|
TR/Spy.ZBOT.cyv und TR/Dropper.Gen Hallo Zusammen, AntiVir meldet mir seit 4 Wochen fast jede halbe Stunde die Trojaner TR/Spy.ZBOT.cyv und TR/Dropper.Gen Mein PC läuft momentan eigentlich ganz normal, aber ich hab trotzdem Angst das die Dinger den irgendwann lahm legen. Ich kenn mich bei der Bekämpfung leider nicht wirklich aus. Hier mal der HiJackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:34:01, on 14.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://suche.klicktel.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://suche.klicktel.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\ O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2 Keine Ahnung ob euch das was hilft. Wäre super wenn mir jemand helfen könnte die Plagegeister zu vernichten! :snyper: Danke schon mal im Voraus. :daumenhoc Den ich werd noch verrückt mit den Meldungen :schrei: |
Hallo Manju Du hast da die C:\WINDO WS\system32\ntos.exe drauf. Da hilft nur ein Neuaufsetzen. So schnell wie möglich von einem sauberen Rechner aus deine ganzen Zugangspassworte ändern. |
Hallo blow-in, erst einmal vielen Dank für die schnelle Antwort! :aplaus: Meinst du eine komplette Formatierung des Rechners? Gibts keine andere Lösung die Plagegeister los zu werden? Nächste Frage (hier drehts sichs um ein Rechner in meiner Firma) können die Trojaner übers Netzwerk auch die anderen Rechner hier im Büro befallen?? Den Rechner zu formatieren wäre grausam, da so viele wichtige Dateien drauf sind :heulen: Kann ich die Dateien von dem Rechner (also Sprich Excel- und Word-Dateien) problemlos auf nen anderen tun oder muss ich befürchten das die Trojaner dann mit kommen? Vielen Dank schon mal im Voraus :daumenhoc |
So ich springe mal ein, bei Firmenrechner solltest du dich schleunigst mit eurem Administrator oder IT-Spezialisten in Verbindung setzen, denn Backdoor Server aus der Familie ZBot haben die blöde Angewohnheit Passwörter und persönliche Daten auszuspionieren. Besonders bei Firmen kann dies katastrophal werden, also trenne diesen Rechner physikalisch vom Netz und befolge meinen Rat. mfg |
Okay danke! Auch wenn das keine gute Nachrichten sind :headbang: Kann ich denn unbesorgt die ganzen Excel- und Worddateien beispielsweise auf einen Stick sichern ohne befürchten zu müssen das die Mistviecher mit kommen? Sagt dir das Programm Sophos Anti-Rootkit etwas? Das habe ich gerade benutzt und es hat den Trojaner gelöscht. Nur ob der jetzt wirklich weg ist ? Und was der schon angerichtet hat? Keine Ahnung... |
Wende dich an den Administrator, der weiß schon was bei heiklen Dokumenten zu tun ist. Eines solltest du aber sofort tun => Rechner vom Netz nehmen Zitat:
Und ja, möge er weg sein, das System bleibt dennoch kompromittiert. Evtl. wird dir auch nur vorgegaukelt, das er weg ist, denn jedes Programm kannst du als manipuliert ansehen, insbesondere Antivirenprogramme, o.Ä. mfg |
Hi vermutlich eine der vielen Firmen, die keinen Administrator oder IT-Spezialisten haben, sondern bei Problemen die Arbeit von Freiwilligen in den Foren sich aneignen. Warum jemanden bezahlen wenn man es auch for free haben kann, so funktioniert die Wirtschaft doch. Alternativ hat der Administrator null Ahnung, denn ansonsten hätten die Mitarbeiter keine Administratorrechte und könnten keine Zbots installieren. Egal: Neumachen ist angesagt. Gruß, Karl |
Zitat:
|
Erst ein mal vielen vielen Dank für die Hilfe!!! :daumenhoc Mit dem "Administrator" liegt ihr beide nicht richtig :D. Wir sind ne kleine Baufirma, also sprich 3 vernetzte PC ohne Server. Jeder ist sein eigener Administrator. Das mit Geld sparen ist also so auch nicht richtig ^^ aber vermutlich läufts bei vielen Firmen wirklich so. Na gut dann muss ich wohl die Kiste platt machen... :heulen: Nochmals vielen Dank das ihr mir gesagt habt was los is. :aplaus::aplaus::aplaus: |
Wenn ihr nur 3 Rechner habt ist das ja kein Grund, das ihr euch alle als Administrator anmelden müsst. Bei einem eingeschränkten Konto währe das nicht passiert. Da hätte sich die NTOS.EXE nicht breitmachen können. Mit Admin-Rechten nur reingehen, wenn Neues aufgespielt werden muss, bzw Einstellungen zu ändern währen. Dabei aber nach Möglichkeit ohne INet Verbindung. Sollte für die Zukunft mal überlegt werden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board