Zeus/ZBot Telekom email
 

Hallo liebe Helfer.

Habe heute bekannte email der Telekom erhalten, dass einer von 3 potentiellen Rechnern mit dem Trojaner ZBot infiziert sein soll.
Avira und die von der Telekom empfohlene Software brachten keinen Erfolg / keinen Fund.

Ich schreibe von Rechner 1.

OTL habe ich bereits runtergeladen.

Darf ich die logs posten?
Danke!:abklatsch:

Wo steht was von OTL?

Wir haben hier eine Erste Schritte - Anleitung. Befolge sie bitte.

OTL habe ich nur geladen, nichts gemacht.
Sorry.

Ist ja nicht schlimm ... leg einfach los.

Ok. Was soll ich tun?

Sich ein wenig auf dem Board umsehen und lesen hätte geholfen...

frst
FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Addition

Ja prima. Also in diesem Logfile ist nichts von einem ZBot zu sehen. Damit wir sicher sind ...

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

defogger
ok, eset mache ich.
wie gehe ich mit Rechner 2 vor? separates Thema?
oder einfach die logs hierein posten?

Einen nach dem anderen. Wir machen erst hier fertig.

ok...danke auf jeden Fall schonmal für die schnelle und kompetente Hilfe!!!
*DAUMENHOCH*

Wir sind ja noch lange nicht fertig.

scan läuft....steht bei 75% ohne fund

--------------

so eset ist fertig:

Und das war das GANZE Logfile?

ja. 1 Fund mit dem Log. mehr zeigte es nicht an.

Also gut, dann mach hier ein Javaupdate:

Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 25) herunter laden.
• Während der Installation entferne den Haken bei:
  http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:

• Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:

• Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen...
• Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

und dann geht es mit PC2 weiter:

- frst
- gmer

ok, PC 2 ist jetzt online:
frst

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Addition

Sauber ... dann ESET.

hier noch gmer
beim online scan ist der rechner gerade abgeschmiert und hat neu gebootet.....

so, trotz absturz hat eset ein log geschrieben:

Fein. Next one.

eset meldet KEINEN FUND.
:-)

Dann FRST bei PC3

Hallo. Die Telekom hat sich nochmal gemeldet.
Folgende Mail habe ich erhalten[CODE][/über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert. Ein
Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen
dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter
hxxp://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei
Interesse eine gute Erklärung der Struktur eines Botnets sowie eine
schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um
den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der
Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese
Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern
gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An
DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam
versenden, usw. (Insbesondere die rechtswidrige Verbreitung von Inhalten
kann ein sehr teurer "Spaß" werden, wenn plötzlich drei, vier
kostenpflichtige Abmahnungen (500-800 Euro pro Abmahnung sind durchaus
normal) ins Haus flattern.)

Bei anhaltenden Beschwerden setzten wir eine Port-25-Sperre für Ihren
Zugang. Wir können mittels einer solchen Mailversandbeschränkung eine
Schadsoftware allerdings ausschließlich daran hindern, Spam von Rechnern
aus direkt an fremde Mailsysteme zuzustellen. Alles andere, wozu diese
Schadsoftware entworfen sein mag, entzieht sich unserem Einfluss. Die
Sperre löst daher nur unser Problem, nämlich dass unser Netzbereich
wegen eines zu hohen Spam-Aufkommens von anderen Providern als
bedeutsame Quelle der Spam-Plage in deren Blacklists landen, was dann
allen unseren Kunden zum Nachteil gereichte.

Die Mailversandbeschränkung bestünde lediglich darin, dass der Port 25
in fremde Netze gesperrt wäre. Dieser Port ist nur für die Zustellung
von Mailserver zu Mailserver erforderlich. Die für die Endnutzer
vorgesehenen Postausgangsserver benötigen diesen Port nicht.

Der E-Mail-Versand über securesmtp.t-online.de wäre nicht eingeschränkt.
Informationen zur Konfiguration und Nutzung Ihres t-online.de-Postfachs
mit einem E-Mail-Programm finden Sie unter
hxxp://hilfe.telekom.de/hsp/cms/content/HSP/de/3370/FAQ/theme-305643298

Zwecks Verwendung von Postausgangsservern anderer Anbieter trotz einer
Port-25-Sperre wenden Sie sich bitte an den Support dieses Anbieters.

Die Umgehung dieser Beschränkung wäre also recht einfach. Dies darf aber
aufgrund obengenannter Risiken kein Grund dafür sein, nichts zu tun.
Nach Beseitigung der Ursache sollte die ggf gesetzt Port-25-Sperre auch
dann aufgehoben werden, wenn Sie dadurch nicht (mehr) behindert würden.
Denn solange die Mailversandbeschränkung bestünde, erhielten Sie von
unserem System keine Warnungen mehr.

Die Freischaltung erfolgte übrigens, sobald Sie uns bestätigten, das
Sicherheitsproblem beseitigt zu haben. Einer speziellen Form bedarf es
dabei nicht.

