TR/Spy.ZBot.ajsg entdeckt

#1 hallo zusammen,

mein virenscanner hat folgednde datei gefunden

Die Datei 'C:\System Volume Information\_restore{809109AD-A43C-4D2F-86A6-1C80F571B503}\RP217\A0165601.exe' udn als TR/Spy.ZBot.ajsg erkannt.trotz entfernung des virus durch avira,verhält sich mein system weiteherhin merkwürdig.ich wär euch dankbar wenn ihr mir helfen könnte,diesen virus komplett von meinem rechner zu entfernen.

vielen dank im vorraus.

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Kannst Du auf Deinem Computer alle Dateien und Datei-Endungen sehen? Falls nein, bitte diese Einstellungen in den Ordneroptionen vornehmen.

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

#3 OTL logfile created on: 04.07.2010 15:28:16 - Run 1
OTL by OldTimer - Version 3.2.7.0 Folder = I:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

Computer Name:
Current User Name:
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]


[2010.07.03 01:04:41 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Recent
[2010.06.19 01:37:17 | 000,086,016 | ---- | C] (MindVision) -- C:\WINDOWS\unvise32qt.exe
[2010.06.19 01:36:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\QuickTime
[2010.06.19 01:36:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\QuickTime
[2010.06.19 01:27:33 | 000,262,656 | ---- | C] (DBS GmbH) -- C:\WINDOWS\System32\TX4OLE.OCX
[2010.06.19 01:27:32 | 000,200,704 | ---- | C] (Sheridan Software Systems, Inc.) -- C:\WINDOWS\System32\THREED32.ocx
[2010.06.19 01:27:30 | 000,291,872 | ---- | C] (Sheridan Software Systems, Inc.) -- C:\WINDOWS\System32\SSTREE.ocx
[2010.06.19 01:27:27 | 000,252,176 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSRD2X35.dll
[2010.06.19 01:27:26 | 000,245,520 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSRD2X32.dll
[2010.06.19 01:27:24 | 001,045,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJET35.dll
[2010.06.19 01:27:24 | 000,244,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSFLXGRD.OCX
[2010.06.19 01:27:13 | 000,148,480 | ---- | C] (BeCubed Software, Inc.) -- C:\WINDOWS\System32\MHLIST32.ocx
[2010.06.19 01:27:11 | 000,046,080 | ---- | C] (Microsoft Corp) -- C:\WINDOWS\System32\MCIWNDX.ocx
[2010.06.19 01:27:10 | 000,198,456 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MCI32.OCX
[2010.06.19 01:27:08 | 000,025,088 | ---- | C] (MegaSystems) -- C:\WINDOWS\System32\MCBUTTON.ocx
[2010.06.19 01:27:04 | 001,109,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\FM20.DLL
[2010.06.19 01:27:03 | 000,557,328 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\DAO360.DLL
[2010.06.19 01:27:01 | 000,570,128 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\DAO350.DLL
[2010.06.19 01:26:58 | 000,447,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\DAO3032.dll
[2010.06.19 01:26:54 | 000,609,584 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\COMCTL32.ocx
[2010.06.19 01:25:50 | 000,000,000 | ---D | C] -- C:\Programme\ContMedia
[2010.06.19 01:25:48 | 000,101,888 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\vb6STKIT.dll
[2010.06.19 01:25:47 | 000,348,672 | ---- | C] (DBS GmbH, Bremen-Germany) -- C:\WINDOWS\System32\txobj32.dll
[2010.06.19 01:25:46 | 000,068,096 | ---- | C] (DBS GmbH, Bremen-Germany) -- C:\WINDOWS\System32\tx_rtf32.dll
[2010.06.19 01:25:46 | 000,033,792 | ---- | C] (DBS GmbH) -- C:\WINDOWS\System32\tx_tif32.flt
[2010.06.19 01:25:46 | 000,022,016 | ---- | C] (DBS GmbH) -- C:\WINDOWS\System32\tx_bmp32.flt
[2010.06.19 01:25:44 | 000,047,104 | ---- | C] (DBS GmbH, Bremen-Germany) -- C:\WINDOWS\System32\WNDTLS32.dll
[2010.06.19 01:25:43 | 000,059,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\VBDB32.dll
[2010.06.19 01:25:43 | 000,037,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\VEN2232.olt
[2010.06.19 01:25:42 | 000,244,496 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\VBAR2232.dll
[2010.06.19 01:25:42 | 000,099,866 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\VB5DE.dll
[2010.06.19 01:25:42 | 000,029,696 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\VB5STKIT.dll
[2010.06.19 01:25:41 | 000,089,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\VB5DB.dll
[2010.06.19 01:25:41 | 000,072,704 | ---- | C] (DBS GmbH, Bremen-Germany) -- C:\WINDOWS\System32\Txtls32.dll
[2010.06.19 01:25:40 | 000,261,120 | ---- | C] (DBS GmbH, Bremen-Germany) -- C:\WINDOWS\System32\Tx_word.dll
[2010.06.19 01:25:40 | 000,093,696 | ---- | C] (DBS GmbH, Bremen-Germany) -- C:\WINDOWS\System32\Tx_htm32.dll
[2010.06.19 01:25:39 | 000,067,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\SYSINFO.OCX
[2010.06.19 01:25:39 | 000,024,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\STKIT432.DLL
[2010.06.19 01:25:39 | 000,024,064 | ---- | C] (DBS GmbH) -- C:\WINDOWS\System32\TX_GIF32.FLT
[2010.06.19 01:25:39 | 000,018,432 | ---- | C] (DBS GmbH) -- C:\WINDOWS\System32\TX_WMF32.FLT
[2010.06.19 01:25:38 | 000,072,704 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ODBCTL32.dll
