Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner Zlob

Trojaner Zlob


Log-Analyse und Auswertung: Trojaner Zlob

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.07.2007, 22:04   #1
shicoraah
 
Trojaner Zlob - Standard

Trojaner Zlob


Hallo,

Habe so ein kleines Problem also ich habe nicht soo viel Ahnung von Computern. Ich habe seit ein paar Tagen einen Trojaner drauf der sich irgendwie was mit Zlob nennt. Habe heute versucht ihn im abgesichtertem Modus zu löschen aber wird wohl irgendwie nicht geklappt haben. Ich hoffe ihr könnt mir schnell helfen. danke

Ich kopiere euch mal das Log von HiJackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:52:13, on 20.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Vanessa_2\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Browser Extension - {00000012-890E-4aac-AFD9-EFF6954A34DD} - C:\WINDOWS\pbsysie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll (file missing)
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Video ActiveX Access\imsmain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {00000012-890E-4AAC-AFD9-EFF6954A34DD} (PBSys32Obj Class) -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://bin.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,19/mcgdmgr.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.power-url.de/install/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O22 - SharedTaskScheduler: dustuck - {4a9e875b-d032-45e4-8294-789fe3be5b19} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

Alt 20.07.2007, 22:12   #2
KarlKarl
/// Helfer-Team
 
Trojaner Zlob - Standard

Trojaner Zlob


Hi,

dann fang mal damit an (könnte aber noch mehr werden):

Zur Smitfraud Entfernung führe bitte folgende Anleitung aus:
  • Lade SmitFraudFix. Entpacke es in einen neuen Ordner C:\smitfraudfix. Starte smitfraudfix.cmd und wähle Option 1, dies erzeugt einen Bericht über die vorliegende Infektion. Dieser Bericht ist als C:\rapport.txt gespeichert. Benenne ihn um, damit er im nächsten Schritt nicht überschrieben wird.
  • Starte deinen Computer neu in den abgesicherten Modus. Starte wieder smitfraudfix.cmd und wähle diesmal Option 2 für die Reinigung. Beantworte die Frage "Do you want to clean the registry ?" (möchtest Du die Registry reinigen?) mit y.
  • Der Fix hält an, falls die Datei wininet.dll infiziert ist, dies ist normalerweise nicht mehr der Fall. Beantworte dann die Frage "Replace infected file ?" (möchtest Du die infizierte Datei ersetzen) mit y. Das Log von diesem Schritt wird als C:\rapport.txt gespeichert.
  • Starte neu in den normalen Modus, poste die beiden Logs und ein frisches HijackThis Log.

Gruß, Karl
__________________
Alt 20.07.2007, 22:45   #3
shicoraah
 
Trojaner Zlob - Standard

Trojaner Zlob


So danke schon mal für die schnelle Hilfe =)

Hier das erste:



SmitFraudFix v2.205

Scan done at 23:28:55,25, 20.07.2007
Run from C:\Dokumente und Einstellungen\Vanessa_2\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\vgibz.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Vanessa_2


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Vanessa_2\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\VANESS~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4a9e875b-d032-45e4-8294-789fe3be5b19}"="dustuck"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: AVM FRITZ!WLAN USB Stick - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End





Das zweite:




SmitFraudFix v2.205

Scan done at 23:34:37,76, 20.07.2007
Run from C:\Dokumente und Einstellungen\Vanessa_2\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4a9e875b-d032-45e4-8294-789fe3be5b19}"="dustuck"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\vgibz.dll Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End





Und das HijackThis Log-file:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:59, on 20.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Vanessa_2\Desktop\HiJackThis\HijackThis.exe

O2 - BHO: Browser Extension - {00000012-890E-4aac-AFD9-EFF6954A34DD} - C:\WINDOWS\pbsysie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {00000012-890E-4AAC-AFD9-EFF6954A34DD} (PBSys32Obj Class) -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://bin.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,19/mcgdmgr.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.power-url.de/install/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

--
End of file - 4329 bytes
__________________
Alt 20.07.2007, 22:54   #4
KarlKarl
/// Helfer-Team
 
Trojaner Zlob - Standard

Trojaner Zlob


Ein paar Sachen sind noch übrig.

