Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/PSW.Zbot kehrt immer wieder

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 10.06.2010, 19:42   #16
deviant
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



Also, habe es im abgesichertem Modus gepackt bekommen, aber nach der Rückkehr zum normalen Modus war die Datei verschwunden (habe extra alle Ansichten, wie in dem Link zum Upload Channel eingestellt, trotzdem war nichts zu sehen). Deshalb habe ich es jetzt im abgesichertem Modus hochgeladen.

Alt 10.06.2010, 19:52   #17
markusg
/// Malware-holic
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



ok, instaliere sp3 + restliche updates, poste danach n neues HijackThis log.
__________________


Alt 11.06.2010, 03:34   #18
deviant
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



Ich hoffe ich hab jetzt alle Updates

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:04, on 10.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WTouch\WTouchService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lxdncoms.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\WTouch\WTouchUser.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Dokumente und Einstellungen\Administrator\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Kryptografiedienste CryptSvcNetDDE (CryptSvcNetDDE) - Unknown owner - C:\WINDOWS\system32\appmgrb.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnserv.exe
O23 - Service: lxdn_device -   - C:\WINDOWS\system32\lxdncoms.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Programme\WTouch\WTouchService.exe

--
End of file - 8901 bytes
         
__________________

Alt 11.06.2010, 10:08   #19
markusg
/// Malware-holic
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Alt 11.06.2010, 12:20   #20
deviant
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



Weil doch noch nicht alle Updates installiert waren hier noch einmal ein frisches HJT Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:05, on 11.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WTouch\WTouchService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxdncoms.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\WTouch\WTouchUser.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Kryptografiedienste CryptSvcNetDDE (CryptSvcNetDDE) - Unknown owner - C:\WINDOWS\system32\appmgrb.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnserv.exe
O23 - Service: lxdn_device -   - C:\WINDOWS\system32\lxdncoms.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Programme\WTouch\WTouchService.exe

--
End of file - 9025 bytes
         

Und natürlich das Avira Log:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 10. Juni 2010  21:40

Es wird nach 2204109 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Administrator
Computername   : FROSCHN

