Trojaner TR/Zlob.Gen.7 eingefangen
 

Hallo,

habe mir den oben genannten Trojaner eingefangen, sowie ein Virus alert in der Taskleiste. Ich habe bereits das halbe Internet nach Möglichkeiten, Hilfs-Tools etc. abgesucht um das Problem zu beheben. Diverse Scans gemacht etc. Bin leider kein Profi was z.B. Registry, abgesichter Modus etc anbelangt. Kann mir jemand helfen anhand meines Log-Files ? Ich würde mich freuen über einen Lösungsansatz der von einem Laien abgearbeitet werden kann.

Vielen Dank
Pauliernie

Logfile of HijackThis v1.99.1
Scan saved at 16:53:00, on 07.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
D:\lotus\organize\easyclip.exe
D:\lotus\smartctr\suitest.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Arne Daedrich\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Programme\IntCodec\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\IntCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Lotus SuiteStart.lnk = D:\lotus\smartctr\suitest.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148234767380
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148235048521
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A7CB613-7993-4246-8ED9-D524A6C6BADC}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

1.) lasss bitte folgende Datei hier auswerten: Virustotal

Poste danach das Ergebnis. (mit der Maus markieren, kopieren, und in einen Beitrag einfügen!)

2.) arbeite folgende Anleitung ab: -> Entfernung Zlob

3.) Poste ein neues Hijacklog.

Gruß
Sunny

Hallo,

danke erstmal für die Hilfsbereitschaft, In dem genannten Link befinden sich zahlreiche Links zu Viren-Tools etc. Wie, Wo soll ich die genannte Datei auswerten lassen ? Da bin ich jetzt echt überfragt.

Habe doch was gefunden zu dem Link

mOIn auch,
makiere den Pfad C:\WINDOWS\system32\viruxz.dll mit der Maus --> STRG C
und bei Virustotal neben "Select File" aufs weiße Feld klicken STRG V und dann auf Send --> Warten --> ergebnisse posten
MFG

Folgendes hat Virustotal ermittelt.

AntiVir 6.35.1.0 08.07.2006 no virus found
Authentium 4.93.8 08.06.2006 no virus found
Avast 4.7.844.0 08.04.2006 Win32:Renos-H
AVG 386 08.07.2006 Generic.YQQ
BitDefender 7.2 08.07.2006 Trojan.Fakealert.CX
CAT-QuickHeal 8.00 08.07.2006 no virus found
ClamAV devel-20060426 08.07.2006 no virus found
DrWeb 4.33 08.07.2006 Trojan.Fakealert
eTrust-InoculateIT 23.72.88 08.06.2006 Win32/Spax.W!Trojan
eTrust-Vet 12.6.2328 08.07.2006 Win32/Spax!generic
Ewido 4.0 08.07.2006 Not-A-Virus.Hoax.Win32.Renos.dp
Fortinet 2.77.0.0 08.07.2006 FakeAlert.B!tr
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.07.2006 no virus found
Kaspersky 4.0.2.24 08.07.2006 not-virus:Hoax.Win32.Renos.dp
McAfee 4822 08.04.2006 FakeAlert-B
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1695 08.07.2006 Win32/Hoax.Renos
Norman 5.90.23 08.07.2006 W32/Renos.gen1
Panda 9.0.0.4 08.07.2006 Adware/SpywareQuake
Sophos 4.08.0 08.07.2006 no virus found
Symantec 8.0 08.07.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.04.2006 Hoax.Win32.Renos
VBA32 3.11.0 08.07.2006 Adware.Win32.Renos.dp
VirusBuster 4.3.7:9 08.07.2006 no virus found

Leider erhalte ich beim öffnen von Smitfraudfix nur diese Meldung. Was läuft da falsch ? Ich habe die Datei mít WinZip geöffnet. ich wüßte nicht welchen Schritt ich sonst noch gehen soll


SmitFraudFix v2.81

Fichier Process.exe absent !
Dezippez la totalité de l'archive dans un dossier.

Process.exe file missing !
Unzip all the archive in a folder.