[2010.06.19 01:25:38 | 000,030,720 | ---- | C] (DBS GmbH) -- C:\WINDOWS\System32\PGRUL.OCX
[2010.06.19 01:25:36 | 000,407,312 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSREPL35.dll
[2010.06.19 01:25:36 | 000,302,352 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSWNG300.dll
[2010.06.19 01:25:36 | 000,024,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJTER35.dll
[2010.06.19 01:25:35 | 000,098,356 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJTER32.dll
[2010.06.19 01:25:34 | 000,938,256 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJT3032.dll
[2010.06.19 01:25:34 | 000,148,240 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJINT35.dll
[2010.06.19 01:25:34 | 000,041,744 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJINT32.dll
[2010.06.19 01:25:33 | 000,118,216 | ---- | C] (BeCubed Software, Inc.) -- C:\WINDOWS\System32\MHLOCALE.dll
[2010.06.19 01:25:33 | 000,034,816 | ---- | C] (BeCubed Software, Inc.) -- C:\WINDOWS\System32\MHRUN32.dll
[2010.06.19 01:25:32 | 000,090,112 | ---- | C] (DBS GmbH, Bremen-Germany) -- C:\WINDOWS\System32\Ic32.dll
[2010.06.19 01:25:32 | 000,034,816 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MCIDE.DLL
[2010.06.19 01:25:31 | 000,042,496 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\FLXGDDE.DLL
[2010.06.19 01:25:29 | 000,112,640 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\CMCTLDE.dll
[2010.06.19 01:25:29 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\CMDLGDE.dll
[2010.06.10 13:10:19 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\ghi\IETldCache
[2010.06.10 12:48:44 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.07.04 11:53:22 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.04 11:52:48 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.04 11:52:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.03 02:05:57 | 003,145,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\\NTUSER.DAT
[2010.07.03 02:05:57 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\\ntuser.ini
[2010.06.24 01:04:56 | 000,996,254 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.24 01:04:56 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.24 01:04:56 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.24 01:04:56 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.24 01:04:56 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.19 01:49:42 | 000,000,242 | ---- | M] () -- C:\Dokumente und Einstellungen\ghi\Eigene Dateien\ax_files.xml
[2010.06.19 01:27:23 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.06.19 01:27:23 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.06.11 16:12:15 | 000,143,624 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.09 15:07:07 | 000,001,409 | ---- | M] () -- C:\WINDOWS\System32\tmpC2553.FOT
[2010.06.09 14:22:26 | 000,000,348 | ---- | M] () -- C:\Dokumente und Einstellungen\Desktop\Eigene Dateien (2).lnk
[2010.06.09 13:55:46 | 000,000,348 | ---- | M] () -- C:\Dokumente und Einstellungen\ghi\Desktop\Eigene Dateien.lnk
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.06.19 01:25:44 | 000,375,296 | ---- | C] () -- C:\WINDOWS\System32\tx32.dll
[2010.06.19 01:25:40 | 000,020,928 | ---- | C] () -- C:\WINDOWS\System32\Tx4ole.GID
[2010.06.19 01:25:39 | 000,079,360 | ---- | C] () -- C:\WINDOWS\System32\TX4OLE.oca
[2010.06.19 01:25:39 | 000,049,642 | ---- | C] () -- C:\WINDOWS\System32\TX.GID
[2010.06.19 01:25:39 | 000,010,904 | ---- | C] () -- C:\WINDOWS\System32\SETUP.LST
[2010.06.19 01:25:32 | 000,000,202 | ---- | C] () -- C:\WINDOWS\System32\IC32.INI
[2010.06.19 01:25:30 | 000,048,770 | ---- | C] () -- C:\WINDOWS\System32\DAO2532.tlb
[2010.06.09 15:07:07 | 000,001,409 | ---- | C] () -- C:\WINDOWS\System32\tmpC2553.FOT
[2010.06.09 14:22:25 | 000,000,348 | ---- | C] () -- C:\Dokumente und Einstellungen\Desktop\Eigene Dateien (2).lnk
[2010.06.09 13:55:46 | 000,000,348 | ---- | C] () -- C:\Dokumente und Einstellungen\Desktop\Eigene Dateien.lnk
[2010.03.28 00:49:18 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.06 00:05:52 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll
[2010.01.03 17:28:43 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2010.01.03 15:33:15 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2010.01.03 15:33:14 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2010.01.03 13:26:31 | 000,033,809 | ---- | C] () -- C:\WINDOWS\System32\1_ssetup.ini
[2010.01.03 13:26:31 | 000,015,958 | ---- | C] () -- C:\WINDOWS\System32\sunistlog.ini
[2010.01.03 13:25:35 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\setuplib.dll
[2010.01.03 13:19:33 | 000,003,072 | R--- | C] () -- C:\WINDOWS\winio.sys
< End of report >

#4 Wo bleibt der Rest? Das zweite Log extra.txt von OTL fehlt und GMER ebenfalls

#5 ja...irgednwie kam nur ein log bei otl.es kann aber gut sein,dass meine firewall den auswurf prozess geblockt hat und deswegen nur eine kreiert hat

.gmer wollt ich gerade anschmeißen