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  21.04.2010 05:16:37
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  21.04.2010 05:16:37
LUKE.DLL       : 10.0.2.3      104296 Bytes  08.03.2010 06:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 23:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 03:32:32
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 03:29:53
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 01:38:53
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 05:25:48
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 16:05:32
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 13:33:10
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 18:43:18
VBASE007.VDF   : 7.10.7.219      2048 Bytes  02.06.2010 18:43:18
VBASE008.VDF   : 7.10.7.220      2048 Bytes  02.06.2010 18:43:18
VBASE009.VDF   : 7.10.7.221      2048 Bytes  02.06.2010 18:43:18
VBASE010.VDF   : 7.10.7.222      2048 Bytes  02.06.2010 18:43:18
VBASE011.VDF   : 7.10.7.223      2048 Bytes  02.06.2010 18:43:18
VBASE012.VDF   : 7.10.7.224      2048 Bytes  02.06.2010 18:43:18
VBASE013.VDF   : 7.10.8.37     270336 Bytes  10.06.2010 16:36:03
VBASE014.VDF   : 7.10.8.38       2048 Bytes  10.06.2010 16:36:03
VBASE015.VDF   : 7.10.8.39       2048 Bytes  10.06.2010 16:36:03
VBASE016.VDF   : 7.10.8.40       2048 Bytes  10.06.2010 16:36:03
VBASE017.VDF   : 7.10.8.41       2048 Bytes  10.06.2010 16:36:03
VBASE018.VDF   : 7.10.8.42       2048 Bytes  10.06.2010 16:36:04
VBASE019.VDF   : 7.10.8.43       2048 Bytes  10.06.2010 16:36:04
VBASE020.VDF   : 7.10.8.44       2048 Bytes  10.06.2010 16:36:04
VBASE021.VDF   : 7.10.8.45       2048 Bytes  10.06.2010 16:36:04
VBASE022.VDF   : 7.10.8.46       2048 Bytes  10.06.2010 16:36:04
VBASE023.VDF   : 7.10.8.47       2048 Bytes  10.06.2010 16:36:04
VBASE024.VDF   : 7.10.8.48       2048 Bytes  10.06.2010 16:36:04
VBASE025.VDF   : 7.10.8.49       2048 Bytes  10.06.2010 16:36:04
VBASE026.VDF   : 7.10.8.50       2048 Bytes  10.06.2010 16:36:04
VBASE027.VDF   : 7.10.8.51       2048 Bytes  10.06.2010 16:36:04
VBASE028.VDF   : 7.10.8.52       2048 Bytes  10.06.2010 16:36:04
VBASE029.VDF   : 7.10.8.53       2048 Bytes  10.06.2010 16:36:04
VBASE030.VDF   : 7.10.8.54       2048 Bytes  10.06.2010 16:36:04
VBASE031.VDF   : 7.10.8.58      20480 Bytes  11.06.2010 09:31:47
Engineversion  : 8.2.2.6   
AEVDF.DLL      : 8.1.2.0       106868 Bytes  26.04.2010 06:54:43
AESCRIPT.DLL   : 8.1.3.31     1352058 Bytes  08.06.2010 18:43:32
AESCN.DLL      : 8.1.6.1       127347 Bytes  15.05.2010 00:39:01
AESBX.DLL      : 8.1.3.1       254324 Bytes  26.04.2010 06:54:43
AERDL.DLL      : 8.1.4.6       541043 Bytes  17.04.2010 13:33:18
AEPACK.DLL     : 8.2.1.1       426358 Bytes  28.03.2010 18:43:40
AEOFFICE.DLL   : 8.1.1.0       201081 Bytes  15.05.2010 00:39:01
AEHEUR.DLL     : 8.1.1.33     2724214 Bytes  08.06.2010 18:43:30
AEHELP.DLL     : 8.1.11.5      242038 Bytes  08.06.2010 18:43:21
AEGEN.DLL      : 8.1.3.10      377205 Bytes  08.06.2010 18:43:21
AEEMU.DLL      : 8.1.2.0       393588 Bytes  26.04.2010 06:54:41
AECORE.DLL     : 8.1.15.3      192886 Bytes  15.05.2010 00:39:00
AEBB.DLL       : 8.1.1.0        53618 Bytes  26.04.2010 06:54:41
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 23:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 23:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  19.02.2010 04:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  21.04.2010 05:16:37
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  21.04.2010 05:16:37
AVARKT.DLL     : 10.0.0.14     227176 Bytes  21.04.2010 05:16:37
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 21:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  29.01.2010 00:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  17.03.2010 03:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  20.02.2010 02:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  29.01.2010 01:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  21.04.2010 05:16:37

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, A:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Freitag, 11. Juni 2010  12:40

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YzShadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UberIcon Manager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TabletUser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTouchUser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxdncoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTouchService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'A:\'
    [INFO]      Im  Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1697' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\noohp.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.GX.348
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Elnura\upetv.exe.vir
    [FUND]      Ist das Trojanische Pferd TR/Agent.GX.348
C:\System Volume Information\_restore{22ADE338-CB5B-415D-B194-EE2C42796CD8}\RP531\A0090754.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.GX.348
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{22ADE338-CB5B-415D-B194-EE2C42796CD8}\RP531\A0090754.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.GX.348
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f787b0f.qua' verschoben!
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Elnura\upetv.exe.vir
    [FUND]      Ist das Trojanische Pferd TR/Agent.GX.348
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57da54e8.qua' verschoben!
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\noohp.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.GX.348
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05730e0f.qua' verschoben!


Ende des Suchlaufs: Freitag, 11. Juni 2010  13:14
Benötigte Zeit: 1:01:12 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  21236 Verzeichnisse wurden überprüft
 670777 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 670774 Dateien ohne Befall
   3337 Archive wurden durchsucht
      0 Warnungen
      3 Hinweise
  68308 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         


Alt 11.06.2010, 12:24   #21
markusg
/// Malware-holic
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



ok, nutze den eset online scanner:
Free ESET Online Antivirus Scanner
funde löschen, log bitte posten.