Nun aber zurück von dem, was passieren könnte, zu dem, was passiert ist:

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem
Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt,
die relevanten Zeitangaben aus den Beschwerden haben wir in die
jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

87.181.160.175 So, 18.08.2013 16:57:30 MESZ Ermahnung

Beziehen Sie bei Ihren Überlegungen mit ein, dass das Problem durch
einen Dritten verursacht worden sein könnte: Wenn zu dem jeweils
genannten Zeitpunkt ein Gast berechtigten Zugang zu Ihrem WLAN/LAN (und
damit Ihrem Internetzugang) hatte, kann es natürlich sein, dass die
Aktion die zu der Beschwerde führte, von seinem Rechner ausging. Eltern
sollten hierbei insbesondere auch etwaigen Besuch der Kinder "auf dem
Radar" haben.

Besonders wenn der Zugang von einer Firma benutzt wird, kalkulieren
Sie bitte auch etwaige mitgebrachte Rechner von Mitarbeitern oder
gar Kunden ein. Auch Rechner von Mitarbeitern, die über ein VPN in
Ihr lokales Netzwerk gelangen, könnten die Beschwerden verursachen.

Oder Sie betreiben ein WLAN und dieses ist womöglich nicht oder nur
unzureichend gesichert. Ein offenes WLAN kann durch Nachbarn auch völlig
unabsichtlich mitbenutzt werden, da sich Windows gern das nächstbeste
WLAN "greift", zu dem es eine Verbindung aufbauen kann. Es ist erforder-
lich, das WLAN mindestens mit dem Verschlüsselungsverfahren WPA, besser
WPA2, zu sichern (WEP ist unsicher!). Auch der Zugang zur Router-
konfiguration muss mit einem Passwort gesichert werden.

Bitte nicht vorschnell abwehren, dass dies nicht sein könne, etwa
weil Sie genau wüssten, dass Sie das Funknetz bestens abgesichert
hätten. Das glaubten wir Ihnen durchaus, aber auch WLAN-Router sind
letztlich nur dumme, fehlerbehaftete Maschinen, die gelegentlich
abstürzen, sich aufhängen oder einen plötzlichen Neustart hinlegen.
Im letzteren Fall kann es passieren, dass die Werkseinstellungen
geladen werden und zumindest bei älteren Modellen wird das WLAN dann
"offen" betrieben. Da auch die meisten Betriebssysteme nach dem
Motto "Hauptsache, es funktioniert" äußerst benutzerfreundlich
agieren, nehmen diese die unverschlüsselte Verbindung ohne zu Murren
(also ohne Hinweis an den Benutzer) an.

Andere geben an, kein WLAN zu benutzen und diese Funktion auch
explizit in Ihrem WLAN-fähigen Endgerät deaktiviert zu haben.
Schauen Sie dennoch besser einmal nach. Viele WLAN-DSL-Router haben
am Gehäuse einen Taster, mit dem man das WLAN ein- und ausschalten
kann. Insbesondere kann man es versehentlich einschalten. Wenn man
das WLAN nicht eingerichtet hat, weil man es selbst nicht benötigt,
dann ist es zumindest bei älteren Geräten automatisch "offen", also
für jedermann in Funkreichweite nutzbar.

Zuletzt ist zu bedenken, dass für die Nutzung von PowerLAN/dLAN/PLC
(hxxp://de.wikipedia.org/wiki/PowerLAN) genau dasselbe gilt. Das ist
zwar kabelgestützt, so dass man annehmen könnte, dass es "automatisch
sicher" sei. Tatsächlich kann die Verbindung von Dritten (u.U. Nachbarn)
genutzt werden, und dies sogar unabsichtlich. Daher muss auch eine
solche Verbindung verschlüsselt werden. Ziehen Sie hierzu ggf. die
Dokumentation des Herstellers Ihrer Adapter zu Rate.

Den Beschwerden zufolge befindet sich in Ihrem LAN mindestens ein mit
der Schadsoftware 'ZeuS' verseuchter Rechner.

Zuallererst müssen die Schädlinge entfernt werden. Um die Chance zu
erhöhen, auch weniger verbreitete Manipulationen zu finden, empfehlen
wir Ihnen einige kostenlose Tools. Sie müssen zwar nicht alle verwenden,
sollten aber solange fortfahren, bis Sie das Problem gefunden und
beseitigt haben. Es ist zu beachten, dass 'ZeuS' den Aufruf und Download
vieler sicherheitsrelevanten Seiten & Tools blockiert. Ggf. muss der
Download daher von einem anderen Rechner aus erfolgen. Lassen Sie sich
ggf. von einem Bekannten helfen!

Zusätzlich zum Virenscanner kann das "Tool zum Entfernen bösartiger
Software" [MRT] von Microsoft geladen und ausgeführt werden. Unter
hxxp://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
finden Sie dieses zum Download vor.

Der Scanner von Malwarebytes unter hxxp://de.malwarebytes.org kann ggf.
weitere Schadsoftware aufspüren. (Wichtig: Nach der Installation von
Malwarebytes muss diese Software zunächst einmal aktualisiert werden!)

