|
Mülltonne: TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangenWindows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
06.02.2010, 13:02 | #1 |
| TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen Vorvorgestern Abend bin ich, wie sonst auch, per Firefox im cinefacts.de Forum unterwegs gewesen. Plötzlich kam beim Anklicken eines Threads eine Skript-Fehlermeldung und kurz darauf eine weitere Fehlermeldung bzgl. einer exe (ich glaube es war die vom Adobe Reader). Danach kam eine Sicherheitswarnung vom Windows Sicherheitscenter, dass die Firewall deaktiviert ist und Antivir hat mit folgender Meldung angeschlagen: In der Datei 'C:\WINDOWS\system32\sdra64.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Das Forum auf cinefacts.de war kurz darauf auch nicht erreichbar... Grund: "kurzzeitige Wartungsarbeiten" Wie ich vorgestern gelesen habe, wurde cinefacts offensichtlich gehackt und viele andere bekamen auch Viren/Trojaner Meldungen. Allerdings konnte deren Virenscanner wohl die Gefahr abwenden. Aktuell scheint es wohl allgemein eine sehr starke Trojaner/Malware-Welle im Internet zu geben... Im Infobereich von der Taskleiste wurde auch kurz das Java Icon angezeigt. Ich habe dann mal noch eine Rootkit-Suche bzw. einen Scan auf der Systempartition in Antivir angeworfen. Nachfolgend das Ergebnis: Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\ 27b66ba2-742e9b13 [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.AB.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcbc2f4.qua' verschoben! C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\ 1ee052b1-3f2a2f47 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcec322.qua' verschoben! C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Thunderbird\Profiles\booupcrm.default\Cache\ 722208D4d01 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9bc2ef.qua' verschoben! C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Thunderbird\Profiles\booupcrm.default\Cache\ 72221D80d01 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48118b00.qua' verschoben! C:\WINDOWS\system32\ sdra64.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bdbc321.qua' verschoben! Ende des Suchlaufs: Mittwoch, 3. Februar 2010 19:38 Benötigte Zeit: 21:01 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6053 Verzeichnisse wurden überprüft 137759 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 39 Dateien konnten nicht durchsucht werden 137715 Dateien ohne Befall 1088 Archive wurden durchsucht 62 Warnungen 239 Hinweise 677144 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Nach einem manuellen Neustart des Rechners wurde direkt in einer Dos-Box wieder die verseuchte Datei aufgerufen (C:\WINDOWS\system32\sdra64.exe) und Antivir brachte wieder die folgende Meldung: In der Datei 'C:\WINDOWS\system32\sdra64.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Ein Spybot Suchlauf brachte folgenden Fund mit 3 Einträgen, die aber von Spybot bereinigt werden konnten: Win32.ZBot Danach habe ich das LAN-Kabel gezogen und Spybot + Antivir deaktiviert, um GMER durchlaufen zu lassen. Folgendes Ergebnis kam dabei heraus: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-02-03 21:21:07 Windows 5.1.2600 Service Pack 3 Running: e13snq4g.exe; Driver: C:\DOKUME~1\XYZ\LOKALE~1\Temp\kwlyrkow.sys ---- System - GMER 1.0.15 ---- SSDT BA792E56 ZwCreateKey SSDT BA792E4C ZwCreateThread SSDT BA792E5B ZwDeleteKey SSDT BA792E65 ZwDeleteValueKey SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92] SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20] SSDT BA792E6A ZwLoadKey SSDT sptd.sys ZwOpenKey [0xB9ECE090] SSDT BA792E38 ZwOpenProcess SSDT BA792E3D ZwOpenThread SSDT sptd.sys ZwQueryKey [0xB9ED3EF8] SSDT sptd.sys ZwQueryValueKey [0xB9ED3D78] SSDT BA792E74 ZwReplaceKey SSDT BA792E6F ZwRestoreKey SSDT BA792E60 ZwSetValueKey SSDT BA792E47 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .sfrelocÿÿÿÿsfsync04unknown last section [0xB9E74000, 0xBC6, 0x40000040] C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB9E74000, 0xBC6, 0x40000040] .