Alt 11.06.2010, 15:49   #22
deviant
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



Hier das ESET Log:
Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=2bbd44fdc697034c80deb90b372ccde7
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-06-12 04:00:10
# local_time=2010-06-11 04:00:10 (-1200, Datumsgrenze Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 10892686 10892686 0 0
# compatibility_mode=1797 16775125 100 100 134373 50227530 14644 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=188274
# found=1
# cleaned=1
# scan_time=8643
C:\Dokumente und Einstellungen\HelpAssistant\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\4934abef-5d26c288	a variant of Java/TrojanDownloader.Agent.NAC trojan (deleted - quarantined)	00000000000000000000000000000000	C
         

Alt 11.06.2010, 16:06   #23
markusg
/// Malware-holic
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



Downloade
http://noahdfear.net/downloads/HelpA...ebroot_fix.exe

und speichere das Tool auf Deinem Desktop.
Schließe alle Programme und Fenster.
Doppelklicke das Tool und folge den Anweisungen.
Sollte das Tool noch eine MBR-Infektion finden, erlaube mbr -f laufen zu lassen und den Computer neu zu starten.
Warte nach dem Neustart mindestens 5 Minuten und fahre wie folgt fort:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

helpasst -mbrt

Vergesse nicht das Leerzeichen zwischen helpasst und -mbrt !
Wenn das Tool fertig ist, öffnet sich ein Logfile.
Poste mir den Inhalt in Deine nächste Antwort.

Wenn das Tool während des ersten Laufs keine MBR-Infektion gemeldet hat:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

mbr -f

Starte den Computer neu.
Warte nach dem Neustart mindestens 5 Minuten und fahre wie folgt fort:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

helpasst -mbrt

Vergesse nicht das Leerzeichen zwischen helpasst und -mbrt !
Wenn das Tool fertig ist, öffnet sich ein Logfile.
Poste mir den Inhalt in Deine nächste Antwort.

Alt 11.06.2010, 16:30   #24
deviant
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



Und hier das Log
Code:
ATTFilter
C:\Dokumente und Einstellungen\Administrator\Desktop\HelpAsst_mebroot_fix.exe
11.06.2010 at 17:14:07,76

No HelpAssistant account in User list


 ~~ Checking for termsrv32.dll ~~

termsrv32.dll not found

 ~~ Checking firewall ports ~~


HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\globallyopenports\list

 ~~ Checking profile list ~~

No HelpAssistant profile in registry

 ~~ Checking mbr ~~

user & kernel MBR OK

 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Status check on 11.06.2010 at 17:24:09,39

No HelpAssistant account in User list

 ~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spgw.sys >>UNKNOWN [0x8B1DB938]<< 
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x025429800 
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

 ~~ Checking for termsrv32.dll ~~

termsrv32.dll not found


HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters
   ServiceDll	REG_EXPAND_SZ  	%SystemRoot%\System32\termsrv.dll

 ~~ Checking profile list ~~

No HelpAssistant profile in registry

 ~~ Checking for HelpAssistant directories ~~

HelpAssistant

 ~~ Checking firewall ports ~~

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]


 ~~ EOF ~~
         

Alt 11.06.2010, 17:12   #25
markusg
/// Malware-holic
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



start ausfüren
rundll32 netplwiz.dll,UsersRunDll
enter

dort siehst du die nutzerkonten, dort help assistant markieren, entfernen drücken.
C:\Dokumente und Einstellungen\HelpAssistant
löschen, papierkorb leeren. neustarten und schauen ob der ordner
C:\Dokumente und Einstellungen\HelpAssistant
nicht erneut auftaucht.

Alt 11.06.2010, 17:22   #26
deviant
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



In der Liste der Benutzerkonten taucht kein Help Assistant auf.

