|
Trojaner ZPack.Gen gefunden von Antivir Hi, hier im Forum gibts ja schon einige Threads zum "leidigen" Thema ZPack.Gen. Trotzdem nochmal. Hab ihn Anfang der Woche von Antivir aufgezeigt bekommen: Bei jedem Hochfahren mehrere Meldungen von Antivir über Funde. Ausserdem ist bei jedem Hochfahren meine Firewall ausschaltet (-> manuelle Aktivierung). Habe mir zunächst CureIt geladen und wollte das laufen lassen - der PC brachte Fehlermeldung und fuhr neu hoch. Hab jetzt (mittlerweile zum zweiten Mal) CC Cleaner, Anti-Mal Ware und HijackThis! laufen lassen, hier die Log-files. Danke schonmal für Hilfe und Tipps, Grüße urn 1. log-file Anti-Malware: Code: Malwarebytes' Anti-Malware 1.38Code: Logfile of Trend Micro HijackThis v2.0.2 |
Nachträglich noch die uninstall-list. Code: Adobe Flash Player 10 Pluginurny |
Hi, kann mir da denn keiner weiterhelfen!? Oder gibts denn Threads, an denen ich mich 1:1 entlanghangeln kann?! Ist dringend... danke schonma. |
Es waere schon hilfreich zu wissen, wo Antivir diese Malware gefunden hat. |
Ahso, sorry. Also die letzten Ereignisse bei AV scans sind folgende (seitdem finden weder AV noch Malware Bytes Anti-Malware irgendwas): Code: Die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20090703-104916-5A9EBA22\AVSCAN-00000002.exe' |
Das ist ein Zbot, diese Art Malware ist sehr effektiv was Informations und Passwortklau angeht. En aktueller Antivir Report waere hilfreich.. |
AV log-file: Code: Avira AntiVir Personal |
Die Datei scheint ja schon geloescht, der entsprechende Eintrag zu der Malware ist auch im Hijackthis Log nicht zu finden. Sofern die Malware bereits aktiv war ist davon auszugehen, das dir alle Passworte die sich auf dem PC befinden, bzw die du eingegeben hast, geklaut wurden. Du musst diese Passworte unbedingt aendern! Unter normalen Umstaenden sollte sich keine weitere Malware auf dem Rechner befinden, solltest du dieses Restrisiko nicht eingehen wollen, musst du den PC neuaufsetzen! |
Ok, danke. Klingt ja nicht sonderlich gut. Habe die meisten bereits geändert. Dumme Frage: Muss ich mein Windows(-Login)-PW auch ändern? Wie kann man feststellen, ob und wenn ja, (ab) wann ZPack.Gen aktiv wurde?! Was muss beim Neuaufsetzen beachtet werden? Ich hab noch ne externe Festplatte und einen USB-Stick. Kann ich die prüfen bzw. cleanen? |
Wie lange der Zbot bei dir aktiv war, ist schlecht zu sagen. War erst das ".gen" update von Antivir installiert, oder war die Infektion schon vorher da... Im Zweifel war die Malware eher aktiv... :( Zum neu aufsetzen gibt es hierl einen Artikel: http://www.trojaner-board.de/51262-a...sicherung.html |
Ok, danke für den Link. Aber bevor ich Windows neu draufspiele, wie kann ich prüfen, ob externe Medien infiziert worden sind?! Irgendwas mit Combofix hab ich hier schon einige Male gelesen... |
Du darfst gerne Combofix nach einer Anleitung hier aus dem Forum nutzen. Denke daran vorher alle externen Datentraeger anzuschliessen und dann den Rechner starten. Sollte Combofix noch etwas melden (unter weitere loeschungen) posten den Report hier.... |
Kannst Du mir vll. den Link zur Combofix Manual posten? ich hab hier in der Such-Funktion keine Anleitung gefunden. :confused: Danke schonmal. |
Hallo und :hallo: 1.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. 2.) Systemdetails mit RSIT prüfen
ciao, andreas |
Ok, thx. Falls sich was tut, meld ich mich nochmal. |