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB96E7000, 0x187662, 0xE8000020] .text USBPORT.SYS!DllUnload B96738AC 5 Bytes JMP 8A8A41C8 ? System32\Drivers\a42y7xxi.SYS Das System kann den angegebenen Pfad nicht finden. ! .text C:\WINDOWS\system32\drivers\ACEDRV05.sys section is writeable [0xAA66B000, 0x30A4A, 0xE8000020] .pklstb C:\WINDOWS\system32\drivers\ACEDRV05.sys entry point in ".pklstb" section [0xAA6AD000] .relo2 C:\WINDOWS\system32\drivers\ACEDRV05.sys unknown last section [0xAA6C8000, 0x8E, 0x42000040] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAA24A300, 0x3ACC8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA440300, 0x1B7E, 0xE8000020] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9ECEAB4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9ECEBFA] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9ECEB7C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9ECF728] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9ECF5FE] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8AB4D1E8 Device \Driver\usbuhci \Device\USBPDO-0 8A8A31E8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AADC1E8 Device \Driver\dmio \Device\DmControl\DmConfig 8AADC1E8 Device \Driver\dmio \Device\DmControl\DmPnP 8AADC1E8 Device \Driver\dmio \Device\DmControl\DmInfo 8AADC1E8 Device \Driver\usbehci \Device\USBPDO-1 8A8761E8 Device \Driver\usbuhci \Device\USBPDO-2 8A8A31E8 Device \Driver\usbuhci \Device\USBPDO-3 8A8A31E8 Device \Driver\usbuhci \Device\USBPDO-4 8A8A31E8 Device \Driver\prodrv06 \Device\ProDrv06 E20DCC30 Device \Driver\Ftdisk \Device\HarddiskVolume1 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\NetBT \Device\NetBT_Tcpip_{86D01B22-18A3-446A-BD9F-85E08A12AED5} 8A72D1E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom0 8A86A1E8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom1 8A86A1E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort0 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort2 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort3 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\Ftdisk \Device\HarddiskVolume4 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume5 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume6 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume6 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\prohlp02 \Device\ProHlp02 E10179A0 Device \Driver\NetBT \Device\NetBt_Wins_Export 8A72D1E8 Device \Driver\usbhub \Device\00000083 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbhub \Device\00000084 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\NetBT \Device\NetbiosSmb 8A72D1E8 Device \Driver\usbhub \Device\00000085 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbhub \Device\00000086 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbhub \Device\00000087 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\PCI_NTPNP5262 \Device\0000005b sptd.sys Device \Driver\usbhub \Device\00000088 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-0 8A8A31E8 Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-1 8A8A31E8 Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-2 8A8A31E8 Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A7B8498 Device \Driver\usbuhci \Device\USBFDO-3 8A8A31E8 Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A7B8498 Device \Driver\usbehci \Device\USBFDO-4 8A8761E8 Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\Ftdisk \Device\FtControl 8AB4F1E8 Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1 8A70A980 Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1Port4Path0Target0Lun0 8A70A980 Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Cdfs \Cdfs 8A75B868 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x1B 0xD9 0xC7 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x1B 0xD9 0xC7 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xAB 0xC6 0xEF 0x63 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -999670597 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 258116861 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x34 0x7C 0x1F 0x5C ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x34 0x7C 0x1F 0x5C ... ---- EOF - GMER 1.0.15 ---- Nach einem anschließenden Neustart konnte ein weiterer Suchlauf von Spybot keine Probleme mehr feststellen. Da dachte ich zuerst, dass Spybot den Fiesling beseitigen konnte, denn auch ein weiterer Suchlauf von Antivir konnte nichts mehr finden. Vorgestern folgte dann leider wieder die Ernüchterung. Nach dem Hochfahren des Rechners begrüßte mich Antivir wieder mit folgender Meldung: In der Datei 'C:\WINDOWS\system32\sdra64.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Ein anschließender Komplettscan der Systempartition meldete, dass alles in Ordnung sei. Der Scan von Spybot brachte dann wieder den Win32.ZBot zum Vorschein - dieses Mal allerdings mit 5 Einträgen, von denen einer nicht gefixt werden konnte. Spybot hat dann vorgeschlagen den Rechner neuzustarten damit es das Problem direkt dann nach dem Windows Logon beheben könne. Gesagt getan... der Scan von Spybot dauerte dann ewig und er stellte dann den Win32.ZBot in der Datei C:\WINDOWS\system32\sdra64.exe fest. Danach lief der Scan grad wieder von vorne los... Spybot macht mir da nicht wirklich einen ausgereiften Eindruck. So langsam frage ich mich, ob die Kombo Antivir + Spybot wirklich nichts taugt oder woran das sonst liegt. Die Kombo wird ja nicht gerade von wenigen Usern eingesetzt... Gestern hatte ich dann den Rechner gar nicht an. Heute habe ich Spybot nochmal suchen lassen und dieses Mal wurde nichts mehr gefunden. Ein Komplettscan von Antivir (dieses Mal über alle Partitionen) brachte folgende Meldung: Die Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ignoriert. Danach habe ich einen erneuten Scan über die Systempartition gestartet, bei dem nichts mehr gefunden wurde. Jetzt frage ich mich, ob der Virus/Trojaner jetzt komplett vernichtet wurde und ob das jetzt ein Rootkit war bzw. ob der Übeltäter etwas beschädigt hat? Ich denke mal es wird am besten sein, wenn ich die Files in der Quarantäne von Antivir komplett lösche oder? Beim Googeln bzgl. dieser Problematik habe ich gelesen, dass man die gefundenen Viren/Trojaner vom Virenscanner auf keinen Fall löschen lassen soll. Kennt hierfür jemand zufällig den Grund bzw. könnte sich das erklären? Vorab schonmal vielen Dank, dass ihr euch überhaupt Zeit nehmt und meinen langen Text lest. |
08.02.2010, 13:26 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen Hallo und
__________________Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
14.02.2010, 15:59 | #3 |
| TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen Nachdem ich mich (mit freundlicher Unterstützung) an die Analyse der Infektion herangemacht und einiges zum Thema Viren/Trojaner gelesen habe, hier mal der aktuelle Stand:
