22.07.2010, 09:23
| # 1 |
| Registriert seit: 22.07.2010
Beiträge: 2
| Hallo Zusammen! dies ist mein erster Beitrag, daher entschuldigt die evtl. vorhandenen Unsicherheiten... ich hatte vor einiger Zeit einen Virus, der sich als Antiviren Programm ausgab, den Namen habe ich leider vergessen. Ich hatte damals versucht diesen zu entfernen. Da mein PC aber sehr langsam geworden ist, die Viren Programme keine Updates mehr durchführen können, und sogar meine Sparkasse mich angeschrieben hat, dass ich einen Trojaner an Bord hätte, denke ich, dass ich ihn nicht richtig entfernt habe. ich habe von im Forum von einigen ähnlichen Fällen gelesen, habe daher auch mal ein hijack file erstellt: Vielen Dank für Eure Hilfe! P.S. auch ohne update hat microsoft security essentials das Schadprogramm Win32/ZBot erkannt und gelöscht. |
 |
|
22.07.2010, 15:48
| # 2 |
| Hardware Guru  Registriert seit: 28.08.2007 Ort: Bamberg
Beiträge: 4.910
| Hallo, Zuerst deinstalliere doch mal die Tuneup Utilities, denn sie tunen höchsten nur den Geldbeutel des Herstellers, jedoch nicht Deinen PC. Schaue mal im Ordner C:\Windows\System32\drivers\etc in der Datei "Hosts" nach, ob diese dem noch stadardmässig folgene Einträge hat: Code: # Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost Code: ipconfig /flushdns Wie hat Dich denn die Sparkasse wegen einem Trojaner angeschrieben? Ist das hier ein Acer PC/Laptop, um den es hier geht? Gruß.
__________________ Du findest einen Userbeitrag sinnvoll? Bedanke Dich bei dem User mit dem DANKE-Button. Kein Support via PN! Bin bis zum 02.06.2012 in Urlaub.  |
| |
|
22.07.2010, 17:06
| # 3 | |
 Registriert seit: 06.10.2009 Ort: MalwareCity
Beiträge: 49
| Zitat:
Hier macht eine rumlöscherei absolut keinen Sinn!!! Wenn die sparkasse schon bei dir malware aktivität gemeldet hat dann gilt nur eins: Daten sichern und ganz schnell den PC neuaufsetzen oder auf den Auslieferungszustand zurücksetzen.(schau in dein PC-Handbuch) Danach alle Passwörter ändern und gut ist es. http://www.netzwelt.de/news/74149-xp...tallieren.html Z-Bot ist gefährliche Malware und reiht deinen PC bei sowas ein: Botnet ? Wikipedia da hört der Spass dann auf. Das ist ein absolut gutgemeinter Rat von mir, und ich habe Ahnung von der Materie, glaub mir. grüsse GAV. | |
| |
|
22.07.2010, 22:01
| # 4 |
| Hardware Guru Registriert seit: 28.08.2007 Ort: Bamberg
Beiträge: 4.910
| Eine Neuinstallation nach einem Virenbefahl ist immer am sichersten und einfachsten, jedoch nicht immer unbedingt notwendig. Ob die Benachrichtigung tatsächlich von der Sparkasse kam, stelle ich mal in Frage, vor allem, wenn diese per Mail zugeschickt wurde. Einen E-Mail Header kann man sehr leicht fälschen, zu welchen Zwecken auch immer. Im Hijackthis-Log sind auf den ersten Blick keine verdächtigen Dateien zu sehen. Auch wenn ein Virenscanner eine infizierte Datei findet, heisst es noch lange nicht, dass der Schädling aktiv gewesen ist. Der Virenscanner könnte eine inaktive Datei, oder einen Mailanhang gefunden haben. Im Grunde stimme ich Dir zwar zu, jedoch würde ich den Rechner zuerst mal auf aktive Schädlinge untersuchen, nicht dass beim Sichern von Daten ungewollt etwas mitkopiert wird, was dann die frische Windows Instrallation wieder infiziert. Das mit den Updates klingt zwar verdächtig, kann jedoch auch nicht unbedingt etwas mit einem Schädlingsbefall zu tun haben. Ein Softwarefirewall blockt da manchmal auch etwas zu viel ab und zu Tuneup Utilities möchte ich eigentlich nichts mehr sagen, denn das Thema hab ich schon hier im Forum oft genug breit getreten. Für das Desinfizieren vom Z-Bot gibt es von Kaspersky eine komplette Beschreibung inkl. Desinfektionstool: http://support.kaspersky.com/de/viru...?qid=207619478 Nach der Desinfektion würde ich auch noch den Rechner mit dem Avira Antivir Rescue System booten und die komplette Festplatte scannen lassen. Der Z-Bot beinhaltet auch Rootkit-Funktionen, die infizierte Dateien verschleiern, daher sollte man auch ein Antirootkit drüber laufen lassen: http://forums.spybot.info/showthread.php?t=47049 http://www.antirootkit.com/software/index.htm Folgende Eintrag mit Hijackthis fixen: Code: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 Wenn es darum geht, wichtige Daten zu sichern, dann sollte man die Platte aus dem infiziertem Rechner ausbauen und mit einem USB-Adapter an einem sauberen PC anschliessen, um anschliessend die Daten zu kopieren. So verhindert man, dass im Hintergrund laufende und infizierte Systemdienste evtl. zu kopierende Dateien noch mit infizieren können. Ein vernnftiger Virenscanner sollte beim Kopieren mitlaufen.
