Win32:Zbot of Win32:Zbot-QVM [trj] valt onder de categorie "trojaanse paarden" en heeft het vooral gemunt op het stelen van financiële gegevens bij bijvoorbeeld het internetbankieren, maar ook andere inloggegevens en account-gegevens zoals creditcardgegevens worden met deze malware gestolen en kunnen vervolgens misbruikt worden door cybercriminelen.
Dit "trojaanse paard" maakt een verbinding met een zogenaamde "command & control" server, die in de eerste plaats een versleuteld bestand naar de computer download dit bestand bevat informatie over onder andere de server waar de gegevens die deze malware onderschept naar toe moeten worden gestuurd.

Deze gegevens worden verkregen middels een zogenaamde "keylogger" functie, waarbij gegevens van het klembord en van invoervelden op websites achterhaald kunnen worden. Ook het maken van screenshots (screenlogger) wat er op dat moment door uw wordt ingevoerd behoort tot de mogelijkheden van de Zbot alias Zeus trojan.

Deze malware is instaat om web formulieren te injecteren met extra invoervelden, en zelfs het tonen van compleet vervalste websites kan door deze malware worden uitgevoerd.
Eveneens bevat dit bestand gegevens waar nieuwe versie van deze malware gedownload kunnen worden, kort omschreven heeft deze malware dus een automatische update functie.

Removal Instructies

1. Download MalwareBytes' Anti-Malware (website) en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:

• Update MalwareBytes' Anti-Malware
• Start MalwareBytes' Anti-Malware
• Je krijgt hier ook de keuze om de evaluatie versie van MBAM te gebruiken, indien je dit niet wilt vink dit dan uit.

Klik daarna op "Voltooien".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

Bij problemen!!! (Lees de onderstaande instructies)

• 1. Malwarebytes' Anti-Malware Chameleon
  2. Problemen bij het installeren van Malwarebytes' Anti-Malware
  3. Problemen bij het updaten van Malwarebytes' Anti-Malware
  4. Problemen bij het starten van Malwarebytes' Anti-Malware

• Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
• Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
• Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
• Druk vervolgens op "Scannen" om de scan te starten.
• Het scannen kan een tijdje duren, dus wees geduldig.
• Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
• Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
• Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.


2. Download DDS van sUBS van één van deze locaties en plaats het op je bureaublad:
DDS - Bleeping Computer download.
DDS - Bleeping Computer download.
DDS - Infospyware.
DDS is een diagnosetool en maakt gebruik van scripts.

Schakel je beveiligings software uit voordat je DDS uitvoert!
(hier of hier) kan je lezen hoe je dat doet.

Dubbelklik op DDS om de tool te starten.

Er worden nu automatisch twee log bestanden op het bureablad opgeslagen.

• DDS.txt
• Attach.txt (Plaats deze alleen indien hierom wordt gevraagd!)

Post het DDS logje in het volgende bericht.

Technische details

HijackThis

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4002

O4 - HKCU\..\Run: [Eqowesytw] C:\Users\Beheerder\AppData\Roaming\Oded\ughyk.exe

Register

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Eqowesytw"="C:\\Users\\Beheerder\\AppData\\Roaming\\Oded\\ughyk.exe"

Aangemaakte mappen

C:\Users\Beheerder\AppData\Roaming\Oded

c:\users\Beheerder\AppData\Roaming\Kaohu

Aangemaakte bestanden

C:\Users\Beheerder\AppData\Roaming\Oded\ughyk.exe

C:\users\Beheerder\AppData\Roaming\Kaohu\guaq.qic

C:\users\Beheerder\AppData\Roaming\Kaohu\guaq.qic.txt