Trojaner-Board - ZeuS/ZBot...was tun?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ZeuS/ZBot...was tun? (https://www.trojaner-board.de/129715-zeus-zbot-tun.html)

ZeuS/ZBot...was tun?

Hallo
Habe ein problem...wir haben post von der telecom bekommen da wir uns den ZeuS/ZBot eingefangen haben.
Auf die gegebenen Anweisungen habe ich eine durchsuchung mit Malewarebytes durchgeführt, könnte mir jemand weiterhelfen???

Hi
öffne Malwarebytes, logdateien, poste Berichte mit Funden.
habt ihr einen oder mehrere PCs im haus?

dass ist die sache wir haben mehrere PCs und Laptops im haus...meinst du denn dass die untersuchung mit malewarebytes reicht um herauszufinden ob der auf meine ist???

nein, aber es bietet einen ersten anhaltspunkt. poste mir daher das erstellte log vom ersten pc.

ok klar mach ich sofort wenn es fertig ist danke.

ich denk, du hast bereits eine durchgeführt? ein neues Log möchte ich nicht, sondern das bereits erstellte.

ich muss doch erstmal eine systemdurchsuchung durchführen oder?
Diese läufte gerade noch ;)

hi
bitte eröffne dann das nächste mal erst n Thema, wenn du alles zusammen hast. denn, hättest du dir selbst geantwortet, währe das thema als in arbeit angesehen worden und du hättest auf ne antwort länger warten müssen.
aber ok, lass es erst mal laufen, ich guck dann mal :-)

sry ich bin neu und sonst nicht in Foren so besonders aktiv.
Wusste ich nicht.

nichts gefunden aber ich lads trotzdem mal hoch ....

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4198

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

17.01.2013 22:14:04
mbam-log-2013-01-17 (22-14-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 370937
Laufzeit: 2 Stunde(n), 46 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4023

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

22.04.2010 21:40:22
mbam-log-2010-04-22 (21-40-22).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 106444
Laufzeit: 15 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4023

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

23.04.2010 13:53:43
mbam-log-2010-04-23 (13-53-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 251438
Laufzeit: 1 Stunde(n), 16 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

01.05.2010 18:37:29
mbam-log-2010-05-01 (18-37-29).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 118518
Laufzeit: 7 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4198

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

14.06.2010 20:21:50
mbam-log-2010-06-14 (20-21-50).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125903
Laufzeit: 5 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4198

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

17.01.2013 19:07:40
mbam-log-2013-01-17 (19-07-40).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 129573
Laufzeit: 14 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4198

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

17.01.2013 22:14:04
mbam-log-2013-01-17 (22-14-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 370937
Laufzeit: 2 Stunde(n), 46 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hi
poste mir otl logs von allen pcs, nummeriere die aber, und hänge sie als datei an, am besten als archiv, erstelle ordner, die du zb pc1 pc2 etc nennst, und packe die dann, das is übersichtlicher für mich.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

aber an meinem liegt es doch jetzt nicht oder ???

das weis ich noch nicht. ein log kann uns das nicht zeigen.

was kann dass denn zeigen?Der Quickscan???Oder die Diagnose der anderen PC`S?

und noch eine frage :D :
wenn mein pc jetzt nicht betroffen wäre, aber einer den wir noch besitzen, kann der virus dann von dem iwie auf meinen gelangen über netzwerk oder so?
Und ist es trotzdem angebracht die passwörter alle auszutauschen???
danke im vorhinaus ;) :)

hi
passwörter wechseln ist nötig, jetzt aber unsinnig da wir ja nicht wissen welcher betroffen ist. ein scan findet nur das, was er per signatur oder heuristik kennt, dass sind nie 100 % also benötigte ich logs von allen pcs.
deaktiviere autorun:
http://www.trojaner-board.de/83238-a...sschalten.html
auf allen pcs, dann kannst du die logs sicher kopieren.

aber die logs von meinem hab ich doch jetzt schon hochgeladen oder sind dass nicht die ?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4198

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

17.01.2013 22:47:22
mbam-log-2013-01-17 (22-47-22).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 129583
Laufzeit: 17 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)