ComputerBase Menü
Aktuelles

Verunsichert ob Zbot/Zeus befall vorliegt

S

Spongebob

Newbie
Registriert
Juni 2013
Beiträge
3
Schönen guten Morgen an alle

Vielen dank für das lesen dieder Nachricht. Das ist mein erst post hier hoffe ihr könnt mir kleine Fehler verzeihen.
So zu meiner Situation

Ich habe Gestern Onlinebanking mit meinen rechner gemacht vorher natürlich alles geschaut ob alles Aktuel ist (Windows Update, Firefox, Java, Flash, und Kaspersky(online banking mache ich über sicheres bezahlen bei Kaspersky und mit Virtueller Tastatur)). Bis dahin war alles ok und habe mich nicht verunsichern lassen. Danach habe ich was drucken wollen und der Drucker hat mir ein Foto von mir ausgedruckt obwohl er den Auftrag gar nicht bekommen hat. Danach habe ich gleich ein scan gemacht und hat nixs gefunden er hatte aber Function Discovery Print Provider.Dll aufeinmal als vertrauenswürdig eingestuft. Genauso habe ich noch das heute früh gefunden Host Process for Windows Services $ObjId Bearbeitungsfehler d:\$Extend\ sowie dieses hier
Host Process for Windows Services $ObjId Bearbeitungsfehler C:\$Extend\
Habe dann noch ThreatFire drüber laufen lasse da hat er nichts gefunden und zusätlich noch noch HitmanPro
davon hänge ich mal die log datei ran.

Code: 
HitmanPro 3.7.6.201
www.hitmanpro.com

   Computer name . . . . : ROBERT-PC
   Windows . . . . . . . : 6.1.1.7601.X64/6
   User name . . . . . . : Robert-PC\Robert
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2013-06-28 07:54:42
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 1m 29s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 282

   Objects scanned . . . : 1.565.469
   Files scanned . . . . : 28.253
   Remnants scanned  . . : 412.296 files / 1.124.920 keys

Suspicious files ____________________________________________________________

   C:\Users\Robert\AppData\Local\PunkBuster\MOH\pb\pbcl.dll
      Size . . . . . . . : 895.844 bytes
      Age  . . . . . . . : 151.6 days (2013-01-27 17:39:30)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : FC3B4CA8E757E4C9EE740E84419DDB76AE60D20711C49C993B74FCCFFB58F2F9
      Fuzzy  . . . . . . : 29.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.

   C:\Users\Robert\AppData\Local\PunkBuster\MOH\pb\PnkBstrK.sys
      Size . . . . . . . : 139.832 bytes
      Age  . . . . . . . : 151.6 days (2013-01-27 17:39:48)
      Entropy  . . . . . : 7.8
      SHA-256  . . . . . : 4DA51D1D0A2ECA3357EE2FF80015937CA648D8507F04CA06DE47D59601042F53
      RSA Key Size . . . : 1024
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 22.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.
         The file is a device driver. Device drivers run as trusted (highly privileged) code.
         Program is code signed with a valid Authenticode certificate.


Cookies _____________________________________________________________________

   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:247realmedia.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ad.12mnkys.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ad.360yield.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ad.ad-srv.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ad.adc-serv.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ad.movad.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ad.yieldmanager.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ad.zanox.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ads.creative-serving.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ads.p161.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:adtech.de
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:adtechus.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:advertising.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:adviva.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:apmebf.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:atdmt.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:autoscout24.112.2o7.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:bs.serving-sys.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:burstnet.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:c.atdmt.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:deutschepostag.112.2o7.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:doubleclick.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:eas.apm.emediate.eu
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:fastclick.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:h.atdmt.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:invitemedia.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:kaspersky.122.2o7.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:mediaplex.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:oracle.112.2o7.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:overture.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:questionmarket.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:revsci.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ru4.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:serving-sys.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:smartadserver.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:specificclick.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:stats.computecmedia.de
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:track.adform.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:track.effiliation.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:tradedoubler.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:webresint.122.2o7.net
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:ww251.smartadserver.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:www.etracker.de
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:www.googleadservices.com
   C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\r7mkpla8.default\cookies.sqlite:xiti.com


Ich hoffe ihr könnt mich beruhigen.

Vielen dank im vorraus
 
Klingt sehr merkwürdig. Mir wäre nicht bekannt, dass sich Zeus an Druckern zu schaffen macht, geschweige denn Bilder ausdruckt. Das wäre nicht gerade eine ideale Verhaltensweise für einen Trojaner, der sich ja möglichst bedeckt halten sollte. Könnte es nicht sein, dass du noch einen entsprechenden Druckjob in der Warteschlange hattest?
 
Danke für deine Antwort.

hatte das Bild zwar am Wochenende bei Lightroom4 bearbeitet aber in der zeit war ja der Rechner aus und der drucker auch. Da dürfte ja nichts mehr in der Warteschlange geblieben sein meiner meinung.
 
wenn das bild nicht ausgedruckt wurde, bleibt es in der warteschlange...

wobei du auch ein wenig aufpassen musst: dass dein virenscanner eine eingebaute online-banking funktion hat, bedeutet nicht, dass du sicher (nicht befallen) bist. da gaukelt dir die werbung zu viel vor, und es ist ein leichtes, solche antivirensuiten mit integrierten funktionen zu umgehen.

mach mal mit malwarebytes sicherheitshalber ein gründlichen scan. (dauert seine zeit)
 
Zuletzt bearbeitet:
Ich kann nicht beurteilen, ob du dir Zeus eingefangen hast. Aber etwas stimmt mit deinem System sicher nicht mehr, ich wäre äusserst vorsichtig. Ich hatte schon vor mehr als 10 Jahren auf einem Rechner ein Virus, das sich im Treiber eines Multifunktionsgerätes Drucker/Scanner/Fax eingenistet hatte und das kaum wieder loszuwerden war (die Virenscanner damals kannten das Ding noch nicht).

Schau dir auch mal diesen Post an, du bist nicht der erste, der mit der Anwendung HitmanPro und Punkbuster Probleme hat.
 
Danke für euer Hilfe ihr macht mir gerade keine mut :(. Habe auch das entfernungstool von bitdefender laufen lassen der hat auch nixs gefunden. Ich lass gerade f secure rescure laufen als boot cd. hoffe das sagt mir mehr.
Ich habe kein multifunktionsdrucker ist nur ein normaler drucker von canon. zazie was meinst du das was mit mein system nicht stimmt?
 
Ganz ehrlich...

Onlinebanking und unsicher ob kompromittiert -> System neu aufsetzen, passend absichern, und gleich eine Sicherung anlegen.

Alles andere rumgedoktore wird dir untwerschwellig weiter vermitteln, das was nicht ok ist und beim Onlinebanking hört der Gaube gänzlich auf.
Nichts kann soviel Mühe bereiten, nichteinmal das System neu aufzusetzen.
 
Das habe ich aus den von dir geposteten Daten geschlossen, beispielsweise Zeilen 32 und 46. Ich habe dann mit Punkbuster und reloc als Stichworten gegoogelt. aus den Resultaten sieht man sofort, dass genau diese Fehlermeldungen auch in Fällen aufgetaucht sind, wo tatsächlich ein Viren-/Trojanerbefall vorliegt, nicht nur in Verdachtsfällen. Es ist aber auch klar, dass nicht ZWINGEND ein solcher Befall vorliegen muss.

Weil es aber bei dir um den Verdacht geht im Zusammenhang mit einem Rechner, der auch für online-Banking verwendet wird, würde ich keine Risiken eingehen und - wie von Hellbend empfohlen - das System neu aufsetzen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz