Trojaner-Board - Win32.Zbot: Habe ich die Ehre und wenn ja, wie komme ich dazu?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Win32.Zbot: Habe ich die Ehre und wenn ja, wie komme ich dazu? (https://www.trojaner-board.de/90813-win32-zbot-habe-ehre-komme-dazu.html)

Win32.Zbot: Habe ich die Ehre und wenn ja, wie komme ich dazu?

Hallo zusammen!

Unter Bastian 61 habe ich mich letztens hier nach Flacor erkundigt und nach gutem Rat meinen Rechner neu aufgesetzt - Danke! für jede Hilfestellung damals.

Jetzt habe ich wieder ein Problem, und langsam wird es blöd.
Die Geschichte:

Der Rechner wurde gestern neu aufgesetzt, Platten neu partitioniert und formatiert. XP aufgespielt. ESET Antivirus und Spybot SD installiert, bevor der Rechner ans Netz ging. ServicePack 3 Installiert. Den Rechner ans Netz gelassen. WindowsUpdate aufgerufen und alle verfügbaren Updates installiert.
Dann habe ich begonnen, Daten zurückzuspielen. Datenträger vorher gescannt.
Vorhin habe ich ein PowerDVD aufgespielt (OEM-Version von DATA Becker). Beim Fertigstellen hat plötzlich Spybot angeschlagen und verkündet, Win32.zbot wolle etwas und ich sollte das besser nicht erlauben. Ich habe also verweigert und lieber mal gegoogelt, ZBotkiller.exe heruntergeladen und ausgeführt. Kein Befund.
Ich habe daraufhin PowerDVD wieder deinstalliert und versuchsweise neu installiert - diesmal keine Meldung.
Ich habe gegoogelt und daraufhin nach diesen Dateien gesucht:
ntos.exe
twex.exe
twext.exe
oembios.exe
sdra64.exe
lowsec\\local.ds
lowsec\\user.ds
Keine davon habe ich gefunden.

Was ist nun los? Habe ich den Bot oder hat Spybot ihn verjagt?
Und wenn Spybot ihn verjagt hat: woher kam der? Gibt es eine Möglichkeit, meine Daten (die ich dringend brauche!) auf den externen Datenträgern auf die Ursache hin zu untersuchen? Irgendwoher muss er doch gekommen sein!

Danke für jeden Tipp!

Bastian

HijackThis gibt folgendes aus:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:21:12, on 15.09.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Intel\AMT\atchksrv.exe

C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Programme\Intel\AMT\LMS.exe

C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\Programme\Intel\AMT\UNS.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Intel\AMT\atchk.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\SpeedProject\SpeedCommander 13\SpeedCommander.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

D:\Zur_Inst\Zbotkiller\HiJackThis.exe

C:\WINDOWS\system32\wuauclt.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.vbvisual.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [atchk] "C:\Programme\Intel\AMT\atchk.exe"

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"

O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1284494219750

O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programme\Intel\AMT\atchksrv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe

O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel - C:\Programme\Intel\AMT\UNS.exe
 

--

End of file - 6641 bytes

--- --- ---

kannst du mal die spybot meldung zeigen ist bestimmt n fehlalarm.
spybot ist sowieso nicht so besonders, nur 1 x pro woche updates zb ist nicht sonderlich zeitgemäß
hast du dich neu angemeldet? warum? und wer war dein helfer im andern thread?

Hallo Markus,

danke für Deine schnelle Antwort!
Ja, ich habe mich neu angemeldet, weil ich mit dem System damals auch mein Passwort verloren (und vergessen) habe. Da ich die Mails noch nicht wieder laufen habe, konnte ich auch kein neues anfordern. So habe ich mich über den Rechner meiner Frau neu angemeldet: Bastian62 statt Bastian61.
Das Thema damals war "Datenrettung bei flacor" und mein Helfer warst Du.
Sorry für die Umstände mit 2 accounts, aber ich kann den anderen nicht öffnen.

Spybot hat (u.a.) im Protokoll:

15.09.2010 14:46:56 Erlaubt (based on lassh blacklist) value "RemoteControl" (new data: "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe") hinzugefügt in System Startup global entry!
15.09.2010 14:46:56 Encountered and terminated Win32.ZBot in C:\WINDOWS\regedit.exe!
15.09.2010 14:47:01 Erlaubt (based on user decision) value "LanguageShortcut" (new data: "C:\Programme\CyberLink\PowerDVD\Language\Language.exe") hinzugefügt in System Startup global entry!
15.09.2010 15:10:10 Erlaubt (based on lassh blacklist) value "RemoteControl" (new data: "") gelöscht in System Startup global entry!
15.09.2010 15:10:10 Erlaubt (based on user decision) value "LanguageShortcut" (new data: "") gelöscht in System Startup global entry!
15.09.2010 15:12:37 Erlaubt (based on lassh blacklist) value "RemoteControl" (new data: "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe") hinzugefügt in System Startup global entry!
15.09.2010 15:12:41 Erlaubt (based on user decision) value "LanguageShortcut" (new data: "C:\Programme\CyberLink\PowerDVD\Language\Language.exe") hinzugefügt in System Startup global entry!

Was wäre an Stelle von Spybot besser?
Auch meinem ESET vertraue ich nicht mehr so recht, aber ich kenne mich letztlich nicht aus. Da ich die c't lese und ESET mal auf deren Software-CD war, bin ich dort gelandet...

Danke für Deine Mühe!
Bastian

ich hatte dir doch damals tipps zum absichern gegeben? mit sandboxie, eingeschrenktem nutzer konto und so weiter. das reicht locker aus, eset kann man dazu nutzen und spybot ist eig nicht mehr nötig.

Ich setze noch auf und installiere meine Software. Das geht nicht eingeschränkt.
Ich bin noch nicht soweit... XP ist erst seit ein paar Stunden drauf und ich baue noch alles auf...
Werde jetzt als erstes Sandboxie aufspielen - der Download ist gerade fertig.

Ich bemühe mich wirklich, Deine Tipps zu befolgen - absichtlich mache ich da nichts anders, auch wenn es vielleicht nachlässig wirkt.

Was den Alarm angeht: soll ich denn weiter machen oder nochmal von vorne anfangen? (Keine Ahnung, wie oft Microsoft mir Windows aktiviert)

Danke!
Bastian

nein das war nen fehlalarm, ich sehe auf jeden fall nichts.
ich hab dir keinenachlässigkeit vorgeworfen, wollte nur drauf hinweisen, dass ein antivirus nur ein baustein sein kann und du, wenn du dann alles umgesetzt hast, ziemlich sicher sein kannst geschützt zu sein.

Danke.
Im Moment baue ich am Sandkasten...

wenn fragen auftreten, melden.

So, bin das erste mal mit Sandbox im Netz und habe alle Benutzerkonten auf "eingeschränkt" gesetzt, aber vorher einen Admin definiert.
Die Box ist ganz schön kompliziert. Muss noch rauskriegen, wie ich es machen muss, dass Internetbrowser grundsätzlich in der Box laufen, auch wenn sie z.B. als Hilfsdatei eines anderen Programms gestartet werden.
Auch bin ich nicht sicher, ob die Box wirklich alles erst eimal aufhält. Es gibt da Programmlisten, die sagen, was sofort wiederhergestellt wird, was später, was optional etc. Da muss ich noch lernen, was das heißt.
Wenn ich jetzt z.B. gefragt werde, ob ich einen neuen Flashplayer installieren will, und ja sage, was passiert dann?
Wird das einfach verweigert, oder: wird von der Sandbox nochmal nachgefragt, oder: läuft die Installation erst nach Beendigung des Browsers, oder: wird installiert, aber nach Browserbeendigung alles wieder rückgängig gemacht, oder...
Fängt die Sandbox jeden Virus ab, oder: werde ich gefragt und muss das erkennen, oder: können bestimmte Sachen eben doch da raus, wenn ich nicht richtig einstelle (was ich nicht beherrsche), oder...
Mir brummt der Schädel.
Aber lieber etwas Schädelbrummen als den ganzen Mist noch einmal.

Bastian

hast du die vollversion von sandboxie? nur da kannst du einstellen das programme immer in der sandbox laufen sollen, unter erzwungener programmstart. wenn nicht, rechtsklick, in sandboxie ausführen.
updates müssen immer außerhalb der sandbox ausgeführt werden. also mit file hippo oder secunia downloaden und instalieren.
bei beschrenkung trage ein:
Beschränkung:
Internetzugriff: firefox.exe
plugin-container.exe
Start/Ausführen Zugang:
firefox.exe
plugin-container.exe
direkter dateizugriff:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
und firefox.exe
bild:
File-Upload.net - 19.rar
und raus kann natürlich immer was, es gibt keine 100 %ige sicherheit.
aber sandboxie ist schon ziemlich sicher und wir haben ja noch andere konfigurationen vorgenommen die die gefahr noch weiter verringern.
du solltest die sandbox bei jedem schließen leeren lassen.

Danke!

Werde mir die Tage die Vollversion besorgen. Bis dahin öffne ich per Rechtsklick.

naja wenn du normal browsen willst, kannst auch auf sandboxed web browser klicken.

Hallo!

In der Sandbox brauchen die Browser ewig!
IE oder Firefox normal: offen nach 3-4sek.
In der Box: bis zu 2 Minuten! Und jedes weitere Fenster, dass sich öffnet (weil z.B. ein Link ein neues Fenster öffnet), braucht auch bis zu 30sek.
Das ist nicht brauchbar, wenn ich z.B. fürs Büro Infos suche.
Was kann ich tun? Am Anfang waren es nur 2-3sek. zusätzlich, also kein Problem. Mache ich was falsch?

Danke für alle Tipps!
Bastian

schon mal ne neuinstalation von sandboxie versucht? irgendwas neu konfiguriert?