Hallo,

der SpybotSearch&Destroy Resident meldete eben folgenden Fund:

Win32.ZBOT in C\Windows\TEMP\7ZipSfx.000\GoogleEarth.exe.

Leider habe ich das Meldungsfenster geschlossen ohne vorher das Häkchen bei "Datei löschen" zu entfernen.
So meldete fand ich dann auch in der Berichtsdatei von SS&D:
"Encounterd and delete Win32.ZBOT in C\Windows\Temp\7ZipSfx.000\GoogleEarth.exe".

Was tun? Fehlalarm ?

Malwarebytes scannt z.Zt. und hat bisher noch nix gefunden, der ständig laufende VirusGuard von Antivir hat auch bisher nicht angeschlagen.

Gruß
Oligitim

Malwarebytes hat definitiv nichts gefunden.
Soll ich mal GMER laufen lassen ?

Für Tipps dankt
Oligitim

Hier die log-Files:

1. Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3354
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

13.12.2009 21:41:57
mbam-log-2009-12-13 (21-41-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 270212
Laufzeit: 1 hour(s), 46 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


2. Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 14. Dezember 2009 13:03

Es wird nach 1433500 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Karsten
Computername : DESKTOP

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 22.11.2009 17:19:31
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:19:30
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:19:31
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 17:19:31
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 17:19:31
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 17:19:31
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 17:19:31
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 17:19:31
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 17:19:31
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 17:19:31
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 17:19:31
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 17:19:31
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 17:19:31
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 17:19:31
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 22:39:44
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 12:36:25
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 12:36:25
VBASE016.VDF : 7.10.1.179 2048 Bytes 07.12.2009 12:36:25
VBASE017.VDF : 7.10.1.180 2048 Bytes 07.12.2009 12:36:25
VBASE018.VDF : 7.10.1.181 2048 Bytes 07.12.2009 12:36:25
VBASE019.VDF : 7.10.1.182 2048 Bytes 07.12.2009 12:36:26
VBASE020.VDF : 7.10.1.183 2048 Bytes 07.12.2009 12:36:26
VBASE021.VDF : 7.10.1.184 2048 Bytes 07.12.2009 12:36:26
VBASE022.VDF : 7.10.1.185 2048 Bytes 07.12.2009 12:36:27
VBASE023.VDF : 7.10.1.186 2048 Bytes 07.12.2009 12:36:27
VBASE024.VDF : 7.10.1.187 2048 Bytes 07.12.2009 12:36:27
VBASE025.VDF : 7.10.1.188 2048 Bytes 07.12.2009 12:36:27
VBASE026.VDF : 7.10.1.189 2048 Bytes 07.12.2009 12:36:27
VBASE027.VDF : 7.10.1.190 2048 Bytes 07.12.2009 12:36:27
VBASE028.VDF : 7.10.1.191 2048 Bytes 07.12.2009 12:36:28
VBASE029.VDF : 7.10.1.192 2048 Bytes 07.12.2009 12:36:28
VBASE030.VDF : 7.10.1.193 2048 Bytes 07.12.2009 12:36:28
VBASE031.VDF : 7.10.1.219 179712 Bytes 11.12.2009 18:27:18
Engineversion : 8.2.1.108
AEVDF.DLL : 8.1.1.2 106867 Bytes 20.09.2009 13:51:15
AESCRIPT.DLL : 8.1.3.2 582010 Bytes 13.12.2009 18:27:21
AESCN.DLL : 8.1.3.0 127348 Bytes 13.12.2009 18:27:20
AESBX.DLL : 8.1.1.1 246132 Bytes 22.11.2009 17:19:31
AERDL.DLL : 8.1.3.4 479605 Bytes 08.12.2009 12:36:34
AEPACK.DLL : 8.2.0.3 422261 Bytes 08.11.2009 13:56:27
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 18:31:07
AEHEUR.DLL : 8.1.0.186 2183544 Bytes 08.12.2009 12:36:33
AEHELP.DLL : 8.1.8.0 237942 Bytes 08.12.2009 12:36:30
AEGEN.DLL : 8.1.1.80 364917 Bytes 08.12.2009 12:36:30
AEEMU.DLL : 8.1.1.0 393587 Bytes 12.10.2009 11:12:53
AECORE.DLL : 8.1.9.1 180598 Bytes 13.12.2009 18:27:19
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 11.09.2009 04:57:12
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14.06.2009 13:09:15
RCTEXT.DLL : 9.0.73.0 87297 Bytes 22.11.2009 17:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 14. Dezember 2009 13:03