In HijackThis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken (dabei alle Browser geschlossen haben):
Code:
ATTFilter
O2 - BHO: Browser Extension - {00000012-890E-4aac-AFD9-EFF6954A34DD} - C:\WINDOWS\pbsysie.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O16 - DPF: {00000012-890E-4AAC-AFD9-EFF6954A34DD} (PBSys32Obj Class) -
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.power-url.de/install/StarInstall.ocx
Lade und installiere (soweit noch nicht vorhanden) Spybot S&D . Darauf achten, dass der residente Teatimer nicht installiert wird. Alle Updates laden. Im Anschluss daran in den abgesicherten Modus gehen. Spybot laufen lassen, alle Funde entfernen lassen, Log speichern. Dazu nach dem Entfernen der Funde im Ergebnisfenster rechte Maustaste -> "Ergebnisse in Datei speichern". Danach zurück in den normalen Modus und das Log posten.

Und nochmal ein HijackThis bitte

Alt 20.07.2007, 23:18   #5
shicoraah
 
Trojaner Zlob - Standard

Trojaner Zlob


so ich muss leider sagen der report von spybot ist mir verloren gegangen.
dort stand das es ein problem mit DoubleClick und hmm... was mit Sp .. ich bekomme es nich tmehr zusammen. habe es noch mal laufen lassen dort sagte er herzlichen glückwünsch es wurden keine prob. gefunden.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:14:08, on 21.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Vanessa_2\Desktop\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://bin.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,19/mcgdmgr.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E61F0D0-B858-4083-95DB-218C5E19483D}: NameServer = 192.168.178.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

--
End of file - 4115 bytes


Alt 20.07.2007, 23:28   #6
KarlKarl
/// Helfer-Team
 
Trojaner Zlob - Standard

Trojaner Zlob


Das Log sieht schon richtig gut aus

Alles kann man in einem HijackThis Log nicht erkennen, ich empfehle noch ein paar Onlinescans. Wegen ActiveX brauchst Du dafür den Internet Explorer und musst die ActiveX Controls zulassen. Wenn es nicht funktioniert die jeweilige Seite zu den sicheren hinzufügen bzw. Die Sicherheitseinstellungen für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Von allen Scans das Log speichern um es später zu posten. Außerdem nach jedem Scan das System neu starten.

Alt 21.07.2007, 00:03   #7
shicoraah
 
Trojaner Zlob - Standard

Trojaner Zlob


ja das log vll ^^ war schon richtig froh bis gerade der ansturm kam ... antivir hat 3 mal den virus TR/Zlob.CB gemeldet.
und Kaspersky ist gerade bei 19 infizierten dateien bei 66% eigentlich mehr wie ich am anfang hatte.

sind das stellen die man in dem Log nicht einsehen konnte oder vermehrt sich der TR?

ich denke ich werde die sache für heute ruhen lassen und mich morgen wieder dran begeben sowas erschreckendes noch spät am abend/Früh am morgen.

Alt 21.07.2007, 02:14   #8
KarlKarl
/// Helfer-Team
 
Trojaner Zlob - Standard

Trojaner Zlob


Hijackthis zeigt im wesentlichen nur ein paar Stellen in der Registry an, von der aus Software gestartet werden kann, das ist zwar wichtig und liefert schon einen gewissen Überblick über ein System, reicht aber nicht. Andere solche Stellen kennt es nicht und was an Dateien auf deiner Festplatte liegt, da kümmert es sich auch nicht drum.

Stell die Ergebnisse der Scans erstmal komplett hier rein, wie ernst das ist und was zu unternehmen ist, hängt von den Details ab.

Alt 21.07.2007, 15:52   #9
shicoraah
 
Trojaner Zlob - Standard

Trojaner Zlob


so hier sind die ganzen Berichte =)


F-Secure:

Scanning Report
Saturday, July 21, 2007 14:57:54 - 16:05:42
Computer name: VERENA
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\


--------------------------------------------------------------------------------

Result: 12 malware found
AdBreak (spyware)
System (Disinfected)
IntexusDial (spyware)
System (Disinfected)
StarInstall(MainPean) (spyware)
System (Disinfected)
Tracking Cookie (spyware)
System (Disinfected)
System
System
System
System
System
System
System
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 22740
System: 3549
Not scanned: 16
Actions:
Disinfected: 4
Renamed: 0
Deleted: 0
None: 8
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{2D30A30C-6B11-404A-8389-F32BE081860F}.BIN
C:\WINDOWS\$NTUNINSTALLQ828026$\MSDXM.OCX
C:\WINDOWS\$NTUNINSTALLKB835732$\CALLCONT.DLL
C:\WINDOWS\$NTUNINSTALLKB835732$\RTCDLL.DLL
C:\WINDOWS\$NTUNINSTALLKB828741$\CATSRV.DLL
C:\WINDOWS\$NTUNINSTALLKB828035$\MSGSVC.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\ACCWIZ.EXE
C:\WINDOWS\$NTUNINSTALLKB824141$\USER32.DLL
C:\WINDOWS\$NTSERVICEPACKUNINSTALL$\1394BUS.SYS
C:\WINDOWS\$NTSERVICEPACKUNINSTALL$\REGAPI.DLL

