Emergency-Trojaner Zlob

chico · 19.01.2006, 23:37

Hallo allerseits,

ich habe mir auf meinem Rechner den Trojaner ZLOB eingefangen.Nun öffnen sich beim Hochfahren des Rechners lauter Internetseiten mit Warnmeldungen das mein Rechner infiziert ist.
Kann mir jemand sagen wie ich dieses Teufelszeug wieder loswerde?
Aber bitte, ich bin alles andere als ein PC-Experte, versuchts dann mit einer Beschreibung für absolutr Laien.

Vielen Dank

chico

Wildone · 19.01.2006, 23:45

Hallo,
1.) Poste ein HijackThis log wie hier beschrieben.

2.) Besorge dir folgendes Tool, enpacke es, gehe in den abgesicherten Modus (F8 beim hochfahren drücken) und führe die runthis.bat aus. Dann postest du den Inhalt der Datei C:\smitfiles.txt

3.) Führe folgendes Programm aus und poste die vier Logfiles, kopiere nur die Dateien der letzten drei Monate. (kannst du gerade nicht machen, da die Seite mit anleitung und Programm offline ist)

Grüße Wildone

chico · 20.01.2006, 15:50

Hallo,

hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:28:09, on 20.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Maxthon\Maxthon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.275\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: International - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp4007.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {D4DE1C0D-4502-40CE-80B8-D9C2F51BF82C} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D4DE1C0D-4502-40CE-80B8-D9C2F51BF82C} - (no file) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/31c54bfb399ba1d74e18/netzip/RdxIE601_de.cab
O16 - DPF: {C1F76AC6-D660-4FD7-BF88-A1D148367CAA} (xVectorMap Plugin 1.6) - http://xvectormap.ptv.de/xvectormap/PTVxVectorMap16.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Wildone · 20.01.2006, 16:05

Hallo,
bitte noch Punkt zwei und drei(geht jetzt wieder) abarbeiten.