__________________ Du findest einen Userbeitrag sinnvoll? Bedanke Dich bei dem User mit dem DANKE-Button. Kein Support via PN! Bin bis zum 02.06.2012 in Urlaub. |
| |
|
24.07.2010, 10:15
| # 5 |
| Threadstarter Registriert seit: 22.07.2010
Beiträge: 2
| Guten Morgen! Danke erstmal für die Ratschläge! Es handelt sich in der Tat um einen Acer Laptop (ist das aus der hijack this -file ersichtlich??). Die Meldung von der Sparkasse kam per Post, war also echt, zumal meine Freundin, die Ihr Banking auch über diesen PC erledigt, auch von einer anderen Bank ein Schreiben bekommen hat (verbunden mit neuen TAN-Listen). ich habe alle Anweisungen befolgt, ein Virus oder Rootkit konnte allerdings nicht gefunden werden. Vielleicht hat Microsoft Security Essentials das alles schon erledigt. Das Aktualisieren der Virus Definitionen klappt allerdings immer noch nicht, obwohl ich die Firewall momentan deinstalliert habe... Mir ist aufgefallen, dass der Internet Explorer (den ich nie nutze), nie funktionierte. Jetzt weiß ich warum: Es war ein Proxy Server eingestellt (von mir nicht!). Eine komplette Neuinstallation würde ich gerne vermeiden, da mein Laptop erhebliche Probleme macht. Nach jeder Neuinstallation kommen immer die blauen Windows Systemfehlermeldungen, da scheint irgendein Treiber Problem (vermutlich WLAN) aufzutreten... |
| |
|
24.07.2010, 11:07
| # 6 |
| Hardware Guru Registriert seit: 28.08.2007 Ort: Bamberg
Beiträge: 4.910
| Hallo, Wenn es also sicher ist, dass sich der Z-Bot auf dem Rechner breit gemacht hatte, dann würde ich Dir auch wirklich zu einer Neuinstallation raten. Der Grund dafür ist einfach, dass der Rechner kaum noch richtig bereinigt werden kann und da spreche ich nicht nur vom Z-Bot selbst, sondern von den Veränderungen am Betriebssystem, die durch ihn vorgenommen wurden. Das Ding macht etliche Hintertüren auf. Das wieder in den Griff zu bekommen ist für einen Leien praktisch unmöglich und kostet im Normalfall etliche Stunden Arbeit, da man die Registry per Hand bereinigen muss. Evtl. sind auch noch Systemdienste korrumpiert. Kurz gesagt, ab diesem Moment schliesse ich mich GehirnAntiVirus an. Baue die Festplatte aus, schliesse sie an einen sauberen PC an und sichere Deine Daten. Mach hinterher am besten einen Low Level Format mit DBAN, spiel Dein Windows neu auf und Du bist dann zumindest auf der sicheren Seite und brauchst Dir keine Gedanken mehr zu machen. Beachte jedoch, dass beim Low Level Format auch die Recovery Partition auf der Platte unwiderruflich gelöscht wird!!! Du solltest also im Besitz von Recovery Medien sein, oder Dir aus dem Bekanntenkreis eine Vista-DVD ausleihen, um hinterher installieren zu können. Informationen zum WIN32/ZBOT: Microsoft Malware Protection Center - WIN32/ZBOT Vom ZBOT gibt es bereits etliche Varianten, die unterschiedlichen Schaden anrichten können. Der Schädling lädt auch immer wieder neuen Schadcode nach und korrumpiert das Betriebssystem, in dem er seinen Schadcode u.a. in Systemdateien injiziert, Sicherheitseinstellungen manipuliert und etliche Einträge in der Registry verändert und hinzufügt. Dass es ein Rechner von Acer ist, sieht man an den Hintergrunddiensten aus dem Logfile, die typisch bei Acer Rechnern sind. Hintergrunddienste für das Synaptics Touchpad verraten, dass es ein Notebook sein muss.
__________________ Du findest einen Userbeitrag sinnvoll? Bedanke Dich bei dem User mit dem DANKE-Button. Kein Support via PN! Bin bis zum 02.06.2012 in Urlaub. |
| |
28.05.2012, 11:18
| # -- |
| News Flash  | Das könnte Dich auch noch interessieren:
Nicht fündig geworden? Dann ohne Anmeldung in unserem Gast-Forum nachfragen. |