Drücken Sie eine beliebige Taste . . .

- danach passiert nichts

Kann es sein das du díe Zip-Datei nur geöffnet, und nicht entpackt hast?
Du musst es entpacken, erst dann kann das Tool richtig arbeiten! ;)

Gruß

Wenn ich die Datei die, die ich nach dem Download erhalten habe, versuche zu öffnen passiert im prinzip nichts.

Wie bei dieser Datei etwas entpackt werden soll und was ich dann erhalten soll erschließt sich mir momentan nicht. Ich habe das Programm Winzip und damit funktioniert nicht es scheinbar nicht.

Was für ein tool brauche ich den um diese Datei zu entpacken ?

Hallo,
vielleicht hattest du einen fehlerhaftenDownload, versuche es doch einfach noch einmal, eigentlich sollte sich die Datei problemlos mit Winzip entpacken lassen.



Grüße Wildone

wenn ich den Download durchführe dann mit öffnen oder Speichern und wenn ja in welches Verzeichnis oder ist das egal. Irgendwie ist das alles leider nicht schlüssig. Bin leider kein PC-Fachmann.

Hallo,
speichern>>Desktop>>dann mit Winzip entpacken und den Anweisungen folgen.


Grüße Wildone

Ich habe die datei auf den Desktop gespeichert. Doppelklick, es öffnet sich ein Winzip Fenster, dort sind mehrere Dateien vorhanden. Dann Dopelklick auf Smitfraudfix.cmd und es öffnet sich leider nur das Fenster was ich oben schon mal genannt habe.

Ich habe mir von Winzip nur eine Testversion besorgt. Liegt es vielleicht daran ?

Ich finde auch keinen Befehl oder Button mit Datei entpacken oder so. Oder ist die Datei schon entpackt. Wirklich schwierig für mich.

Ich möchte diesen Weg versuchen, da das komplette Neuaufsetzen auch für mich sehr schwierig und langwierig ist.

Danke

Hallo,
dein Problem ist das du nicht mit Winzip umgehen kannst, mache einen Rechtsklick auf die Datei, dort müßte eine Option "Winzip" oder "hier entpacken" o.ä. (ich habe kein Winzip) kommen, diese führst du aus, gibst den Pfad ein wo du sie entpacken willst (bei "hier entpacken nicht nötig) und das sollte es dann gewesen sein.

Zweite Möglichkeit wäre Winzip (glaube C:\Programme\Winzip) zu starten, dann zu der Datei zu navigieren und diese dann entpacken.



Grüße Wildone

wenn ich smitfraudnix vom Desktop anklicke öffnet automatisch Winzip.

Die Datei Smitfraudfix ist scheinbar kein ZIP-Datei, sondern nur ein Befehlskript. Ich bin nach einer internet-Anleitung für Winzip verfahren. Da öffnet oder entpackt sich hier nichts.

Das läuft hier irgendwie nicht.

Ich habe Smitfraudnix auf dem Desktop als Zip-Datei. Wenn ich anklicke dann öffnet sich win-zip und es werden in einem Fenster acht dateien = 7 x exe-Dateien und einmal Smitfraudfix.cmd angezeigt. Ist die CMD-Datei denn auch nochmal zu entpacken ?

Verfahre ich jetzt weiter nach der Anweisung, also Doppelklick auf smitfraudfix.cmd. Hier sollte sich ja nun der genannte Bericht öffnen bzw. angezeigt werden.

Genau hier bekommen ich immer noch das oben genannte Fenster angezeigt.

Also das ganze läuft irgendwie nicht.

Ich muß wohl oder übel doch neu aufsetzten wenn es keine passeneden weg gibt.