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '75463' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnf.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DitExp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDEzLink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkUFind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'htpatch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TabletUser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'McSACore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '76' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>


Ende des Suchlaufs: Montag, 14. Dezember 2009 14:36
Benötigte Zeit: 1:33:15 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10037 Verzeichnisse wurden überprüft
628773 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
628771 Dateien ohne Befall
25401 Archive wurden durchsucht
2 Warnungen
2 Hinweise
75463 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

3. GMER 1.0.15.15279 - http://www.gmer.net
Rootkit scan 2009-12-14 19:42:54
Windows 5.1.2600 Service Pack 3
Running: 1iicdwf0.exe; Driver: C:\DOKUME~1\Karsten\LOKALE~1\Temp\fwddapoc.sys


---- System - GMER 1.0.15 ----

SSDT F7DFC7DE ZwCreateKey
SSDT F7DFC7D4 ZwCreateThread
SSDT F7DFC7E3 ZwDeleteKey
SSDT F7DFC7ED ZwDeleteValueKey
SSDT F7DFC7F2 ZwLoadKey
SSDT F7DFC7C0 ZwOpenProcess
SSDT F7DFC7C5 ZwOpenThread
SSDT F7DFC7FC ZwReplaceKey
SSDT F7DFC7F7 ZwRestoreKey
SSDT F7DFC7E8 ZwSetValueKey
SSDT F7DFC7CF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 428 804E2A84 4 Bytes CALL 8C460A50

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000080 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000081 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000082 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\0000007c sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\0000007d sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\0000007e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\0000007f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Wer kann helfen ?

Gruß und Dank

OLigitum

Hallo,
möchte noch einmal höflich an mein Problem erinnern.

Vielen Dank
Oligitim

Ich bitte nochmals freundlichst um Hilfe !!!!

Gruß
Oligitim

Gibt es denn wirklich niemanden, der mir helfen kann/möchte ???

Ich kann dir im Moment leider nicht helfen, da ich an Grippe erkrankt bin.

Aber du kannst ja mal hier an deinen Thread erinnern

Zitat:

Win32.ZBOT in C\Windows\TEMP\7ZipSfx.000\GoogleEarth.exe

Schonmal dran gedacht, dass da ein Fehlalarm sein könnte?
Wenn Du die Datei noch hast, bitte bei Virustotal.com auswerten lassen und Ergebnislink posten.

Ich denke bzw. hoffe, dass es ein Fehlalarm ist, die Datei wurde aber von Spybot gelöscht, so dass ich sie nicht mehr checken kann.

Ich werde leider aus dem GMER-Protokoll nicht schlau ("abnormal termination").

Sollte ich noch ein Hijack-This Protokoll hier hochladen ?

Bin für jeden Vorschlag dankbar.

Gruß

Oligitum

Kann mir bitte, bitte, bitte irgenein Kundiger jetzt mal sagen ob das GMER-Protokoll nun was gefunden hat oder nicht?
Oder kann mir vielleicht jemand ein anderes Board nennen, wo ich auf meine vielfach freundlich gestellte Frage eine Antwort bekommen kann ?
Oder mir sagen gegen welche Forumsregel ich hier verstoßen habe, dass ich keine Hilfe bekomme?
Danke, danke, danke
Oligitim

1.) Ich hab bereits drauf hingewiesen, dass der Fund in der GoogleEarth wahrscheinlich ein Fehlalarm ist.

2.) Im GMER Log seh ich nichts böse, diese hier

Code: Alles auswählenAufklappen

ATTFilter

 Device \Driver\usbstor \Device\0000007f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
         

gehören zu einem Kopierschutztreiber.
Hast Du denn überhaupt konkrete Probleme mit dem Rechner?

Vielen Dank für Deine Antwort!

Nein, Probleme habe ich sonst keine, habe aber auch nach der Warnung von Spybot den Rechner vom Netz genommen und nur noch die Antispyware-Programme laufen lassen.

Bin halt sehr in Sorge, weil ich Online-Banking mit dem Rechner mache und Fehlalarme bisher nur von Antivir kannte (die sich nach entsprechender Meldung an Antivir mit dem nächsten Signaturenupdate in Wohlgefallen auflösten).

Ich dachte GMER wurde eine Nachricht abgeben wie "alles o.k." oder "nichts gefunden", wenn der Rechner sauber ist.

Was man hier so über Trojaner liest, lässt einen halt an der Zuverlässigkeit der Erkennung durch die Antispyware-Programme zweifeln.

Würde eine Hijack-This-Protokoll noch etwas nützen, bzw. zusätzliche Sicherheit geben können ?


Danke für Deine Bemühungen

Oligitim

...............................