WORM/Zbot.D

21.06.2009, 13:20

Hi leute!
Avira meldete vor 3 Tagen bei meinem Bruder den WORM/Zbot.D in Folgenden verzeichnissen:

Zitat:

C:\WINDOWS\system32\important.exe
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system32\windows.exe
C:\WINDOWS\system32\browser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\killer.exe
C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\A002345.exe
C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\A003BE2.exe
C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\A00687E.exe

Jegliche Versuche den Virus zu entfernen scheiterten! (Habe alle möglichen Programme von SAS bis MBAM und sogar Combo Fix laufen lassen NICHTS konnte den Virus entfernen)

Auch nach mehrmaligem Neuaufsetzen (mit Formation von allen Partitionen) wurden ALLE Dateien von Avira bei einem Scan wieder gefunden.

Ich bin ratlos!!!

Hjack This:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:45, on 21.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\important.exe
C:\WINDOWS\killer.exe
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system32\windows.exe
C:\WINDOWS\system32\browser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SERVER]C:\WINDOWS\system32\server.exe
O4 - HKLM\..\Run: [WINDOWS] C:\WINDOWS\system32\windows.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4055 bytes

Mbam fand das gleiche wie Avira deshalb erspare ich mal das Log.

Hoffe ihr könnt mir weiterhelfen

EDIT: Der Virus ist durch den Download und ausführens einer gefälschten SP3 Update version aus dem Internett

21.06.2009, 15:13

Ich warte immernoch auf Hilfe

Perelina · 21.06.2009, 16:23

Hallo,

ich kann dir leider nicht helfen aber dir sagen, dass man hier wirklich professionelle Hilfe bekommt. Ein bisschen Geduld musst du natürlich schon mitbringen.

Hast du das hier nicht gelesen?

Zitat:

Das Forum ist ein vielbesuchter Ort und es kann leider passieren, dass gelegentlich ein Thema übersehen wird.

Auf Grund der großen Anfrage kann es bis zu 2 Tagen dauern, bis sich jemand eures Themas annehmen kann.
Wer nach drei Tagen immer noch keine Antwort erhalten hat...

http://www.trojaner-board.de/69886-a...-beachten.html

Beste Grüße und viel Glück

Perelina

21.06.2009, 16:24

Ich weiß

4RobSen8 · 21.06.2009, 16:39

MAsterboot Sektor überprüfen:
Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck.

Halte dich dafür bitte an diese Anleitung:
rootkit in master boot record

Das Ergebins bitte kurz hier reinstellen

Versuch erstmal den Masterbootsektor zu überprüfen...

21.06.2009, 16:44

Also:

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Gruß space

4RobSen8 · 21.06.2009, 16:55

Den einen Kram bekommst du mit der Systemwiederherstellung weg...
Aber der HJT-Log wirft auch zwei Backddoorvarianten aus...
Ausserdem sind in dem HJT-Log verdammt viele "svchost.exe".
Meines Wissens nach, sind das eindeutig zuviel...

Ich würde den Rechner, ohne drüber nachzudenken, platt machen und Neuaufsetzten. Es sei denn es kümmert sich nen Experte hier im Forum um dich...

http://www.trojaner-board.de/51262-a...sicherung.html

Siehe: TR/Spy.ZBot.R - Vollstndig

Code:

ATTFilter

 Es injiziert sich in einen Prozess.

    Prozessname:
   • svchost.exe

Darum auch so viele "svchost.exe".

21.06.2009, 16:56

Wie schon gesagt:

Zitat:

Auch nach mehrmaligem Neuaufsetzen (mit Formation von allen Partitionen) wurden ALLE Dateien von Avira bei einem Scan wieder gefunden.

Ist vL die CD mit der ich neuaufsetze infiziert???

4RobSen8 · 21.06.2009, 17:00

Wenn es eine " richtige" Windows cd, vom Hersteller ist, dann wohl kaum...
Neuaufsetzten und langsam Formatieren...evtl.

21.06.2009, 17:01

Ich habe ja nichts zu verlieren.
ich versuche es mal also bis später.

Gruß Space

4RobSen8 · 21.06.2009, 17:14

Kommando zurück!

Lade dir verdächtigen Dateien mal im Uploadchannel vom Tb hoch.

http://www.trojaner-board.de/54791-a...ner-board.html

21.06.2009, 17:43

So Neuaufsetzen ist fertig.

Ich werde gleich Avira instalieren und einen Scan machen und sehen ob Avira wieder was finden (was ich [leider] auch glaube).

EDIT:

Zitat:

Kommando zurück!

2 late my friend ...

Aber egal

21.06.2009, 17:48

So ich wollte gerade die Dateien hochladen doch als ich auf Dursuchen klickte und die erste Datei markieren wollte , gabs Bluescreen.

Was nun??

Kaos · 21.06.2009, 19:22

Geht ihr von deinem Bruder aus mit einem Router ins Internet?
Ist die Windowsfirewall aktiviert?

mfg, Kaos

21.06.2009, 19:33

1.Er benutzt aus privaten gründen LAN
2. Ja

21.06.2009, 15:13	#2
space23 Gast	WORM/Zbot.D Ich warte immernoch auf Hilfe __________________

21.06.2009, 16:24	#4
space23 Gast	WORM/Zbot.D Ich weiß

21.06.2009, 17:01	#10
space23 Gast	WORM/Zbot.D Ich habe ja nichts zu verlieren. ich versuche es mal also bis später. Gruß Space

21.06.2009, 17:48	#13
space23 Gast	WORM/Zbot.D So ich wollte gerade die Dateien hochladen doch als ich auf Dursuchen klickte und die erste Datei markieren wollte , gabs Bluescreen. Was nun??

21.06.2009, 19:33	#15
space23 Gast	WORM/Zbot.D 1.Er benutzt aus privaten gründen LAN 2. Ja

WORM/Zbot.D

Plagegeister aller Art und deren Bekämpfung: WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

Ähnliche Themen: WORM/Zbot.D

21.06.2009, 19:22	#14
Kaos	WORM/Zbot.D Geht ihr von deinem Bruder aus mit einem Router ins Internet? Ist die Windowsfirewall aktiviert? mfg, Kaos