows\system32\drivers\fvevol.sys
2013-04-10 16:03 . 2013-04-10 16:06 -------- d-----w- c:\users\gbo\AppData\Roaming\Electrum
2013-04-10 11:27 . 2013-03-01 03:09 2347008 ----a-w- c:\windows\system32\win32k.sys
2013-04-10 11:27 . 2013-03-19 05:04 3968856 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-04-10 11:27 . 2013-03-19 05:04 3913560 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-04-10 11:27 . 2013-03-19 04:48 38912 ----a-w- c:\windows\system32\csrsrv.dll
2013-04-10 11:27 . 2013-03-19 02:49 69632 ----a-w- c:\windows\system32\smss.exe
2013-04-10 11:27 . 2013-02-15 04:37 3217408 ----a-w- c:\windows\system32\mstscax.dll
2013-04-10 11:27 . 2013-02-15 04:34 131584 ----a-w- c:\windows\system32\aaclient.dll
2013-04-10 11:27 . 2013-02-15 03:25 36864 ----a-w- c:\windows\system32\tsgqec.dll
2013-04-07 15:12 . 2000-12-05 21:00 109248 ----a-w- c:\windows\system32\Mswinsck.ocx
2013-04-07 15:12 . 2000-10-01 21:00 125712 ----a-w- c:\windows\system32\vb6de.dll
2013-04-07 15:12 . 2000-05-22 13:58 115920 ----a-w- c:\windows\system32\msinet.ocx
2013-04-07 15:12 . 2000-05-21 21:00 1066176 ----a-w- c:\windows\system32\Mscomctl.ocx
2013-04-07 15:12 . 2000-04-03 17:06 16896 ----a-w- c:\windows\system32\winskde.dll
2013-04-07 15:12 . 2000-04-03 17:05 118784 ----a-w- c:\windows\system32\msstdfmt.dll
2013-04-07 15:12 . 1999-07-14 11:07 6656 ----a-w- c:\windows\system32\stdftde.dll
2013-04-07 15:12 . 1998-07-05 21:00 22528 ----a-w- c:\windows\system32\Tabctde.dll
2013-04-07 15:12 . 1998-07-05 21:00 158208 ----a-w- c:\windows\system32\Mscmcde.dll
2013-04-07 15:12 . 1998-06-23 21:00 209192 ----a-w- c:\windows\system32\Tabctl32.ocx
2013-04-07 15:12 . 2013-04-26 23:03 -------- d-----w- c:\users\gbo\AppData\Roaming\BOM
2013-04-07 15:12 . 2013-04-07 15:13 -------- d-----w- c:\program files\Biet-O-Matic
2013-04-07 14:42 . 2013-04-07 15:03 -------- d-----w- c:\users\gbo\.jbidwatcher
2013-04-05 12:34 . 2013-04-05 12:35 -------- d-----w- c:\program files\FileList
2013-04-05 09:09 . 2013-04-05 09:09 -------- d-----w- c:\users\gbo\AppData\Roaming\JAM Software
2013-04-05 09:09 . 2013-04-05 09:09 -------- d-----w- c:\program files\JAM Software
2013-03-31 22:33 . 2013-03-31 22:33 -------- d-----w- c:\users\gbo\AppData\Roaming\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-04-11 00:03 . 2012-10-28 12:14 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-04-11 00:03 . 2012-10-28 12:14 691592 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-04-02 10:33 . 2012-10-28 10:03 237088 ------w- c:\windows\system32\MpSigStub.exe
2013-03-08 09:53 . 2013-03-08 09:53 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-03-08 09:53 . 2012-11-03 12:09 861088 ----a-w- c:\windows\system32\npDeployJava1.dll
2013-03-08 09:53 . 2012-11-03 12:09 782240 ----a-w- c:\windows\system32\deployJava1.dll
2013-02-13 10:12 . 2013-02-13 10:12 73576 ----a-w- c:\windows\system32\drivers\ftser2k.sys
2013-02-13 10:12 . 2013-02-13 10:12 69480 ----a-w- c:\windows\system32\ftcserco.dll
2013-02-13 10:12 . 2013-02-13 10:12 63464 ----a-w- c:\windows\system32\drivers\ftdibus.sys
2013-02-13 10:12 . 2013-02-13 10:12 53608 ----a-w- c:\windows\system32\ftserui2.dll
2013-02-13 10:12 . 2013-02-13 10:12 219496 ----a-w- c:\windows\system32\ftd2xx.dll
2013-02-13 10:12 . 2013-02-13 10:12 201576 ----a-w- c:\windows\system32\FTLang.dll
2013-02-13 10:12 . 2013-02-13 10:12 105832 ----a-w- c:\windows\system32\ftbusui.dll
2013-02-12 04:48 . 2013-03-14 22:03 474112 ----a-w- c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-14 22:03 2176512 ----a-w- c:\windows\apppatch\AcGenral.dll
2013-02-12 03:32 . 2013-03-14 22:03 15872 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-02-08 09:52 . 2013-02-08 09:52 91016 ----a-w- c:\windows\system32\drivers\rusb3hub.sys
2013-04-16 15:41 . 2013-04-16 15:41 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2012-10-11 . 948826387617760B1C43153A5ED070A0 . 2616320 . . [6.1.7600.16385] . . c:\windows\explorer.exe
[7] 2012-10-11 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_5389023fd8245f84\explorer.exe
[7] 2012-10-11 . 0FB9C74046656D1579A64660AD67B746 . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_54149f9ef14031fc\explorer.exe
[7] 2010-11-20 . 40D777B7A95E00593EB1568C68514493 . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_53bc10fdd7fe87ca\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ShareOverlay]