Danke für die Hilfe

mOIn auch,
du hast, wie du sagst die Zip Datei aufm Desktop liegen, dann jetzt mit rechts anklicken und "Hier entpacken" wählen das sollte es gewesen sein.
EDIT: wie ich gesehen hab nutzt du AntiVir der vmtl. anschlagen wird beim Entpacken, ignorier diese Meldung !
MFG

hallo nochdigger,

ja das läuft ja auch nur die weiteren schritte lassen sich nicht ableiten, wie ich schon gesagt habé. Nach dem doppelklick auf smitfraudfix.cmd komme ich nicht weiter. Das ist das Problem

mOIn
in dem Ordner sollten jetzt diese Datein sein
GenericRenosFix.exe
Process.exe
Reboot.exe
restart.exe
SmitfraudFix.cmd
SrchSTS.exe
swreg.exe
swsc.exe
richtig !?

Wie schon geschrieben habe bleibe ich mit diesr Meldung hängen, nachdem ich smitfradfix.cmd per doppelklick geöffnet habe.

Hallo,
um das jetzt mal endgültig zu klären, klickst du auf die smitfraudfix.cmd innerhalb des Programmes Winzip oder nicht. Wenn nicht, nenne den genauen Pfad zur Datei smitfraudfix.cmd


Grüße Wildone

Ja wenn ich im Programm Winzip klicke erhalte ich die genannte Meldung im Fenster. Es öffnet sich kein fenster wo ich was auswählen kann wie es lt. beschreibung sein soll.

Hallo,
so jetzt bin ich langsam sauer. Du sollst nicht auf diese Datei einen Doppelklick machen, sondern sie per Rechtsklick (da wo der Daumen links ist) mit Winzip entpacken, eine zweite Möglichkeit habe ich dir übrigens auch schon genannte, aber ich glaube die hast du gar nicht gelesen.


Grüße Wildone

Hallo Wildone,

ich habe alle Möglichkeiten ausprobiert. Wenn ich mit der rechten Taste anwähle erscheint zwar ein Auswahlmenü und dort den Button öffne mit Winzip. Es gibt noch andere Optionen die aber nichts mit entpacken zu tun haben. Dann erscheinen wie bereits gesagt die acht Dateien.

genericRenosFix.exe
Process.exe
Reboot.exe
restart.exe
SmitfraudFix.cmd
swreg.exe
swsc.exe
Und ab hier komme ich nicht weiter.

Irgendwie begreife ich die vorgehensweise nicht

Ich werde wohl die Platte bügeln und den langen Weg der Neuinstallation gehen.

Also nochmal von vorne! :crazy:

Öffne die Datei (bzw. auch Archiv genannt!) mit Winzip -> das Programm startet -> nun siehtst du die ganzen Dateien:
->Klicke nun auf die Menüleiste von WINZIP, da sollte irgendetwas stehen mit "Archiv entpacken oder extrahieren", das tust du dann auch, du solltest dann gefragt werden wo die Dateien hin-entpackt werden sollen. Such dir einen Ordner wo du sie auch wiederfindest.
Dann legt Winzip los und entpackt, suche dann den Ordner und starte die "SmitfraudFix.cmd", ab da ist dann alles erklärt ... -.-

Ich weiß nicht was ich noch sagen soll. Ich habe es genauso gemacht wie beschrieben. Ich habe die Datei mit winzip in einen bestimmten Order extrahiert.

In diesem Order erscheint dann ein Button wo steht Befehlskript von Windows NT. Klicke ich diesen an erhalten ich das bereits genannte Fenster. Wenn ich unter bearbeiten gehe erhalte ich scheinbar ein umfangreiches Inhaltsverzeichnis.

Starten läßt sich nichts.

Vielen Dank für Eure Mühe

Vielleicht brauche ich beim Neuaufsetzen ja noch mal eure Hilfe. Das bekomme ich meißt auch nicht reibungslos hin.

Gruß
Pauliernie

:dummguck: Ich glaub jetzt habe ich es kapiert... :headbang:

Starte nochmal diesen "Befehlsscript" bis sich das blaue Inhaltsverzeichnis öffnet, drücke dann die Taste "2" und dann "ENTER". Das Programm arbeitet dann von ganz alleine.
Wenn es fertig ist, öffnet sich ein 2. Fenster, markiere den gesamten Text mit der Maus, kopiere ihn hier in deinen Beitrag.

