Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner: Win32:ZBot-FB [Trj] bzw. Win32Zbot-EY [Trj] (https://www.trojaner-board.de/49975-trojaner-win32-zbot-fb-trj-bzw-win32zbot-ey-trj.html)

Caro22 27.02.2008 23:50

Trojaner: Win32:ZBot-FB [Trj] bzw. Win32Zbot-EY [Trj]
 
Hallo... und zwar:

Ich habe vor kurzem eine email von ebay und einen Anruf von meiner Bank (ich mache online- banking) bekommen. Beide meinten, dass es Auffälligkeiten gab zwecks einer dritten Person. Der Mann von der Bank meinte, dass ich mal ein Antivirus- Programm durchlaufen lassen soll. Ich hatte eine Demoversion von Antivir, das aber nichts gefunden hat.
Heute habe ich wieder einen Anruf von der Bank bekommen, wieder die gleiche Problematik. Diesmal eine Frau, die mir Avast vorgeschlagen hat. Avast hat 5 Trojaner gefunden. Und zwar:

Name ursprünglicher Ort Virus
13.tmp C:\WINDOWS\Temp Win32:ZBot-FB [Trj]
A0033849.exe C:\System Volume Information\_restore... Win32:Zbot-EY [Trj]
A0034384.exe C:\System Volume Information\_restore... Win32:ZBot-FB [Trj]
A0036097.exe C:\System Volume Information\_restore... Win32:Zbot-EY [Trj]
winpiht.exe C:\Dokumente und Einstellungen\ meinName\Anwendungsdaten Win32:Zbot-EY[Trj]



So das sind sie. Mir wurde geraten die auf keinen Fall einfach zu löschen. Aber was sonst? Ich denke, dass man am besten Sicherheitskopien machen sollte und den Computer auf Anfang setzen sollte. Aber gibt es denn keine andere Lösung? Weiß jemand etwas über diese Trojaner/ Viren?

Es würde mich wirklich freuen, ich wäre sehr dankbar, wenn sich jemand meldet und mir vielleicht sogar weiter helfen kann.

Danke schon mal im Voraus.
Caro :heulen:

BataAlexander 28.02.2008 00:00

Klingt nach ntos.exe, mach mal folgendes
GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt
* Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries
http://img167.imageshack.us/img167/495/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Caro22 28.02.2008 00:13

Muss exakt dieses Fenster bei mir erscheinen? Bei mir steht nämlich sehr viel mehr...

BataAlexander 28.02.2008 00:14

Das ist nur ein Beispiel Fenster, da kann mehr kommen und es muss immer noch nichts heißen.
Poste mal das Ergebnis.

Caro22 28.02.2008 00:18

ist mir ja jetzt ein bisschen peinlich aber wie denn?? wie "poste" ich das denn :-)

BataAlexander 28.02.2008 00:21

* nach Beendigung des Scan, drücke "Copy"

dann klickst Du hier auf Antworten und drückst STRG + V dann solltes hier drin sein.

Caro22 28.02.2008 00:35

Ich versuchs jetzt zu kopieren
GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-28 00:34:53
Windows 5.1.2600 Service Pack 2


---- Files - GMER 1.0.14 ----

File C:\Dokumente und Einstellungen\Caroline\Eigene Dateien\Eigene Bilder\christoph\Neuer Ordner (5)\Art Brut - Bang Bang Rock And Roll\Kopie von Art Brut - Bang Bang Rock And Roll\Kopie von Art Brut - Bang Bang Rock And Roll\Kopie von Art Brut - Bang Bang Rock And Roll\KOPIEV~1 0 bytes
File C:\WINDOWS\system32\ntos.exe 166400 bytes
File C:\WINDOWS\system32\wsnpoem 0 bytes
File C:\WINDOWS\system32\wsnpoem\audio.dll 0 bytes
File C:\WINDOWS\system32\wsnpoem\video.dll 255 bytes

---- EOF - GMER 1.0.14 ----

Caro22 28.02.2008 00:36

naja hat ja nicht ganz funktioniert... kannst du /sie trotzdem was damit anfangen?

BataAlexander 28.02.2008 00:39

Hat doch geklappt. :)
Leider hat sich der ntos.exe Verdacht bestätigt.
Das bedeutet für Dich:
KEINEN BEREINIGUNGSVERSUCH VORNHEMEN!
  • Den Rechner vom Netz nehmen
  • Bei der Bank alle auf dem Rechner verwandten TANs prüfen lassen
  • Alle Zugangsdaten / Passwörter ändern die Du auf dem Rechner benutzt
Sollte sich herausstellen, dass es Unreglmäigkeiten auf Deinem Konto gibt, kannst Du Anzeige gegen unbekannt erstatten und den Rechner untersuchen lassen.
Ist dies geklärt kann der Rechner neu installiert werden. Eine Anleitung dazu findest Du im FAQ Bereich.

Caro22 28.02.2008 00:48

Na super... so eine sch**** Das nervt mich ja jetzt vielleicht.. :-(

Die Bank hatte sofort die Seite sperren lassen, ist sie auch immer noch. Da kann also nicht viel passieren. Meinst du/ sie, dass der "Übeltäter" gefunden werden kann? Könnte das denn nicht die Bank herausfinden, denn sie kriegen ja schließlich von ihrem System Bescheid, dass da irgendwas unregelmäßig ist... ??? Verbreitet sich der Virus auf meinem Computer? Sind Dateien jetzt beschädigt? Wie muss ich mir das vorstellen?

Danke, danke schon mal für deine Hilfe!!! Sehr nett!

BataAlexander 28.02.2008 00:55

Der Virus hat sich tief in Deinem System verankert (dies mit Rootkit Techniken).
Dann läd dieser Befall weitere Dateien aus dem Internet runter, daher kann man nicht genau sagen, was befallen ist.
Und bei Geld hört das "probieren wir mal zu löschen" auf.
Ehrlich gesagt, sehe ich da wenig Chancen an den Täter zu kommen, vielleicht hilft Dir das aber falls tatsächlich was abgebucht wurde von der Bank ein Erstattung zu bekommen.
Bei den Passwörtern bitte an alle Möglichkeiten denken (eBay, PayPal, Foren, Bakn Login sowieso). Man kann mit allen Daten was anfangen!

Caro22 28.02.2008 00:59

Okay, dann werde ich alles neu installieren.

Es wurde nichts abgebucht. Zum Glück ;-)

Dann- vielen Dank für deine, sogar sehr schnelle, Antwort und Hilfe. Bin jetzt ein bisschen schlauer und weiß was zu tun ist. Danke

BataAlexander 28.02.2008 01:02

Kein Problem und ergänzend

Zitat:

Threat characteristics of ZBot - a banking trojan that disables firewall, steals sensitive financial data (credit card numbers, online banking login details), makes screen snapshots, downloads additional components, and provides a hacker with the remote access to the compromised system.
Nur damit Du Dir der Lage bewußt bist.

Caro22 28.02.2008 01:11

Die Bank hat sich sofort gekümmert, sie wissen Bescheid, dass es da ein Virus/ Trojaner gibt. Alles gesperrt und das gibt mir schon ein relativ sicheres Gefühl. Ich hoffe das Beste.
Tschüß

BataAlexander 28.02.2008 01:12

Zitat:

Zitat von Caro22 (Beitrag 324737)
Ich hoffe das Beste.
Tschüß

Ich hoffe mit Dir, aber wie gesagt nicht nur an die Bank denken... :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27