Hallo,
ich habe mir mal die Arbeit gemacht cronos Anleitung zur Entfernung von Smitfraud auf den neusten Stand zu bringen. Ich poste sie jetzt erstmal hier dann können noch Anmerkungen/Verbesserungen/Korrektur von Rechtschreibfehlern usw. vorgenommen werden, für feedback wäre ich dankbar

Zitat:

Anleitung zur Entfernung von Zlob alias Puper

Erstmal ein kurzes Vorwort zudem was Zlob ist, an welchen Symptomen er meistens zu erkennen ist und wie er sich verbreitet.
Zlob ist ein Trojaner, der verschiedene Dateien in den Systemordnern ablegt, andere Malware nachladen kann und diverse Veränderungen in der Registry vornimmt. Er verbreitet sich meistens über ein angebliches Videocodec, das von bestimmten Seiten zum Download angeboten wird. Er kann außerdem mit Hilfe von Cracks oder dem Ausnutzen von Browserlücken auf Crackseiten übertragen werden.

Wie erkenne ich ob ich Zlob habe?

Zlob gibt es in verschiedenen Varianten, die meisten sind daran zu erkennen, dass sie zum Installieren eines bestimmten, angeblichen Antispywareprogramms auffordern. In den häufigsten Fällen sind es folgende Programme:

Spyware Quake
Spyware Falcon
Spy(ware)Sheriff
Titan Shield


In den meisten Fällen wird diese Aufforderung über eine Nachricht "Your System is infected" o.ä. in der Infoleiste (rechts unten) vorgenommen.
In manchen Versionen tritt auch eine Veränderung des Desktophintergrunds auf oder es werden Popups eingespielt.




Wie beseitige ich Zlob?



Smitfraudfix
Besorgt euch das Programm Smitfraudfix und lasst es wie im Unterpunkt "Reinigung" beschrieben laufen, achtet besonders darauf das Ganze im abgesicherten Modus vorzunehmen.


Smitrem
Alternativ zu Smitfraudfix, kann man auch Smitrem zur Beseitigung verwenden, allerdings reagiert das Programm etwas träger auf Änderungen oder das Auftreten neuer Varianten.
Entpackt das Programm, geht in den abgesicherten Modus, führt die runthis.bat aus und folgt den Anweisungen auf dem Bildschirm.


In den meisten Fällen sollte es das schon gewesen sein. Zur Kontrolle könnt ihr immer noch einen Onlinescan bei Kaspersky machen.

Probleme?

Falls nach der Reinigung immernoch Symptome auftreten sollten, eröffnet bitte einen eigenen Thread im Forum mit einer detaillierten Problembeschreibung und folgenden zusätzlichen Informationen:

1.) HijackThis Log
2.) Inhalt der Datei C:\rapport.txt (bei Smitrem Inhalt der Datei C:\smitfiles.txt)
3.) Löscht eure Temp-Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!
4.) Evtl. den Report von dem Onlinescan bei Kaspersky


Besonderen Dank an cronos, dessen Anleitung die Basis für diese Anleitung ist.

Grüße Wildone

Grüße Wildone

Hallo,

Zitat:

Zitat von Wildone

Ich poste sie jetzt erstmal hier dann können noch Anmerkungen/Verbesserungen/Korrektur von Rechtschreibfehlern usw. vorgenommen werden

zum Inhalt mag ich eigentlich nichts sagen, da sich meine Einstellung diesbezüglich doch etwas geändert hat.

Dennoch ein paar kleine Korrekturen (nur auf die RS bezogen *g*):

Zitat:

Erstmal ein kurzes Vorwort zu dem, (muss auseinander geschrieben werden) was Zlob ist.....Browserlücken.....zum Installieren......Antispywareprogramms......das Ganze....immer noch....detaillierten...Temp-Dateien....Evtl.

Ein paar Kommafehler sind auch noch drin.

Das war's erst mal von meiner besserwisserischen Seite


HTH

korrekturen eingearbeitet

GUA

@GUA
Jetzt könnte es eigentlich auch nach Anleitungen, FAQs & Links verschoben werden
Danke.