Hoffe das es jetzt klappt, wäre doch "Blödsinn" gleich das gesamte System neu aufzusetzen.. ;)

Gruß
Sunny

Versuche mal mit AVAST ihn in die Quarantne (Container ) zu verschieben!

Hallo Sunny,

danke für deine Geduld.
Ich habe es eben so versucht, nur es ist aus dem Befehelskript heraus nichts zu starten. Ich kann mit rechter Taste auf den Button gehen und habe nur die Optionen Öffen (das bekannte Fenster) oder bearbeiten und dort escheint ein Inhaltsverzeichnis oder sowas. Da ist nichts was sich mit irgendeinem Befehl starten/ändern läßt. Ich kann nur sagen wie es ist.

@Helper
Bitte keine solch "sinnfreien" Antworten hier mehr geben, es ist schon schwer genug. :o

@Pauliernie
Also nochmal, du startest diese Script-Datei, dann öffnet sich ein neues blaues Fenster, klicke dann mit dem Mauszeiger einmal auf dieses, drücke die Taste 2 und dann ENTER...das muss funktionieren :teufel3:

so nach dem zehnten Versuch hat es geklappt.
Ich habe auch zwei Log-files kopiert. einen von davor und eine danach.
wenn ihr was damit anfangen könnt stelle ich diese hier rein.

Wie kann ich noch feststellen ob die geschichte erfolgreich war ?

Gruß
Pauliernie

Hab ich doch gewusst ;)

Und wo sind diese ??? Wir brauchen das Log von SmitfraudFix und eine neues Hijacklog

her damit :lach:

Starte den Rechner mal neu, und warte ob noch Probleme auftreten wie Pop-Ups usw...

Gruß
Sunny

VORHER

SmitFraudFix v2.81

Scan done at 17:44:29,20, 08.08.2006
Run from C:\Dokumente und Einstellungen\Arne Daedrich\Eigene Dateien\SmitfraudFix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Arne Daedrich\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ARNEDA~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

NACHHER

Scan done at 17:47:13,53, 08.08.2006
Run from C:\Dokumente und Einstellungen\Arne Daedrich\Eigene Dateien\SmitfraudFix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Hier der aktuelle Highjack Log-File
Logfile of HijackThis v1.99.1
Scan saved at 18:17:04, on 08.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\lotus\organize\easyclip.exe
D:\lotus\smartctr\suitest.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Arne Daedrich\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Lotus SuiteStart.lnk = D:\lotus\smartctr\suitest.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148234767380
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148235048521
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A7CB613-7993-4246-8ED9-D524A6C6BADC}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gruß
Pauliernie

Hallo,

die Geschichte mit smitfraudfix scheint ja geklappt zu haben.

Leider mit mein Virenscanner den gleichen Trojaner unter

C:\system volume information\...\A0010909.exe entdeckt.

Tja war wohl doch nicht so erfolgreich. Hat noch jemand eine Idee was ich nun versuchen kann ?

Danke

Hallo,
da ist der Trojaner keine Gefahr, wenn du ihn löschen willst schaltest du einfach die Systemwiederherstellung aus, bootest neu, und aktivierst sie wieder.
Ansonsten sieht es sauber aus, mache aber nochmal einen Onlinescan bei Kaspersky (mit dem IE) und poste (mit Pfad) was gefunden wird.


Grüße Wildone

Hallo

Ich empfehle euch dieses Anti-Malware Programm:
A-Squared Anti-Malware
Ihr müsst vielleicht bei Google den Download suchen.
Das Programm schaltet ausserdem den TR/Zlob.Gen aus und entfernt alle Bedrohungen aus der Registry.

Hoffe ihr könnt's gebrauchen.

yoshi27freak

Guten Morgen,




Empfiehlst du das bei jedem Problem?

Gruß Mellosun

Hallo,

eine Sache hat sích nach dem Bereinigen noch ergeben. Jetzt wird von Windows beim Hochfahren immer eine Datenträgerbereinigung durchgeführt. Ist das jetzt ein Dauerhafter Zustand ? Oder kann ich das irgendwie abstellen ?

Danke nochmal

Gruß
Pauliernie