Deutschsprachig und auch recht einfach in der Anwendung sind die beiden
Varianten des DE-Cleaner, die Sie unter https://www.botfrei.de finden.
Wichtig: Lesen Sie bitte unbedingt die Hinweise zu den Anwendungen auf
der Seite und laden Sie vor der Benutzung bitte auch die Anleitungen
herunter!

Es besteht jedoch auch ein Risiko, dass Ihr Rechner unter multiplen
Infektionen leidet. Denn sobald eine Schadsoftware auf einem Rechner
läuft, hängt es mehr oder weniger nur noch vom Geschick des böswilligen
Programmierers ab, ob sie von einer beliebigen Schutzsoftware, die auch
auf dem "infizierten" System läuft, überhaupt noch entdeckt werden kann.
Ein Rootkit, das bereits beim Booten des Rechners vor dem Betriebssystem
geladen wird, kann sich unsichtbar für dieses Betriebssystem machen.

Speziell für diesen Zweck wurde GMER konzipiert. Sie finden dieses
kleine Programm unter hxxp://www.gmer.net ("DOWNLOAD EXE"-Button unten
auf der Seite). GMER ist allerdings ein Tool für Spezialisten.

Das Mittel der Wahl wären dann Boot-CDs bzw. Boot-DVDs, mit denen man
den zu untersuchenden Computer starten kann, ohne dass dessen
Betriebsystem geladen wird. Wir empfehlen die "DE-Cleaner Rettungssystem
CD" von Avira, die Sie unter https://www.botfrei.de/rescuecd.html zum
Download vorfinden. Lesen Sie auch hier bitte unbedingt die Hinweise auf
jener Seite und laden Sie vorher auch die Anleitungen herunter!

Leider haben Sie jedoch nie die Gewissheit, wirklich alles gefunden zu
haben, dann wäre das System womöglich nach kurzer Zeit erneut befallen.
Guten Gewissens können wir Ihnen dann nur noch eine vollständige
Neu-Installation des Betriebssystems empfehlen.

Unter https://www.botfrei.de/neuinstallation.html finden Sie wichtige
Informationen und Anleitungen, die bei einer Neu-Installation beachtet
werden sollten.

Damit die Schädlinge nach der Bereinigung nicht wieder auftauchen,
müssen Sie danach alle (!) Updates für das Betriebssystem und für die
von Ihnen benutzten Anwendungen einspielen und zwar BEVOR Sie auch nur
ein einziges Dokument (Insbesondere PDF-Dateien, aber auch Bilder und
Videos) öffnen oder auch nur einen einzigen USB-Datenträger daran
anschließen. Das sind nämlich Verbreitungswege von 'ZeuS'. Nicht nur
externe Festplatten und Speichersticks kommen in Frage, sondern auch
Digitalkameras und MP3-Player bzw. einfach jedes USB-Gerät mit
beschreibbaren Speicher. Denn erst mit dem Windows-Update Mitte Februar
2011 hat Microsoft diesen Weg insofern erschwert, dass der Autostart für
USB-Datenträger deaktiviert wurde.

Es wäre wirklich frustrierend, wenn man beispielsweise den Rechner in
stundenlanger Arbeit neu aufsetzt und wie zuvor einrichtet, nur um dann
feststellen zu müssen, dass man sich die Urlaubsfotos besser erst nach
dem Neustart nach den letzten Update angeschaut hätte ...

Da der Internet Explorer auch Betriebssystemsdienste zur Verfügung
stellt, sollte er auch dann aktualisiert werden, wenn er nicht zum
Browsen im Web benutzt wird. Für Windows XP ist die aktuelle (und
letzte) Version der Internet Explorer 8.0, für jüngere Windows-Versionen
ist der Internet Explorer 9.0 aktuell.

Eine kleine FAQ zum Thema "Schutzsoftware":
CODE]

PC 3 wird bis zu meiner Rückkehr von einer Dienstreise nicht mehr benutzt. Ich werde am Freitag oder Samstag weitermachen und mich wieder melden. Den Inhalt der Telekom Mail verstehe ich nur zur Hälfte. :-(

Unterbrechung
Du hast mir mitgeteilt, dass du für mehr als 2 Tage nicht antworten kannst.
Ich werde daher jetzt mein Abo für dieses Thema löschen.
Sobald du hier geantwortet hast schreibe mir bitte eine kurze Notiz per PM mit Link hierher zu deinem Thema, damit wir weiter machen können.

Alle anderen User: Neues Thema eröffnen

hallo Ryder,
ich habe heute nochmal PC1 gestartet und prompt wieder eine Meldung erhalten.
Soll ich nochmal ein Logfile senden?
Grüße

Hallo und entschuldige bitte die Verspätung.

Brauchst du weiterhin noch Hilfe?
Ich springe hier für ryder ein.

Was für eine Meldung hast du genau erhalten?
Und mach bitte beim betroffenen PC ein neues FRST-Log.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.