Grüße Wildone

chico · 20.01.2006, 16:29

So, ich habe alle Deine Schritte befolgt.Ich hoffe das war alles so richtig

smitRem © log file
version 2.8

by noahdfear

Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

Video iCodec
SpywareStrike

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

wiatwain.dll
1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe

~~~ Icons in System32 ~~~

ts.ico
ot.ico

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 700 'explorer.exe'

Starting registry repairs

Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

SpywareStrike

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\WINDOWS\system32

17.01.2006 21:19 1.201 LexFiles.usr
14.01.2006 12:43 5.600 LexFiles.ulf
08.01.2006 09:16 2.206 wpa.dbl
01.01.2006 15:41 3.584 wmfhotfix.dll
01.12.2005 12:14 86.091 S32EVNT1.DLL
03.11.2005 08:43 116.560 FNTCACHE.DAT
30.10.2005 08:03 311.740 perfh009.dat
30.10.2005 08:03 40.128 perfc009.dat
30.10.2005 08:03 316.924 perfh007.dat
30.10.2005 08:03 48.354 perfc007.dat
30.10.2005 08:03 723.744 PerfStringBackup.INI
05.04.2005 10:17 517.848 SymNeti.dll
05.04.2005 10:17 132.824 SymRedir.dll
31.03.2005 20:17 176.167 rmoc3260.dll
31.03.2005 20:16 5.632 pndx5032.dll
31.03.2005 20:16 6.656 pndx5016.dll
31.03.2005 20:16 278.528 pncrt.dll
19.03.2005 13:21 25.065 wmpscheme.xml
19.03.2005 13:17 261 $winnt$.inf
19.03.2005 13:10 2.951 CONFIG.NT
19.03.2005 13:10 16.832 amcompat.tlb
19.03.2005 13:10 23.392 nscompat.tlb
19.03.2005 13:08 488 logonui.exe.manifest
19.03.2005 13:08 488 WindowsLogon.manifest
19.03.2005 13:07 749 wuaucpl.cpl.manifest
19.03.2005 13:07 749 nwc.cpl.manifest
19.03.2005 13:07 749 cdplayer.exe.manifest
19.03.2005 13:07 749 sapi.cpl.manifest
19.03.2005 13:07 749 ncpa.cpl.manifest
19.03.2005 13:03 21.740 emptyregdb.dat
19.03.2005 12:58 0 h323log.txt
27.01.2005 14:39 466.944 capicom.dll

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\

20.01.2006 16:09 0 sys.txt
20.01.2006 16:08 4.288 system.txt
20.01.2006 16:08 129 systemtemp.txt
20.01.2006 16:07 88.846 system32.txt
20.01.2006 16:03 1.510 smitfiles.txt
20.01.2006 15:55 200.515.584 pagefile.sys
19.03.2005 15:43 194 boot.ini
19.03.2005 13:10 0 MSDOS.SYS
19.03.2005 13:10 0 IO.SYS
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 20:00 4.952 bootfont.bin
12 Datei(en) 200.898.379 Bytes
0 Verzeichnis(se), 17.175.052.288 Bytes frei

atentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\WINDOWS

20.01.2006 16:07 90.648 ntbtlog.txt
20.01.2006 16:02 179.815 setupact.log
20.01.2006 15:55 2.048 bootstat.dat
20.01.2006 15:52 32.542 SchedLgU.Txt
20.01.2006 15:15 0 0.log
17.01.2006 19:11 533 win.ini
17.01.2006 12:46 69 NeroDigital.ini
14.01.2006 12:43 284.825 setupapi.log
14.01.2006 12:43 748 LMAAL2DD.ini
10.01.2006 22:55 50 wiaservc.log
10.01.2006 22:55 216 wiadebug.log
25.12.2005 23:17 192 winamp.ini
02.12.2005 23:01 113 wmsetup.log
06.08.2005 18:42 12.672 SYMEVENT.LOG
05.05.2005 10:55 21.693 LUINSTALL.LOG
31.03.2005 20:24 25 cdplayer.ini
19.03.2005 17:23 81.459 DirectX.log
19.03.2005 16:41 7.016 Windows Update.log
19.03.2005 15:43 227 system.ini
19.03.2005 14:59 400 ODBC.INI
19.03.2005 13:21 829 OEWABLog.txt
19.03.2005 13:21 725.682 setuplog.txt
19.03.2005 13:18 8.192 REGLOCS.OLD
19.03.2005 13:17 47.012 iis6.log
19.03.2005 13:17 15.702 comsetup.log
19.03.2005 13:17 7.838 ntdtcsetup.log
19.03.2005 13:17 10.190 tsoc.log
19.03.2005 13:17 4.382 imsins.log
19.03.2005 13:17 1.315 tabletoc.log
19.03.2005 13:10 0 control.ini
19.03.2005 13:10 299.552 WMSysPrx.prx
19.03.2005 13:10 4.161 ODBCINST.INI
19.03.2005 13:07 749 WindowsShell.Manifest
19.03.2005 13:04 15.505 ocgen.log
19.03.2005 13:04 1.065 ocmsn.log
19.03.2005 13:04 870 msgsocm.log
19.03.2005 13:04 11.537 FaxSetup.log
19.03.2005 13:04 1.060 sessmgr.setup.log
19.03.2005 13:04 2.477 netfxocm.log
19.03.2005 13:03 36 vb.ini
19.03.2005 13:03 37 vbaddin.ini
19.03.2005 13:03 128 DtcInstall.log
19.03.2005 13:01 9.870 msmqinst.log
19.03.2005 12:47 0 Sti_Trace.log
19.03.2005 12:43 1.348 regopt.log
19.03.2005 12:41 0 setuperr.log

Ich hoffe das ich alles richtig gemacht habe

Wildone · 20.01.2006, 16:50

Hallo,
keine Sorge hast alles richtig gemacht. Wie siehts denn jetzt auf dem Desktop aus? Alles wieder wie es sein soll? Öffnen sich die Internetseiten noch?
Für mich sieht das eigentlich wieder alles recht sauber aus, lösche mal noch (falls vorhanden) den Ordner:
C:\Programme\SpywareStrike\
dann machst du noch einen Onlinescan bei Panda und postest den Report.
Außerdem postest du noch ein neues HijackThis Log.

Grüße Wildone

Emergency-Trojaner Zlob

Plagegeister aller Art und deren Bekämpfung: Emergency-Trojaner Zlob