__________________Das damalige DDS-Log und OTL-Log habe ich mal als txt-Files hochgeladen: http://www.file-upload.net/download-2259296/dds.txt.html http://www.file-upload.net/download-2259300/otl1.txt.html http://www.file-upload.net/download-2259304/otl2.txt.html Am 06.02. hatte ich weitere Meldungen von AntiVir: Um 14:39 Uhr: In der Datei 'C:\WINDOWS\system32\userinit.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Obitel.13312A' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Um 15:35 Uhr: In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Und um 16:38 Uhr nochmal: In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Nachfolgend das Ergebnis des Secunia-Scans (bzgl. Sicherheitslücken durch "abgelaufene Software-Versionen): http://s2.imgimg.de/uploads/SecuniaLogeabe2fa6JPG.jpg Vor dem Scan hatte ich schon Java auf die Version 17 aktualisiert. Zum Zeitpunkt der Infektion war noch Update 11 installiert. Übersicht über die in Firefox installierten Plug-Ins: http://www.file-upload.net/download-2259314/plugins.txt.html Im Laufe des Tages (06.02.) hat der Trojaner, in dem Verzeichnis für die Systemwiederherstellung, sechs mal über den Tag verteilt folgende Meldung im AntiVir Ereignis-Log verursacht: In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Hier das Virustotal Ergebnis des eigentlichen Schädlings: Datei sdra64.exe empfangen 2010.02.07 12:41:35 (UTC) Status: Beendet Ergebnis: 12/40 (30%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.07 - AhnLab-V3 5.0.0.2 2010.02.06 - AntiVir 7.9.1.158 2010.02.05 TR/Dropper.Gen Antiy-AVL 2.0.3.7 2010.02.05 - Authentium 5.2.0.5 2010.02.06 - Avast 4.8.1351.0 2010.02.06 - AVG 9.0.0.730 2010.02.07 PSW.Generic7.BHIC BitDefender 7.2 2010.02.07 Trojan.Spy.Zbot.ELU CAT-QuickHeal 10.00 2010.02.06 - ClamAV 0.96.0.0-git 2010.02.06 - Comodo 3851 2010.02.07 - DrWeb 5.0.1.12222 2010.02.07 - eSafe 7.0.17.0 2010.02.04 - eTrust-Vet 35.2.7286 2010.02.05 - F-Prot 4.5.1.85 2010.02.06 - F-Secure 9.0.15370.0 2010.02.07 Trojan.Spy.Zbot.ELU Fortinet 4.0.14.0 2010.02.07 - GData 19 2010.02.07 Trojan.Spy.Zbot.ELU Ikarus T3.1.1.80.0 2010.02.07 - Jiangmin 13.0.900 2010.02.07 - K7AntiVirus 7.10.968 2010.02.06 - Kaspersky 7.0.0.125 2010.02.07 Trojan-Spy.Win32.Zbot.aecv McAfee 5884 2010.02.06 - McAfee+Artemis 5884 2010.02.06 - McAfee-GW-Edition 6.8.5 2010.02.06 Heuristic.LooksLike.Win32.SuspiciousPE.I!83 Microsoft 1.5406 2010.02.07 PWS:Win32/Zbot.gen!W NOD32 4843 2010.02.07 - Norman 6.04.03 2010.02.06 - nProtect 2009.1.8.0 2010.02.07 - Panda 10.0.2.2 2010.02.06 - PCTools 7.0.3.5 2010.02.07 - Prevx 3.0 2010.02.07 - Rising 22.33.06.04 2010.02.07 Packer.Win32.UnkPacker.a Sophos 4.50.0 2010.02.07 Sus/UnkPacker Sunbelt 3.2.1858.2 2010.02.07 - TheHacker 6.5.1.0.182 2010.02.07 - TrendMicro 9.120.0.1004 2010.02.07 - VBA32 3.12.12.1 2010.02.05 SScope.Trojan.Bofa ViRobot 2010.2.5.2174 2010.02.05 - VirusBuster 5.0.21.0 2010.02.06 TrojanSpy.Zbot.UDE weitere Informationen File size: 509440 bytes MD5...: b989fe7e6c7031382f735f1c76ab046a SHA1..: 26c46bf20f36cef8337a87d28b0f67689b64a018 SHA256: ee2d45c2263769b3ad083fa12e48f5fe37995642db5e959e24 ae712bb300216a ssdeep: 12288:BK0qeAsYVYHMlfAYIqyg4gaKb/Bc9P6pGdJ9KhGaq+tTAs:BKgAnWMNygJ<br>aKb/Bc9z3KYaqQAs<br> PEiD..: - Mit Avenger habe ich (mit freundlicher Unterstützung) folgendes Verzeichnis: c:\windows\system32\lowsec ...und folgende Dateien entfernt: c:\windows\system32\stu2.exe C:\U.exe Info zum Java-Schädling aus dem Ausgangspost (in der Date --> 27b66ba2-742e9b13): Bei virustotal.com wurde er zum ersten Mal am 22.11.2009 analysiert. Scan-Ergebnis bei virustotal.com vom 12.01.2010: Datei 27b66ba2-3588429d empfangen 2010.01.12 17:27:12 (UTC) Status: Beendet Ergebnis: 9/41 (21.95%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.48 2010.01.12 Trojan-Downloader.Java.Agent!IK AhnLab-V3 5.0.0.2 2010.01.12 - AntiVir 7.9.1.134 2010.01.12 TR/Dldr.Java.Agent.AB.1 Antiy-AVL 2.0.3.7 2010.01.12 Trojan/Java.Agent Authentium 5.2.0.5 2010.01.12 - Avast 4.8.1351.0 2010.01.11 - AVG 9.0.0.725 2010.01.12 - BitDefender 7.2 2010.01.12 - CAT-QuickHeal 10.00 2010.01.12 - ClamAV 0.94.1 2010.01.12 - Comodo 3558 2010.01.12 TrojWare.Java.TrojanDownloader.Agent.ab DrWeb 5.0.1.12222 2010.01.12 - eSafe 7.0.17.0 2010.01.12 - eTrust-Vet 35.2.7232 2010.01.12 - F-Prot 4.5.1.85 2010.01.12 - F-Secure 9.0.15370.0 2010.01.12 - Fortinet 4.0.14.0 2010.01.12 - GData 19 2010.01.12 - Ikarus T3.1.1.80.0 2010.01.12 Trojan-Downloader.Java.Agent Jiangmin 13.0.900 2010.01.12 - K7AntiVirus 7.10.944 2010.01.11 - Kaspersky 7.0.0.125 2010.01.12 Trojan-Downloader.Java.Agent.ab McAfee 5859 2010.01.12 - McAfee+Artemis 5859 2010.01.12 - McAfee-GW-Edition 6.8.5 2010.01.12 Trojan.Dldr.Java.Agent.AB.1 Microsoft 1.5302 2010.01.12 - NOD32 4764 2010.01.12 - Norman 6.04.03 2010.01.12 - nProtect 2009.1.8.0 2010.01.12 - Panda 10.0.2.2 2010.01.12 - PCTools 7.0.3.5 2010.01.12 Trojan.ByteVerify Prevx 3.0 2010.01.12 - Rising 22.30.01.03 2010.01.12 - Sophos 4.49.0 2010.01.12 - Sunbelt 3.2.1858.2 2010.01.12 - Symantec 20091.2.0.41 2010.01.12 Trojan.ByteVerify TheHacker 6.5.0.3.148 2010.01.12 - TrendMicro 9.120.0.1004 2010.01.12 - VBA32 3.12.12.1 2010.01.12 - ViRobot 2010.1.12.2132 2010.01.12 - VirusBuster 5.0.21.0 2010.01.12 - weitere Informationen File size: 3460 bytes MD5 : f7a54bdb73cb5e27439719994c013c8d SHA1 : 961040c1433d1394622ed2cf7a16feb8176cc0a4 SHA256: a38b910612c65cbc8487b2787a8cc1d10fc2c56c2add2541d2 71dd73ba42fa84 TrID : File type identification<br>Java Bytecode (60.0%)<br>Mac OS X Universal Binary executable (40.0%) ssdeep: 96:TAFle+3w846zKGo20/UUQd8yAB9ioRdIi:TCleYH46Frj8yABAI PEiD : - RDS : NSRL Reference Data Set<br>- ...und das Scan-Ergebnis bei virustotal.com vom 07.02.2010: Datei 27b66ba2-742e9b13 empfangen 2010.02.07 15:05:21 (UTC) Status: Beendet Ergebnis: 11/40 (27.5%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.07 Trojan-Downloader.Java.Agent!IK AhnLab-V3 5.0.0.2 2010.02.06 - AntiVir 7.9.1.158 2010.02.05 TR/Dldr.Java.Agent.AB.1 Antiy-AVL 2.0.3.7 2010.02.05 Trojan/Java.Agent Authentium 5.2.0.5 2010.02.06 - Avast 4.8.1351.0 2010.02.07 - AVG 9.0.0.730 2010.02.07 - BitDefender 7.2 2010.02.07 - CAT-QuickHeal 10.00 2010.02.06 - ClamAV 0.96.0.0-git 2010.02.07 - Comodo 3852 2010.02.07 TrojWare.Java.TrojanDownloader.Agent.ab DrWeb 5.0.1.12222 2010.02.07 - eSafe 7.0.17.0 2010.02.07 - eTrust-Vet 35.2.7286 2010.02.05 - F-Prot 4.5.1.85 2010.02.06 - F-Secure 9.0.15370.0 2010.02.07 - Fortinet 4.0.14.0 2010.02.07 - GData 19 2010.02.07 - Ikarus T3.1.1.80.0 2010.02.07 Trojan-Downloader.Java.Agent Jiangmin 13.0.900 2010.02.07 - K7AntiVirus 7.10.968 2010.02.06 - Kaspersky 7.0.0.125 2010.02.07 Trojan-Downloader.Java.Agent.ab McAfee 5884 2010.02.06 - McAfee+Artemis 5884 2010.02.06 - McAfee-GW-Edition 6.8.5 2010.02.07 Trojan.Dldr.Java.Agent.AB.1 Microsoft 1.5406 2010.02.07 Trojan:Java/Cireco.A NOD32 4844 2010.02.07 probably a variant of Java/TrojanDownloader.Agent.AB Norman 6.04.03 2010.02.07 - nProtect 2009.1.8.0 2010.02.07 - Panda 10.0.2.2 2010.02.07 - PCTools 7.0.3.5 2010.02.07 Trojan.ByteVerify Prevx 3.0 2010.02.07 - Rising 22.33.06.04 2010.02.07 - Sophos 4.50.0 2010.02.07 Troj/ByteVer-G Sunbelt 3.2.1858.2 2010.02.07 - TheHacker 6.5.1.0.182 2010.02.07 - TrendMicro 9.120.0.1004 2010.02.07 - VBA32 3.12.12.1 2010.02.05 - ViRobot 2010.2.5.2174 2010.02.05 - VirusBuster 5.0.21.0 2010.02.06 - weitere Informationen