Wartungscenter meldet Win32/Zbot - MS Sec Essentials findet nichts

heinzm62

Lieutenant
Registriert
Juli 2011
Beiträge
613
Hallo zusammen,

ich benutze Win7 Pro.
Nachdem ich eben mein System gestartet habe meldet mir das Windows eigene Wartungscenter:
Windows hat PWS:Win32/Zbot auf dem Computer gefunden und entfernt.

Ausserdem steht dort:
Klicken Sie in Microsoft Security Essentials auf die Registerkarte Verlauf.
Klicken Sie auf Alle erkannten Elemente, und klicken Sie dann auf die Schaltfläche Details anzeigen.
Im Bericht werden alle erkannten Elemente sowie das Datum angezeigt, an dem PWS:Win32/Zbot entfernt wurde.

Aber dort ist nichts zu finden, das Fenster ist wie es sein sollte, leer.
Ich muss dazu sagen das ich sehr vorsichtig bin, lade nichts von Quellen runter die ich nicht kenne, öffne keine E-Mailanhänge von unbekannten und ohne diese vorher scannen zu lassen.
Ich lasse jeden Tag zu einer bestimmten Uhrzeit eine Vollständige Prüfung durchlaufen und auch sonst sind alle Sicherheitsmechanismen auf höchster Stufe eingestellt.
Beispielsweise: In der Benutzerkontensteuerung habe ich auf "immer benachrichten" eingestellt, so das Windows immer fragt wenn etwas installiert wird oder eine Änderung an Windows vorgenommen werden soll.

Ich bin jetzt recht verunsichert, ob die Info aus dem Wartungscenter der Wahrheit entspricht oder ein Fehler sein könnte?
Es läuft gerade noch eine Vollständige Prüfung durch, aber diese hat bei ca. ~80% noch nichts ergeben.
Im Netz habe ich Einträge gefunden wie "Windows erkennt Chrome (den nicht nicht installiert habe und auch nie hatte) als Trojaner und bevor ich mir irgendwelche wilde Software installiere um dies und das zu testen würde ich einfach gern wissen ob mein System jetzt kompromitiert ist oder das Problem behoben sein sollte oder ich doch wieder mit Hammer, Meißel und Steintafel arbeiten sollte.

Evtl. kennt sich ja jemand mit derlei Problematik aus.

Grüße


Das letzte Update der MS Essentials fand in der letzten Nacht statt.
 
Zuletzt bearbeitet: (Nachtrag)
Schau mal hier: http://support.kaspersky.com/de/viruses/disinfection/2020
oder auch hier:
http://www.trojaner-board.de/thema/pws:win32/zbot.gen!y.html
http://www.trojaner-board.de/125059-pws-win32-zbot.html
Auf jeden Fall solltest du mal dein System mit einem alternativen OnDemand Scanner wie Malwarebytes Free(Benutzerdefinierter Suchlauf) oder Emsisoft Emergency Kit Scanner(Detail Scan)überprüfen. Gut bzw alternativ wäre auch der Einsatz einer Antivirus Live CD wie die Kaspersky Rescue Disk.
 
Ja wie purzelbär schon sagt, einfach mal einen anderen Scanner über dein System laufen lassen, nimm am besten dafür den Emsisoft Emergancy Kit-Scanner aus meiner Signatur den du auch nicht installieren musst, und mach damit einen Detail-Scan und teile uns danach das Ergebnis hier mit, dann sehen wir weiter. ;)
 
Scan läuft, dauert aber eine Weile.
Ich poste dann das Ergebnis.

Danke einstweilen.
 
edit(purzel war schneller^^)
Les dir diese Seite durch!!! Weil dieser Virus sich mit Rootkits schützt. Dort gibt es auch ein kleines Tool was du benutzten solltest. http://support.kaspersky.com/de/viruses/disinfection/2020

Untersuche das System auch noch mit einer Boot Resure Cd die du dir erst runterladen musst.

Ps.: Dieser Virus stiehlt Passwörter und verbreitet sich durch E-Mails oder infizerte Seiten! Du solltest also ganz sicher sein das dein Sytem sauber ist bevor du dich irgenwo einloggst. Da dein Sys. aber kompromittiert wurde würde ich dir vorschlagen ein Backup zurückzuspielen oder falls nicht vorhanden Win neu zu machen!!!
 
Zuletzt bearbeitet:
Ja Nero das kann er ja machen nachdem er einen Vollscann mit dem EEK gemacht hat, und er sich sonst nichts weiter auf seinem System eingefangen hat. ;)
 
Zuletzt bearbeitet:
purzelbär schrieb:
Schau mal hier: http://support.kaspersky.com/de/viruses/disinfection/2020
oder auch hier:
http://www.trojaner-board.de/thema/pws:win32/zbot.gen!y.html
http://www.trojaner-board.de/125059-pws-win32-zbot.html
Auf jeden Fall solltest du mal dein System mit einem alternativen OnDemand Scanner wie Malwarebytes Free(Benutzerdefinierter Suchlauf) oder Emsisoft Emergency Kit Scanner(Detail Scan)überprüfen. Gut bzw alternativ wäre auch der Einsatz einer Antivirus Live CD wie die Kaspersky Rescue Disk.

