Avira findet TR/PSW/Zbot740

#1 Hallo,

Avira hat die obige exe datei gefundet und in die Quarantäne verschoben. Auch die Win eigene Firewall hat diese Anwendung gemeldet und so hoffe ich geblockt. Im Suchlauf von Mbam wurde nichts mehr gefunden. Bedauerlicherweise kann ich OTL nicht ausführen da es keine "zulässige win Anwendung" ist.
Es wäre schön wenn jemand helfen könnte.
LG
Fratzi

#2 Herzlich Willkommen auf dem Protecus Forum

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

#3 Hallo Swiss,

hier die Funde

Exportierte Ereignisse:

29.05.2012 22:53 [System Scanner] Malware gefunden
Die Datei 'C:\Users\Mommy\AppData\Roaming\Vikuat\yquh.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PSW.Zbot.740' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag
<HKEY_USERS\S-1-5-21-2252010564-981114740-1608657456-1003\SOFTWARE\Microsoft\Win
dows\CurrentVersion\Run\Diocf> wurde erfolgreich repariert.
Der Registrierungseintrag
<HKEY_USERS\S-1-5-21-2252010564-981114740-1608657456-1003\SOFTWARE\Microsoft\Win
dows\CurrentVersion\Run\Diocf> wurde erfolgreich repariert.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei konnte nicht gelöscht werden!
Exportierte Ereignisse:

29.05.2012 22:53 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\Users\Mommy\AppData\Roaming\Vikuat\yquh.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Zbot.740' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Exportierte Ereignisse:

29.05.2012 22:50 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\Users\Mommy\AppData\Roaming\Vikuat\yquh.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Zbot.740' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Die otl.exe habe ich auf dem Desktop gespeichert. Bei dem Versuch diese als Administator zu starten bekam ich folgende Meldung " User/Mommy/Desktop/Otl.exe ist keine zulässige Win32-Anwendung. Liegt vielleicht daran das ich eine Win7 Home Premium 64 Bit Version besitze oder das ich es auf dem eingeschränkten Benutzer Konto gespeichert habe.
LG Fratzi

#4 Schritt 1


• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:




Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

#5 Hallo Swiss,

leider hat es nicht funktioniert. Ich bekomme immer noch die Meldung das dies keine zulässige Win32 Anwendung ist. Ich kann die otl.exe nicht starten.
Was kann ich noch tuen?
LG
Fratzi

#6 Unbootbares System mit OTLPE Network scannen

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier.
• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.



• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

Falls Du kein Brennprogramm hast:

ISOBurner
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Instructions.

#7 Hallo Swiss,

CD ist gebrannt.

ich bin im Bios gewesen. Auf der ersten Seite bekam ich folgende Auswahl
Product Information
Standard CMOS Features
Advanced Bios Features
Advanced Chipset Features
Integrade Peripherals
Power Managment

Im Bios Features kam dann folgende Auswahl
Quick Boot> Enabled
Quiet Boot>Enabled
1st boot Device> HDD PO WDC
2nd boot Device>CD/DVD: P1-HL-DI-St
3rd boot device>USB
4th boot device>LAN
etc

Da ich mir nicht sicher bin was ich wählen soll wollte ich nochmal nachfragen
LG
Fratzi

#8 2nd boot Device>CD/DVD: P1-HL-DI-St

#9 Hallo Swiss,
es hat bis zu dem Punkt .."Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen" geklappt. Danach kam das Windows Anmeldebild und dann ein Bluescreen mit einer Stop-Fehlermeldung.
An was das liegt kann ich nicht sagen. Was kann ich noch tuen?
LG
fratzi

#10 Versuche es nochmals. Ansonsten:

Downloade dir bitte Farbar's Recovery Scan Tool x64
und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager
• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".


Wähle in den Reparaturoptionen Eingabeaufforderung
• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
e:\frst.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine [color=darkorchid]FRST.txt[/color] auf deinem USB Stick. Poste den Inhalt bitte hier.

#11 Hallo Swiss,
es ist zum Schreien. Alles hat geklappt, bis zu dem Befehl. Und was mußte ich wieder lesen...FRST64 ist keine zulässige Win32-Anwendung und hat dem Tool den Zugriff verweigert.
Und nun? Ich verzweifel gerade.
LG
fratzi

#12 Geht der abgesicherte Modus gar nicht`?

#13 Hallo Swiss,
ich war nochmal im abgesicherten Modus aber ich bekomme immer wieder diese verdammte Meldung...dass diese OTLexe keine zulässige Win32 anwendung ist
LG
fratzi

#14 Mal schauen ob ein Onlinescan geht:

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.

• Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.

• Firefox-User:
Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User:
müssen das Installieren eines ActiveX Elements erlauben.

• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.Wenn der Scan beendet wurde

• Klicke .
• Klicke und speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die Logfile hier.

#15 Hallo Swiss,

also Eset hat nichts gefunden, aber ich konnte die letzten 3 Punkte nicht ausführen. Als Eset beendet war bekan ich nur ein Bild mit der Meldung das er nicht gefunden hat und dann war nur der Finish Button zu sehen.

LG
Fratzi