File size: 3460 bytes MD5...: f7a54bdb73cb5e27439719994c013c8d SHA1..: 961040c1433d1394622ed2cf7a16feb8176cc0a4 SHA256: a38b910612c65cbc8487b2787a8cc1d10fc2c56c2add2541d2 71dd73ba42fa84 ssdeep: 96:TAFle+3w846zKGo20/UUQd8yAB9ioRdIi:TCleYH46Frj8yABAI<br> PEiD..: - PEInfo: - RDS...: NSRL Reference Data Set<br>- pdfid.: - trid..: Java Bytecode (60.0%)<br>Mac OS X Universal Binary executable (40.0%) sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br> Nachfolgend das Log von Spybot mit vielen unschönen Einträgen: http://www.file-upload.net/download-2259324/spybot.txt.html Der Eintrag vom 31.01.2010 kommt davor noch extrem häufig... ist aber denke ich nicht weiter schlimm oder? In der Zwischenzeit wurde im cinefacts Forum "von ganz oben" bestätigt, dass es sich um einen Hackerangriff handelte und sie jetzt noch unter Hochdruck an der Folgenbeseitigung arbeiten. Wohlgemerkt war das verseuchte Script dort noch bis einschließlich gestern aktiv und ein offizielles Statement gab es auch erst vorhin... in einem "versteckten" Thread, in dem über den Hack geschrieben wird bzw. sich weitere Infizierte zu Wort melden. In Antivir habe ich per Expertenmodus folgende Einstellungen gesetzt: --> Alle Dateien x Bootsektor Suchlaufwerke x Masterbootsektoren durchsuchen (kein Haken) Offline Dateien ignorieren x Optimierter Suchlauf (kein Haken) Symbolischen Verknüpfungen folgen x Rootkit-Suche bei Suchstart --> Scanner Priorität - hoch Aktion bei Fund --> Automatisch - ignorieren x Archive durchsuchen x Alle Archiv-Typen x Smart Extensions x Rekursionstiefe einschränken - max. 20 Keine Ausnahmen x Makrovirenheuristik x AHeAD aktivieren - Erkennungsstufe hoch Unter "Allgemeines" habe ich dann noch alle Gefahrenkategorien aktiviert. Der Scan mit dem Profil "lokale Laufwerke" hat demnach natürlich wesentlich länger gedauert und er hat logischerweise auch die JOKE-Programme und diverse Spiele-Trainer gefunden. Im Anschluss habe ich das "Suche nach Rootkits" Profil laufen lassen. Beide Scans konnten keine Schädlinge mehr ausmachen. Den Windows Live OneCare Scan habe ich auch mal noch laufen lassen. Der hatte nach ca. 3 1/2 Stunden auch die Trainer und noch ein paar andere unkritische Sachen wie DL-Manager und VNC-Tools gefunden. Der Scan hat aber immerhin noch etwas gefunden, das der Antivir nicht gefunden hat (leider scheint es kein Log zu geben, daher habe ich es abgeschrieben): TrojanDownloader:Win32/Obitel Gefunden hat er das Teil in c:\dokumente und einstellungen\XYZ\lokale einstellungen\temp\in5.tmp Die Datei wurde automatisch gelöscht (man konnte leider nichts konfigurieren). Während der OneCare Scan lief, hatte ich mal bewusst den Guard von AntiVir aktiv gelassen. Als der Scan dann das "System Volume Information"-Verzeichnis der Systempartition durchkämmt hatte, kamen nacheinander 3 Warnmeldungen von AntiVir (vermutlich an der Stelle an der der OneCare Scanner gerade prüfen wollte). Die 3 Files habe ich dann in Quarantäne verschieben lassen. Ich denke mal es wird sich dreimal um die selbe Datei handeln, allerdings weiss man leider nicht mehr, wo sich die ursprüngliche Datei befand. Ich habe die File mal bei Virustotal prüfen lassen. Hier das Ergebnis: http://www.virustotal.com/de/analisi...233-1266004891 Auf der Kaspersky Seite gibt es übrigens ein Tool zur Desinfektion des Trojaners: http://support.kaspersky.com/de/viru...&qid=207619478 Ich denk das lasse ich mal noch durchlaufen, auch wenn es vermutlich nichts mehr finden wird. Nachfolgend mal noch das, was Malwarebytes zusätzlich gefunden und gelöscht hatte: Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully. |
14.02.2010, 16:10 | #4 |
| TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen Mittlerweile habe ich mich dazu entschlossen, ein älteres Image zurückzuspielen. Zuvor würde ich mich aber noch freuen, wenn folgende Fragen geklärt werden könnten: Wäre es empfehlenswert vielleicht mal noch sfc mit dem Parameter scannow durchlaufen zu lassen, um zu sehen was der zur Integrität der Systemdateien meint? Sollte ich zuvor den Kaspersky ZBot-Killer noch laufen lassen? Wenn ich das richtig sehe, dann konnten die Trojaner keine Bilddateien, Videodateien, Dokumente usw. infizieren bzw. verändern (z.B. löschen)?! Mir geht es in diesem Fall speziell darum, ob die bei mir gefundenen/analysierten Trojaner überhaupt dazu in der Lage gewesen wären, Dateien zu infizieren bzw. zu verändern (jetzt mal von der gezielten Manipulation von bestimmten Systemdateien abgesehen)? Falls Musik, Fotos, Dokumente usw. infiziert worden wären, dann hätte ja zumindest einer der Scans in der letzten Zeit anschlagen müssen oder? Wenn ich das richtig sehe, hat sich das Trojaner-Paket nur auf die Systempartition bezogen oder?! Sollte ich danach weiter an der Kombo --> ANtiVir + Spybot festhalten? Macht es dann noch Sinn Malwarebytes' Anti-Malware regelmäßig auszuführen oder wäre das dann "zuviel des Guten"? Könnte mir jemand kurz erläutern, was die sinnvollste Konfiguration für den aktuellsten AntiVir unter XP ist? Warum wird überall empfohlen den TeaTeamer von Spybot nicht zu aktivieren bzw. von Anti-Malware nicht die Live-Überwachung zu nutzen? Welche Software würdet ihr empfehlen um den Inhalt von zwei Partitionen miteinander zu vergleichen ? Also quasi welche Dateien fehlen auf der einen Partition bzw. wurden gelöscht oder wurden geändert. Würdest ihr empfehlen die Secunia Software auf den Rechner zu installieren, damit man in Zukunft immer rechtzeitig über Programm- und Plug-In-Updates informiert wird? Gibt es eine Software/einen Dienst, der alle Änderungen auf NTFS-Partitionen protokolliert? Also quasi Änderungen, Überschreibungen, Löschungen, Neuerstellung usw. Ist es möglich, dass ich mein Firefox und mein Thunderbird Profil-Verzeichnis wegsichere oder könnte sich da möglicherweise was drin festgesetzt haben? Bei meiner Software-Updateliste ist mir aufgefallen, dass ich Quicktime eigentlich nicht mehr brauche (zumindest zum offline abspielen, da VLC oder der Media Player Classic als Alternative herhalten). Bleibt nur die Frage wie es mit dem Quicktime Plug-In für den Firefox aussieht (wobei das von Firefox "zu meiner Sicherheit" eh deaktiviert wurde)... Geändert von frankcastle (14.02.2010 um 16:47 Uhr) |
14.02.2010, 22:01 | #5 | |||||||||||
Administrator /// technical service | TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen Crossposting @ protecus COSINUS: Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Eigentlich spricht von meiner Seite nichts gegen die Verwendung des Wächters von Malwarebytes, allerdings ist dieser nur in der Bezahlversion von Malwarebytes enthalten, Du kannst ihn in der freien Version also auch garnicht einschalten. Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
Themen zu TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen |
acedrv05.sys, antivir deaktiviert, atapi.sys, backdoor.bot, cinefacts, controlset002, firefox, firewall deaktiviert, hal.dll, java/trojandownloader.agent.ab, lan-kabel, malware.trace, nicht gefunden, pws:win32/zbot.gen!w, quelldatei, rootkit, sdra64.exe, sptd.sys, system volume information, taskleiste, tr/dldr.java.agent.ab.1, tr/dldr.obitel, tr/dropper.gen, trojan.agent, trojan/java.agent, trojan:java/cireco.a, usbport.sys, versteckte objekte, virus/trojaner, win32.zbot, zwopenkey |