Dem Link von Kaspersky nach habe ich manuell nach den Dateien unter Hauptmerkmalen gesucht aber nur ähnliche Dateien, nicht aber exakt diese gefunden.
Gefunden habe ich: ntoskrnl.exe und twext.dll
In den beiden Regschlüsseln sind die infizierten Dateien nicht verknüpft.
Die Foreneinträge habe ich auch gefunden, aber bevor ich die dort empfohlene Software (Eingangs als wilde Software bezeichnet) wollte ich nochmal Rücksprache halten.

Scan bei 83% 46 Einträge, aber alle mit "kein Risiko" deklariert.
Ich hoffe das sind gute Vorzeichen.

Grüße
 
Scan abgeschlossen - Bericht angehängt, 2 mittlere Bedrohungen, ansonsten nix. Evtl. noch mal drauf schauen bitte.
Kann ich jetzt davon ausgehen das alles i.O. ist?
Den Trojan-Spy.Win32.Zbot von Kaspersky werde ich trotzdem noch durchlaufen lassen.

Gescannt 508565
Gefunden 46
Scan Ende: 24.08.2014 14:31:18
Scan Zeit: 2:36:08

Logfile: Anhang anzeigen a2scan_140824-115510.txt
 
Scan abgeschlossen - Bericht angehängt, 2 mittlere Bedrohungen, ansonsten nix. Evtl. noch mal drauf schauen bitte.
Kann ich jetzt davon ausgehen das alles i.O. ist?
Na ja EEK fand immerhin 46 Infizierungen die du hoffentlich hast bereinigen lassen durch löschen bzw in Quarantäne zu verschieben lassen. Ich würde noch das System mit Malwarebytes Free oder noch besser mit einer Antivirus Live CD wie Kaspersky Rescue Disk überprüfen. Letztere Variante hat den Vorteil das das linuxbasierte Scanner sind und bei deren Einsatz Windows aussen vor bleibt und sich so ein Trojaner, Virus, R$ootkit oder dergleichen nicht Windoesfunktionen zunutze machen kann um einer Entdeckung und Bereinigung zu entgehen.
 
Ich würde sagen neu aufsetzen, und man ist auf der sicheren Seite, und danach regelmäßig Images der Systempartition oder besser der ganzen Festplatte machen und dann ist man für solche Fälle gerüstet. ;)
 
Selbst wenn ich mein System neu aufgesetzt habe, kann es mir passieren das durch irgend ein gekapertes Werbebanner mein System sofort wieder kompromitiert wird.

Für meine Bankgeschäfte müsste ich eine VM verwenden mit der ich ausschliesslich diese Bankgeschäfte tätige um sicher zu stellen das die VM nicht kompromitiert ist und wird? Oder wäre das nur ein besseres Pflaster auf einen offenen Bruch und würde am Ende nichts bringen weil ein infiziertes Hostsystem auch die VM infiziert?
 
In der Zeit die er bis jetzt mit dem Versuch der Bereinigung verbracht hat, hätte er auch locker Windows neu aufsetzen können. ;)
 
Zuletzt bearbeitet:
Online Banking in einer VM bringt dir nichts, wenn dein Host (dein physikalischer Rechner) infiziert ist, denn die Eingaben abfangen + Screenshots erstellen kann dir Trojaner dann trotzdem.
Sicherer wäre dafür eine Live-CD (von c´t gibs dafür eine angepasste Variante mit etwas mehr Sicherheit). Ansonsten würde ich bei einer potenziellen Infizierung immer mit einer Live-CD scannen (wie desinfec´t von ebenfalls c´t oder von einem x-beliebigen AV-Anbieter).
 
Da hast du natürlich recht, aber wie gesagt, ich bin ziemlich vorsichtig und weiss nicht genau was ich falsch gemacht habe.
Könnte mir also sofort wieder passieren ohne das es mir bewusst ist.
 
heinzm62:

Ich glaub du hast meinen Beitrag nicht gelesen! Mach dein System neu! Dann einen Av installieren, java im Browser deaktivieren( Systemseuerung, Java, Sicherheit, häckchen raus bei Java Content im Browser, Addons Adblock Edge und No Scrip installieren, wie man No Script handhabt siehst du da http://www.youtube.com/watch?v=ybzP0oftI4c und keine E-.Mail Anhänge öffnen + Sicherung vom Windows nach neuinstallation!
 
Zuletzt bearbeitet:
Zurück
Oben