Habe eben meine externe Festplatte mit Antivir gescannt und keine Fehlermeldungen bekommen. Sauber? Als nächstes würde ich jetzt mal Combofix starten... Frage: Habe drei Quarantäne-Objekte in Malwarebytes Anti-Malware drin: 1.) Backdoor.Bot [Folder] 2.) Malware.Trace [Registry Value] 3.) HiJack.Userinit [Registry Data] Kann ich/muss ich löschen oder!?:aplaus: Grüße |
In Quarantaine sind die Dateien harmlos. Du kannst sie loeschen. Alle eintraege beziehen sich auf den Zbot. Wobei der Bot Ordner(Folder) die Dateien mit den Informationen enthaelt, die er gesammelt und verschickt hat... |
Hi,... hab jetzt nochmal Malware und HJT mit angeschlossener externer Festplatte laufen lassen (Autostart deaktiviert), hier die Logs... Code: Malwarebytes' Anti-Malware 1.38Code: Logfile of Trend Micro HijackThis v2.0.2 |
Das waren (harmlose) Reste des Zbots. Ob deine externe Festplatte sauber ist, kann ich nicht sagen, aber es wird sich kein Zbot darauf befinden, wenn du ihn nicht selber dorthin kopiert hast! |
Hi, danke für die Info. Kann ich denn die Festplatte irgendwie anders testen? Combofix hab ich noch nicht laufen lassen... Mein weiterer Plan ist folgender: 1.) externe Festplatte testen (nach der Anleitung hier; Combofix o.ä.) 2.) Windows neu aufsetzen, um auf Nummer sicher zu gehen Oder wie könnte ich alternativ / besser vorgehen? |
Das ist in Ordnung. Du solltest dich nur genau an die Anleitung halten. http://www.trojaner-board.de/51262-a...sicherung.html Was bedeutet, das du dir das SP3 vor dem neu aufsetzen schon herunterladen solltest. |
Ok, aber jetz noch ein Mal "nerven": Wenn Combofix nichts anzeigt/findet/..., is die externe sauber?!:daumenhoc EDIT: Ist eine Datensicherung auf die externe, bevor ich den Laptop plattmach, sicher?! Wohl nicht oder? |
Du musst die Datensicherung ersteinmal an einem anderen PC testen. Ob alle Dateien von deiner Festplatte "sauber" sind, kann Combofix dir nicht sagen. Es schaut nur nach, ob sich eine DAtei namens autorun.inf im Hauptverzeichniss des Laufwerkes befindet. Befindet sich dort eines, wird diese Datei geloescht. Die autorun.inf sorgt dafuer, das beim anschliessen des Datentraegers am Rechner. Die Datei gestartet wird, deren Name in der autorun.inf angegeben ist. Es waere extremst uebel, wenn du dadurch dein frisch aufgesetztes System gleich wieder verseuchen wuerdest... |
D.h. 1.) bevor ich die externe Festplatte am anderen PC testen kann, am infizierten PC anschließen (Autostart aus) und mit combofix eventuelle autorun.inf 's löschen lassen 2.) Datensicherung auf externer Festplatte 3.) externe Festplatte (mit Sicherung) an anderem PC testen lassen (AntiVir o.ä.) 4.) infizierten PC plattmachen und neu aufsetzen :kloppen: |
Ja, die Reihenfolge hoert sich nicht schlecht an! ;) |
Hallo, mal wieder. Nachdem ich Anfang der Woche mein System neu aufgesetzt hatte, meine externe FP geprüft habe, soweit wieder alles installiert und die Antivir-Einstellungen auf "agressiv" eingestellt hatte, war ja alles gut. Grade eben wieder poppt Antivir auf und findet einen TR/Crypt/ZPack.gen im Verzeichnis Lokale Einstellungen\Temp unter dem Namen c.exe. Im Ordner liegt jedoch nur eine d.exe rum. Ich poste gleich nochmal ein Malwarebytes und HTJ logfile. Danke für Hilfe. Dayum! EDIT1: AV logfile Code: Avira AntiVir PersonalCode: Malwarebytes' Anti-Malware 1.39Code: Logfile of Trend Micro HijackThis v2.0.2Code: Adobe Flash Player 10 Plugin |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board