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-07-20
F-Secure AVP: 7.0.171, 2007-07-20
F-Secure Orion: 1.2.37, 2007-07-20
F-Secure Blacklight: 1.0.64
F-Secure Draco: 1.0.35, 0260-23-12
F-Secure Pegasus: 1.19.0, 2007-06-18
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Use Advanced heuristics








ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Quarterserver
Path: C:\Dokumente und Einstellungen\Vanessa_2\Cookies\vanessa_2@ads-205.quarterserver[1].txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: C:\Dokumente und Einstellungen\Vanessa_2\Cookies\vanessa_2@komtrack[2].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Dokumente und Einstellungen\Vanessa_2\Cookies\vanessa_2@ssl-hints.netflame[2].txt
Risk: Medium

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP456\A0068451.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP456\A0068465.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP457\A0068472.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP460\A0069077.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP461\A0069119.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP461\A0069124.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP461\A0069176.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP461\A0069180.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP462\A0069369.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP462\A0069421.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP463\A0069423.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP463\A0069483.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP465\A0070708.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP465\A0070710.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP465\A0070715.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP466\A0070724.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP466\A0070803.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP466\A0070811.exe
Risk: High

Name: Downloader.Zlob.bxg
Path: C:\System Volume Information\_restore{031AFE25-806A-4C64-B63E-086F083416A4}\RP466\A0070812.exe
Risk: High

Antwort

Themen zu Trojaner Zlob
antivir, avira, bho, browser, computer, defender, desktop, einstellungen, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, löschen, object, problem, programme, s-1-5-18, software, stick, system, trend micro, trojaner, windows, windows xp, zlob


« trojaner ? bitte hijackthis log anschauen | Pop-Up-Spamer! »


Ähnliche Themen: Trojaner Zlob


  1. Trojaner/Zlob?
    Mülltonne - 29.06.2008 (0)
  2. Probleme mit Zlob-Trojaner
    Log-Analyse und Auswertung - 02.03.2008 (2)
  3. Trojaner Zlob
    Plagegeister aller Art und deren Bekämpfung - 18.08.2007 (1)
  4. Trojaner Zlob
    Mülltonne - 17.08.2007 (2)
  5. trojaner TR/Zlob.CA.27
    Plagegeister aller Art und deren Bekämpfung - 24.07.2007 (7)
  6. Trojaner Downloader.Zlob.FWR
    Plagegeister aller Art und deren Bekämpfung - 06.01.2007 (4)
  7. Befall durch TR/Crypt.F.Gen, TR/Dldr.Zlob.afw, TR/Zlob.ZU sowie TR/Agent
    Log-Analyse und Auswertung - 27.09.2006 (1)
  8. Trojaner Zlob cc eingefangen
    Plagegeister aller Art und deren Bekämpfung - 27.08.2006 (3)
  9. Trojaner TR/Zlob.Gen.7 eingefangen
    Log-Analyse und Auswertung - 10.08.2006 (37)
  10. Trojaner TR/Zlob.IT.3
    Plagegeister aller Art und deren Bekämpfung - 04.08.2006 (71)
  11. Trojaner Win32:Zlob-BN [Trj]
    Plagegeister aller Art und deren Bekämpfung - 13.07.2006 (2)
  12. Trojaner TR/Zlob.MU
    Plagegeister aller Art und deren Bekämpfung - 16.06.2006 (4)
  13. Trojaner TR/Dldr.Zlob.KR.2
    Plagegeister aller Art und deren Bekämpfung - 12.04.2006 (7)
  14. Trojaner TR/Zlob.IT.3
    Plagegeister aller Art und deren Bekämpfung - 12.04.2006 (14)
  15. Trojaner TR/Dldr.Zlob.FA
    Plagegeister aller Art und deren Bekämpfung - 08.02.2006 (1)
  16. Emergency-Trojaner Zlob
    Plagegeister aller Art und deren Bekämpfung - 23.01.2006 (17)
  17. Trojaner TR/DLdr.ZLob.DR und TR/DLdr.ZLob.DQ und TR/ZLob.FG.2.C eingefangen. Was tun?
    Log-Analyse und Auswertung - 06.01.2006 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner Zlob - Hallo, Habe so ein kleines Problem also ich habe nicht soo viel Ahnung von Computern. Ich habe seit ein paar Tagen einen Trojaner drauf der sich irgendwie was mit Zlob - Trojaner Zlob...
Archiv
Du betrachtest: Trojaner Zlob auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131