WORM/Zbot.D

21.06.2009, 13:20

Hi leute!
Avira meldete vor 3 Tagen bei meinem Bruder den WORM/Zbot.D in Folgenden verzeichnissen:

Zitat:

C:\WINDOWS\system32\important.exe
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system32\windows.exe
C:\WINDOWS\system32\browser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\killer.exe
C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\A002345.exe
C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\A003BE2.exe
C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\A00687E.exe

Jegliche Versuche den Virus zu entfernen scheiterten! (Habe alle möglichen Programme von SAS bis MBAM und sogar Combo Fix laufen lassen NICHTS konnte den Virus entfernen)

Auch nach mehrmaligem Neuaufsetzen (mit Formation von allen Partitionen) wurden ALLE Dateien von Avira bei einem Scan wieder gefunden.

Ich bin ratlos!!!

Hjack This:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:45, on 21.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\important.exe
C:\WINDOWS\killer.exe
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system32\windows.exe
C:\WINDOWS\system32\browser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SERVER]C:\WINDOWS\system32\server.exe
O4 - HKLM\..\Run: [WINDOWS] C:\WINDOWS\system32\windows.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4055 bytes

Mbam fand das gleiche wie Avira deshalb erspare ich mal das Log.

Hoffe ihr könnt mir weiterhelfen

EDIT: Der Virus ist durch den Download und ausführens einer gefälschten SP3 Update version aus dem Internett

21.06.2009, 15:13

Ich warte immernoch auf Hilfe

Perelina · 21.06.2009, 16:23

Hallo,

ich kann dir leider nicht helfen aber dir sagen, dass man hier wirklich professionelle Hilfe bekommt. Ein bisschen Geduld musst du natürlich schon mitbringen.

Hast du das hier nicht gelesen?

Zitat:

Das Forum ist ein vielbesuchter Ort und es kann leider passieren, dass gelegentlich ein Thema übersehen wird.

Auf Grund der großen Anfrage kann es bis zu 2 Tagen dauern, bis sich jemand eures Themas annehmen kann.
Wer nach drei Tagen immer noch keine Antwort erhalten hat...

http://www.trojaner-board.de/69886-a...-beachten.html

Beste Grüße und viel Glück

Perelina

21.06.2009, 16:24

Ich weiß

4RobSen8 · 21.06.2009, 16:39

MAsterboot Sektor überprüfen:
Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck.

Halte dich dafür bitte an diese Anleitung:
rootkit in master boot record

Das Ergebins bitte kurz hier reinstellen

Versuch erstmal den Masterbootsektor zu überprüfen...

21.06.2009, 16:44

Also:

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Gruß space

21.06.2009, 15:13	#2
space23 Gast	WORM/Zbot.D Ich warte immernoch auf Hilfe __________________

21.06.2009, 16:24	#4
space23 Gast	WORM/Zbot.D Ich weiß

WORM/Zbot.D

Plagegeister aller Art und deren Bekämpfung: WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

WORM/Zbot.D

Ähnliche Themen: WORM/Zbot.D