Ok, thx. Falls sich was tut, meld ich mich nochmal.

Habe eben meine externe Festplatte mit Antivir gescannt und keine Fehlermeldungen bekommen. Sauber? Als nächstes würde ich jetzt mal Combofix starten...

Frage: Habe drei Quarantäne-Objekte in Malwarebytes Anti-Malware drin:
1.) Backdoor.Bot [Folder]
2.) Malware.Trace [Registry Value]
3.) HiJack.Userinit [Registry Data]
Kann ich/muss ich löschen oder!?:aplaus:
Grüße

In Quarantaine sind die Dateien harmlos. Du kannst sie loeschen. Alle eintraege beziehen sich auf den Zbot. Wobei der Bot Ordner(Folder) die Dateien mit den Informationen enthaelt, die er gesammelt und verschickt hat...

Hi,...
hab jetzt nochmal Malware und HJT mit angeschlossener externer Festplatte laufen lassen (Autostart deaktiviert), hier die Logs...

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2391
Windows 5.1.2600 Service Pack 3

08.07.2009 14:58:00
mbam-log-2009-07-08 (14-57-55).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 173481
Laufzeit: 53 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32 (Spyware.Zbot) -> No action taken.
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\twain_32 (Spyware.Zbot) -> No action taken.

Infizierte Dateien:
c:\dokumente und einstellungen\localservice\anwendungsdaten\twain_32\user.ds (Spyware.Zbot) -> No action taken.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\twain_32\user.ds (Spyware.Zbot) -> No action taken.
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:03:31, on 08.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Power Manager\PM.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Uniblue\LocalCooling\localcooling2.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Hijack This!_TROJANER\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BrStsWnd] C:\Programme\Brownie\BrstsWnd.exe Autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll, InitGauge
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LocalCooling.lnk = C:\Programme\Uniblue\LocalCooling\localcooling2.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242043391074
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5254 bytes
         

Hab die Funde bei Malware gleich gelöscht... externe ist sauber oder? Nur der Rechner infiziert?!

Das waren (harmlose) Reste des Zbots. Ob deine externe Festplatte sauber ist, kann ich nicht sagen, aber es wird sich kein Zbot darauf befinden, wenn du ihn nicht selber dorthin kopiert hast!

Hi, danke für die Info. Kann ich denn die Festplatte irgendwie anders testen? Combofix hab ich noch nicht laufen lassen...
Mein weiterer Plan ist folgender:
1.) externe Festplatte testen (nach der Anleitung hier; Combofix o.ä.)
2.) Windows neu aufsetzen, um auf Nummer sicher zu gehen

Oder wie könnte ich alternativ / besser vorgehen?

Das ist in Ordnung. Du solltest dich nur genau an die Anleitung halten.
http://www.trojaner-board.de/51262-a...sicherung.html Was bedeutet, das du dir das SP3 vor dem neu aufsetzen schon herunterladen solltest.

Ok, aber jetz noch ein Mal "nerven":
Wenn Combofix nichts anzeigt/findet/..., is die externe sauber?!
EDIT: Ist eine Datensicherung auf die externe, bevor ich den Laptop plattmach, sicher?! Wohl nicht oder?

Du musst die Datensicherung ersteinmal an einem anderen PC testen.
Ob alle Dateien von deiner Festplatte "sauber" sind, kann Combofix dir nicht sagen. Es schaut nur nach, ob sich eine DAtei namens autorun.inf im Hauptverzeichniss des Laufwerkes befindet. Befindet sich dort eines, wird diese Datei geloescht.

Die autorun.inf sorgt dafuer, das beim anschliessen des Datentraegers am Rechner. Die Datei gestartet wird, deren Name in der autorun.inf angegeben ist.
Es waere extremst uebel, wenn du dadurch dein frisch aufgesetztes System gleich wieder verseuchen wuerdest...

D.h.
1.) bevor ich die externe Festplatte am anderen PC testen kann, am infizierten PC anschließen (Autostart aus) und mit combofix eventuelle autorun.inf 's löschen lassen
2.) Datensicherung auf externer Festplatte
3.) externe Festplatte (mit Sicherung) an anderem PC testen lassen (AntiVir o.ä.)
4.) infizierten PC plattmachen und neu aufsetzen

Ja, die Reihenfolge hoert sich nicht schlecht an!