@="{594D4122-1F87-41E2-96C7-825FB4796516}"
[HKEY_CLASSES_ROOT\CLSID\{594D4122-1F87-41E2-96C7-825FB4796516}]
2012-10-28 08:29 610816 ----a-w- c:\program files\Classic Shell\ClassicExplorer32.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\users\gbo\AppData\Local\Apps\2.0\VZ2XAA42.RNJ\R692G1LR.X5K\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\AVMAutoStart.exe" [2012-12-23 139264]
"RocketDock"="c:\program files\CustoPackTools\utils\RocketDock\RocketDock.exe" [2010-06-22 495616]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-02-28 18642024]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2012-06-11 10996368]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2011-02-23 371200]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-04-07 673616]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2013-01-24 477600]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5.5ServiceManager"="c:\program files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-12-19 642808]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"NUSB3MON"="c:\program files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2011-09-16 115048]
"RUSB3MON"="c:\program files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\rusb3mon.exe" [2011-05-17 106344]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDog303]
2006-01-24 22:07 61440 ----a-w- c:\windows\VM303_STI.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-10-14 12:36 2793304 ----a-w- c:\program files\Logitech\Logitech WebCam Software\LWS.exe
.
R2 DirMngr;DirMngr;c:\program files\GNU\Claws Mail\dirmngr.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [x]
R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [x]
R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 RTVLANPT;Realtek Vlan Protocol Driver (NDIS 6.2);c:\windows\system32\DRIVERS\RtVlan620.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 MpKsl1f05b6b2;MpKsl1f05b6b2;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{AEF19752-42C0-4D2D-815B-217996DDE7EA}\MpKsl1f05b6b2.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
S2 RtNdPt60;Realtek NDIS Protocol Driver;c:\windows\system32\DRIVERS\RtNdPt60.sys [x]
S2 TeamViewer8;TeamViewer 8;c:\program files\TeamViewer\Version8\TeamViewer_Service.exe [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [x]
S3 avmaudio;AVM Audio;c:\windows\system32\DRIVERS\avmaudio.sys [x]
S3 avmaura;AVM USB Remote Connection;c:\windows\system32\DRIVERS\avmaura.sys [x]
S3 NisSrv;Microsoft Network Inspection;c:\program files\Microsoft Security Client\NisSrv.exe [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 rusb3hub;Renesas Electronics USB 3.0 Hub Driver (Version 3.0);c:\windows\system32\DRIVERS\rusb3hub.sys [x]
S3 rusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver (Version 3.0);c:\windows\system32\DRIVERS\rusb3xhc.sys [x]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MPKSL1F05B6B2
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
FontCache
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-28 00:03]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.10.254
FF - ProfilePath - c:\users\gbo\AppData\Roaming\Mozilla\Firefox\Profiles\dym888qp.default\
FF - ExtSQL: 2013-03-05 00:02; youtubeunblocker@unblocker.yt; c:\users\gbo\AppData\Roaming\Mozilla\Firefox\Profiles\dym888qp.default\extensions\youtubeunblocker@unblocker.yt.xpi
FF - ExtSQL: 2013-03-19 13:29; {5384767E-00D9-40E9-B72F-9CC39D655D6F}; c:\users\gbo\AppData\Roaming\Mozilla\Firefox\Profiles\dym888qp.default\extensions\{5384767E-00D9-40E9-B72F-9CC39D655D6F}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-AdobeBridge - (no file)
HKCU-Run-Ukalitarak - c:\users\gbo\AppData\Roaming\Piqihe\xyvae.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
AddRemove-MAMEUIFX32 - g:\mame\[MAME 0.145] COMPLETE COLLECTION\uninst.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-04-27 03:42:53
ComboFix-quarantined-files.txt 2013-04-27 01:42
.
Vor Suchlauf: 5.666.406.400 bytes free
Nach Suchlauf: 6.395.146.240 bytes free
.
- - End Of File - - E08B765210EB7EA998E2B04A14A661C8
Ich gehe jetzt ins Bett, der Rechner bleibt an, um nicht durch einen Neustart die Sache zu verschlimmern. Beste Grüße, Nee! Doch! Boah! |
Baum-Darstellung