Alt 11.06.2010, 17:27   #27
markusg
/// Malware-holic
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



dann überspringe das und lösche den ordner.
starte neu und schau ob der auch wirklich weg ist.

Alt 11.06.2010, 17:34   #28
deviant
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



Gelöscht, neu gestartet und nicht wieder aufgetaucht

Alt 11.06.2010, 17:37   #29
markusg
/// Malware-holic
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



gabs noch mal meldungen, probleme?

Alt 11.06.2010, 17:38   #30
deviant
 
TR/PSW.Zbot kehrt immer wieder - Standard

TR/PSW.Zbot kehrt immer wieder



Nein, nichts dergleichen, sonst hätte ich was gesagt

Antwort

Themen zu TR/PSW.Zbot kehrt immer wieder
antivir, antivir guard, avira, backdoor, bho, bonjour, booten, booten nicht, desktop, entfernen, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, hängen, internet, internet explorer, log in, logfile, mozilla, neustart., plug-in, scan, server, software, system, tr/psw.zbot, trojaner, vista, windows, windows xp




Ähnliche Themen: TR/PSW.Zbot kehrt immer wieder


  1. Windows 7: Avira meldet immer wieder ADWARE/Adware.Gen4 bzw. .Gen7, zudem taucht Optimizer Pro immer wieder auf
    Log-Analyse und Auswertung - 14.12.2014 (9)
  2. Proxyserverproblem - Haken Interneteinstellungen kehrt immer wieder zurück - Virus?
    Plagegeister aller Art und deren Bekämpfung - 02.10.2014 (5)
  3. Ordner kehrt immer wieder zurück: C:\ProgramData\boost_interprocess?
    Plagegeister aller Art und deren Bekämpfung - 28.02.2014 (22)
  4. Sound Probleme bei Tastatur eingabe und die eingabe selbst hackt auch! Verschwunden nach Neustart, kehrt aber wieder wen ich Online gehe
    Log-Analyse und Auswertung - 30.01.2014 (5)
  5. Avira findet immer wieder neue Viren wie z.B. TR/Spy.ZBot.prgn und weitere
    Log-Analyse und Auswertung - 29.09.2013 (4)
  6. Pc wieder sehr langsam, Firefox stürzt immer wieder ab.
    Log-Analyse und Auswertung - 21.08.2013 (9)
  7. PC fährt immer wieder von alleine runter und wieder hoch
    Plagegeister aller Art und deren Bekämpfung - 04.07.2013 (13)
  8. Infizierte Datei kehrt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (7)
  9. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  10. win32/cycbot auf Windows 7 kehrt immer wieder zurück..
    Plagegeister aller Art und deren Bekämpfung - 29.01.2011 (33)
  11. Internet immer wieder langsam, dann wieder normal usw.
    Log-Analyse und Auswertung - 20.10.2010 (1)
  12. IE öffnet immer wieder werbefenster sowie geht immer wieder der ton aus
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (2)
  13. Media Player öffnet sich selbstständig immer und immer wieder
    Log-Analyse und Auswertung - 30.10.2008 (0)
  14. IEXPLORE.EXE kehrt immer wieder zurück
    Log-Analyse und Auswertung - 09.06.2008 (6)
  15. Browser kehrt immer auf Google-Startseite zurück...Hilfe
    Log-Analyse und Auswertung - 03.06.2008 (1)
  16. Adware und/oder Spyware kehrt immer wieder zurück
    Log-Analyse und Auswertung - 29.06.2006 (13)
  17. Hijacker kehrt nach Neustart wieder
    Plagegeister aller Art und deren Bekämpfung - 11.06.2004 (9)

Zum Thema TR/PSW.Zbot kehrt immer wieder - Also, habe es im abgesichertem Modus gepackt bekommen, aber nach der Rückkehr zum normalen Modus war die Datei verschwunden (habe extra alle Ansichten, wie in dem Link zum Upload Channel - TR/PSW.Zbot kehrt immer wieder...
Archiv
Du betrachtest: TR/PSW.Zbot kehrt immer wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.