Der Felix

Hallo,
bitte noch nicht, wahrscheinlich werde ich morgen noch mal Änderungen vornehmen, ich bin mit der momentanen Struktur nicht wirklich zufrieden. Ev. überlege ich mir auch eine Liste mit Dateien (max. 10) aufzunehmen, die gerade typisch für die verbreitesten Versionen sind, diese müsste dann allerdings mindesten einmal im Monat aktualisiert werden. Ein Vorteil einer solchen Liste wäre, dass wahrscheinlich ein paar User direkt über google zu der Anleitung gelangen würden, und dann nicht mehr im Forum bearbeitet werden müssten.

Heute will ich mich nicht mehr drann setzen weil ich gerade von der Fanmeile komme und etwas kaputt bin.

@Haui
Danke für deine Rechtschreibkorrektur, das ist nicht gerade meine Stärke.

Zitat:

zum Inhalt mag ich eigentlich nichts sagen, da sich meine Einstellung diesbezüglich doch etwas geändert hat.

Verstehe ich nicht ganz, tendierst du dazu den Hilfesuchenden eine Neuinstallation zu empfehlen?


Grüße Wildone

Zitat:

Zitat von Wildone

Verstehe ich nicht ganz, tendierst du dazu den Hilfesuchenden eine Neuinstallation zu empfehlen?

Genau so ist es, das hat aber nicht vornehmlich was mit Zlob und dessen Variationen zu tun, sondern gilt allgemein. Aber dies ist der falsche Ort um darüber zu diskutieren.

Hmm...im Spotlight-Sicherheitsforum wird bei einem Zlob-Befall nur geraten, die Kiste neu aufzusetzen, was nat. am sinnvollsten ist.
Eine Bereinigung nach Wildone's Anleitung kann erfolgreich sein, muss es aber nicht, vllt. könnte das in der Anleitung erwähnt werden, dass eine Bereinigung immer das Risiko birgt, dass Schädlingsteile übersehen und damit nicht entfernt werden.

Hallo,

Zitat:

Eine Bereinigung nach Wildone's Anleitung kann erfolgreich sein, muss es aber nicht, vllt. könnte das in der Anleitung erwähnt werden, dass eine Bereinigung immer das Risiko birgt, dass Schädlingsteile übersehen und damit nicht entfernt werden.

Gute Idee, werde ich einarbeiten. Auch wenn dies natürlich nur eine Aktualisierung von cronos Anleitung sein soll. Ich sehe die Problematik durchaus, gerade auch weil Smitfraudfix auch Dateien entfernt die ich schon als Backdoor bezeichnen würde (z.B. taskdir.exe, winbrume.dll...)
Ich komme heute aber leider doch nicht mehr dazu, weil ich auch noch Deutschland-Polen sehen will.
Und das die Entfernung von Zlob ein Grenzfall zum Thema Neuaufsetzen ist, ist mir durchaus bewußt.


Grüße Wildone

Schön, eine Bereinigung ist immer mit Vorsicht zu genießen.
Auch wenn der Rechner danach noch so sauber "riecht" kann man ja nicht wirklich sicher sein, dass er es auch wirklich ist.
Und gerade bei ONUs wage ich es mal zu bezweifeln, dass sie wirklich alles was in den Anleitungen steht schritt für Schritt korrekt abarbeiten.
Da ist ein Neuaufsetzen mit dem Verweis *VORHER* die Updates wie das SP2 offline einzuspielen, doch schon sinnvoller.

Einen Ewido Scan sollte man noch empfehlen.
Evtl. Rootkitparanoia sei dem jeweiligen Helfenden überlassen.

Aus Aktualitätsgründen würde ich dann noch bitten, die beiden Smitfraud-Threads (manuell/automatisch) der nächsten Dampfwalze zu überantworten.

LG

cronos

P.S: @ WO : Dank nicht mir, sondern lieber dem Pieter Arntz von Wilderssecurity. Und über den führen dann manche Wege zu geekstogo. Dort ist er bekannt als Metallica.