Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus zeus nicht zu finden (https://www.trojaner-board.de/122871-virus-zeus-finden.html)

gizmo83a 27.08.2012 17:55
Virus zeus nicht zu finden
 
Hallo,
habe vor kurzem von web abuse die info bekommen, dass mein mail-zugang ausgespäht wurde und dass auf meinem system das virus zeus sein muss. Habe zu dem zeitpunkt der feststellung einen meiner pc´s und mein laptop laufen gehabt. Laptop mit win7 64bit und gdata internet security 2011 und auf pc winxp mit kaspersky cbe11. Alle virenschutzprogramme waren auf dem neuesten stand. Habe beide rechner mehrfach durchsuchen lassen. Kein virus gefunden bis auf einige alte, nie aktivierte Programmdateien, die aber schon lange neutralisiert waren und den zusatz vir im suffix hatten. Hatte sie nur noch nicht gelöscht. Habe dann online virenscanner laufen lassen. Auch ohne ergebnis. Dann noch die neue antibot.cd 3.0. Und dann auch noch malwarebytes suchen lassen. Alles ohne befund. Habe letztlich zum schluss noch auf dem Laptop die GData antiviren software gelöscht und das neue kaspersky cbe12 installiert und suchen lassen. Wieder kein ergebnis. Hat sich zeus so gut versteckt, oder glaubt ihr, dass es vielleicht eine fehlermeldung von web abuse war und ich den virus gar nicht auf meinen rechnern habe? Ich habe keine Ahnung. Welche Möglichkeiten hätte ich denn noch danach zu suchen?

markusg 27.08.2012 18:43
hi
kaspersky 2013 ist aktuell, und gdata war auch veraltet.
das sich die abuse abteilungen irren kommt eher selten vor.
erstelle mir otl logs von beiden geräten, beschrifte sie so, dass wir sie unterscheiden können
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

gizmo83a 27.08.2012 22:23
Danke. Ist alles neu für mich. Wenn ich das richtig verstehe, soll ich deine Vorgaben kopieren und in das OTL Feld "Benutzer..." einfügen. Die Vorgaben von OTL übernehme ich wie sie angelegt sind, oder muss ich da was ändern? Habe schon mal angefangen und nach einiger Zeit folgende Meldung bekommen: OTL List index out of bounds (3).
Werde den Scan wiederholen. Schaffe das dann aber heute abend nicht mehr. Werde dann morgen weitermachen und mich melden, wenn ich fertig bin oder wieder Fragen habe. Falls die Abbruchmeldung was zu sagen hat, wäre es nett, wenn Du Dich vorher noch einmal meldest.

markusg 28.08.2012 17:44
hi dann klicke mal einfach so auf quick scan, ohne etwas in das feld zu kopieren.
alle einstellungen so belassen wie sie sind

gizmo83a 28.08.2012 18:03
So, dass ganze lief nicht ganz problemlos. Ich habe OTL auf 3 Rechnern laufen lassen.
1. Auf dem Laptop, der mit zeus infiziert sein soll. Hier wurde auch OTL.txt und Extra txt erstellt. Diesen OTL-Text versuche ich gleich als erstes zu posten.
2. Mein PC mit dem ich mein Online Banking machen und der sich seit längerem merkwürdig verhält. Häufig starten weder firefox noch explorer. Dann friert er manchmal kurz ein und ich bekomme häufig die Meldung, dass das ein oder andere Programm oder Prozess nicht mehr funktioniert. Dann ist der Rechner manchmal nicht mehr auszuschalten. Hier wurde zwar eine OTL txt erstellt, aber keine Extra txt. Ich weiß auch nicht, ob die Datei vollständig ist, denn wie gestern kam die Meldung: OTL List index out of bounds (3). Auch wurde die OTL txt auch nicht nach Beendigung (falls er beendet wurde) des Scans automatisch geöffnet. Ich werde dieses Ergebnis im zweiten Schritt posten.
3. Mein PC für Multimedia. Auch hier bin ich nicht sicher, ob nicht irgendein virus sein Unwesen treibt, denn z.B. verabschiedet sich häufig der explorer. Auch hier wurde heute nur eine OTL txt erstellt. Gestern beim ersten Versuch kam auch noch eine Extra txt, aber wie gesagt heute nicht. Das wäre dann mein drittes posten.
Bevor ich es jetzt losschicke, muss ich leider noch fragen: Wie?
Geht das mit Anhängen? Bei einigen Foren klappt das nicht.

Ich versuche es zunächst mit den Anhängen. Zur Sicherheit mit gesplitteten Files wegen der Größenbegrenzung.

Als erstes Laptop 1. Teil

gizmo83a 28.08.2012 18:04
Hier Teil 2 der otl.txt Datei von Laptop

gizmo83a 28.08.2012 18:06
Hier nun Teil 1 der otl.txt vom Rechner fürs Onlinebanking

gizmo83a 28.08.2012 18:07
Und Teil 2 vom Online Banking PC

gizmo83a 28.08.2012 18:08
So zum Schluss der Multimedia PC. Hier nun der erste Teil der olt.txt datei

gizmo83a 28.08.2012 18:11
Jetzt noch Teil 2 vom MediaPc. Falls Du auch noch die einzige Extra.txt Datei brauchst, die ich ja nur vom Laptop habe, sag mir bitte Bescheid. Jetzt schon mal herzlichen Dank im Voraus. Kann das leider nicht selbst bewerten und untersuchen. Hoffe, dass Du was findest, ober besser, dass Du nichts findest.

gizmo83a 28.08.2012 19:21
Hi Markus,
nachdem ich die Datein eingestellt hatte, kam Deine Mail:

hi dann klicke mal einfach so auf quick scan, ohne etwas in das feld zu kopieren.
alle einstellungen so belassen wie sie sind

Bezieht sich das auf meine gestrige mail, oder soll ich die heutigen Scans wiederholen, weil die gesendeten Dateien von heute nicht in Ordnung sind???

Hi, ich nochmal. Hatte auch in einem anderen Forum um Hilfe gebeten. Bekam gerade die Nachricht, dass ich einen Crack auf dem Rechner habe und ich mich über malware nicht wundern muss:

O1 - Hosts: 127.0.0.1 activate.adobe.com

Da ich alle Adobe Programme legal erworben habe und dort auch registriert bin, verstehe ich das nicht. Aber da ich den PC nicht allein nutze, werde ich mal nachfragen. Wollte Dich nur schon mal darüber informieren. Weiß bisher nicht, welches Programm das überhaupt sein soll. Scheint auch nur auf einem der Rechner drauf zu sein, denn von den anderen ist nichts gesagt worden.
Bin jetzt umso mehr gespannt, ob Du eine Antwort für mich hast, ob nun einer oder keiner der Rechner befallen ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131