![]() |
|
Log-Analyse und Auswertung: TR/Spy.ZBot.RAWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() TR/Spy.ZBot.RA Moin, nachdem Avira beim Scan den Trojaner TR/Spy.ZBot.RA fand, wüsste ich gerne, ob meine Desinfektionsversuche mit Avira und Spybot erfolgreich waren. Ein Hijack-Logfile hängt an. Ich hab jetzt nx Verdächtiges gefunden, bin aber für jeden Hinweis dankbar. Grüße Matze Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:54:59, on 25.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\WDBtnMgr.exe C:\Programme\WDC\SetIcon.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\RALINK\Common\RaUI.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Dantz\Retrospect\retrorun.exe C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{50BF666A-0EA0-441C-989B-6213C5FCC420}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe -- End of file - 4091 bytes |
![]() | #2 |
![]() ![]() | ![]() TR/Spy.ZBot.RA ...allerdings zeigt Avira bei einem erneuten Scan (ohne vorherigen Neustart nach dem ersten Posting) plötzlich doch wieder Schädlingsbefall, nämlich:
__________________- TR/Crypt.XPack.Gen - TR/Spy.Wsnpoem.AD.20 Gibt es im Logfile Hinweise auf diese Trojaner; oder darauf, wie sie zwischenzeitlich auf den Rechner gekommen sein können (Internet-Verbindung ist aktiv, allerdings zeigt das Taskleisten-Symbol seit dem Start des Rechners ständig "Netzwerkadresse beziehen", bei funktionierender Verbindung) |
![]() | #3 |
![]() ![]() ![]() ![]() | ![]() TR/Spy.ZBot.RA Das hier sieht verdächtig aus.
__________________Kannste mal die Datei scannen lassen bei virustotal.com ,C:\WINDO WS\system32\ntos.exe, (klar bezieht sich nur auf die ntos.exe, da wie KarlKarl schon sagte, es sich hierbei meistens um einen Trojaner handelt) Geändert von TrojanHunter (25.01.2008 um 19:13 Uhr) |
![]() | #4 |
![]() ![]() | ![]() TR/Spy.ZBot.RA Danke, werd ich machen. Dauert aber ein bisschen, da Virustotal überlastet ist. |
![]() | #5 |
/// Helfer-Team ![]() ![]() ![]() ![]() | ![]() TR/Spy.ZBot.RA Die ntos.exe scannen lassen, die userinit.exe ist ein wichtiger Teil von Windows und gehört dahin. ntos.exe in diesem Eintrag war aber bisher immer ein passwortklauender Backdoor. |
![]() | #6 |
![]() ![]() | ![]() TR/Spy.ZBot.RA Da Virustotal wegen Serverüberlastung nicht zu erreichen war, hab ich jetzt mal nach den Anleitungen auf Seite 2 und 3 hier : http://www.pcfreunde.de/forum/thema-11630-2/problem-win32-agent-pz.html versucht, ntos.exe loszuwerden: einmal durch Manipulation des Reg-Schlüssels wie beschrieben, dann durch Abschuss mittels KillBox wie beschrieben. Seitdem gab´s keinen erkennbaren Befall mit Schädlingen mehr. Wäre Euch aber trotzdem dankbar, wenn Ihr noch einmal über ein aktuelles Hijack-Logfile schauen könntet. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:23:40, on 27.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\WDBtnMgr.exe C:\Programme\WDC\SetIcon.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\RALINK\Common\RaUI.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Dantz\Retrospect\retrorun.exe C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wxw.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{50BF666A-0EA0-441C-989B-6213C5FCC420}: NameServer = 192.168.xxx.xxx,192.168.xxx.xxx O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe -- End of file - 3841 bytes Zwei weitere Fragen: - Für wie zuverlässig haltet Ihr diese Desinfektion (wenn sie denn gelungen ist)? - Ich hab im Anschluss nach ntsvcfg-Anleitung den Rechner abgedichtet. Würden eventuell auf dem Rechner verbliebene Schädlinge an dieser Abdichtung vorbeikommen? Danke allen für Eure Hilfe. Grüße Matze |
![]() |
Themen zu TR/Spy.ZBot.RA |
adobe, antivir, avira, bho, dateien, excel, explorer, fritz!, hijackthis, hkus\s-1-5-18, hängt, icons, internet, internet explorer, messenger, micro, microsoft, programme, s-1-5-18, scan, software, system, system32, trojaner, userinit, userinit.exe, windows, windows xp, wireless |