Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Zlob.D entfernt ? (https://www.trojaner-board.de/28152-trojan-zlob-d-entfernt.html)

HANSS 07.04.2006 01:25
Trojan.Zlob.D entfernt ?
 
Hallo,
habe mir auch den Trojaner eingefangen und euer Tools mitRem unter Abgesicherten Modus laufen lassen.

Frage : Ist mein System jetzt sauber ?
Hier die smitfiles.txt :

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
C:\Dokumente und Einstellungen\Administrator\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

1024 dir
ld****.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 804 'explorer.exe'
Killing PID 804 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN! :)

mfg
HANSS:heulen:

irrlicht 07.04.2006 11:24
Hallo Hans,
bei diesem Patchstand ist davon nicht auszugehen.
Zitat:
Microsoft Windows XP [Version 5.1.2600]
erstelle ein HijackThis-Logfile und poste es hier.
Anleitung und Download findest du hier auf der Startseite unter "Anleitungen,FAQ,Links"
Irrlicht

HANSS 07.04.2006 12:50
Hallo irrlicht,
erst einmal vielen Dank für deine schnelle Antwort ...:daumenhoc
Ich habe WindowsXP Pro mit Servicepack 2 installiert,was Du auch jetzt in der
Logfile sehen kannst.

Logfile of HijackThis v1.99.1
Scan saved at 13:43:12, on 07.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\cFos\cFosDNT.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

HANSS

irrlicht 07.04.2006 13:02
Hallo Hans,
ist das Log aus dem Normalen Modus ?
Wenn nicht,bitte nachreichen.
Irrlicht

HANSS 07.04.2006 13:15
Hi irrlicht,
ich habe das Hijackthis vom Desktop aus gestartet.
Wenn Du noch ein Logfile vom Absicherten Modus brauchst,dann lass es mich
bitte wissen.

HANSS

MightyMarc 07.04.2006 13:26
Ich schiebe mich mal kurz mit einer Frage zwischenrein:

Hast Du Kaspersky beendet bevor Du HJT hast laufen lassen? Eigentlich sollten Kaspersky-Prozesse in der Prozessliste auftauchen. Ich sehe aber keine.

irrlicht 07.04.2006 13:28
Hallo Hans,
nein brauche ich nicht.Ich brauche jetzt Informationen.Wieso glaubst du an eine Infektion ? Wer oder was hat dich da drauf gebracht ?Was war an deiner Kiste anders als sonst ?
Dein Log ist halt seeehr kurz.Du bist sicher den Unterschied zwischen Normalen Modus und abgesicherten Modus zu kennen ?
Keine Firewall,kein Virenscanner ?
Irrlicht
Edit :
wieder schneller geschrieben als geguckt....Kaspersky steht ja drin...

HANSS 07.04.2006 13:41
Hallo irrlicht,
mein Kaspersky hatte Alarm geschlagen und dieses mssearchnet gemeldet.
Danach habe ich mein System komplett gescannt und er hatte da so einige
infizierte Dateien gefunden und gelöscht.

Da bin ich noch auf Norton Seiten gewesen und habe auch diese Anleitungen
befolgt mit Registry säubern usw.

Dann habe ich mir dass Tool von Euch geschnappt und habe es auch nach
Anleitung unter Abgesicherten Modus laufen lassen.

MightyMarc,
hatte bei Hijackthis den Virenscanner deaktiviert,aber wenn dass unbedingt
mit laufen muss schicke ich gerne nochmal eine Logfile nach ?

HANSS

hier ist die neue Logfile :

Logfile of HijackThis v1.99.1
Scan saved at 14:42:05, on 07.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\cFos\cFosDNT.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MOMORacingFixCenter] "E:\Programme\Logitech\MOMORacingFixCenter.exe" 0
O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

MightyMarc 07.04.2006 13:58
@HANSS

Nein, der Virenscanner muss nicht laufen. Es hatte mich nur gewundert, dass er zwar einen Autostarteintrag hat (und deswegen per Definition beim Windowsstart auch gestartet wird) aber nicht in der Prozessliste zu finden ist. Da Du ihn deaktiviert hattest ist das Mysterium geklärt.

HANSS 07.04.2006 14:02
@MightyMarc,
@irrlicht,
Ist denn jetzt mein System von mssearchnet(Trojan.Zlob.D ) sauber oder nicht ?
HANSS

irrlicht 07.04.2006 15:26
Hallo Hans,
sieht so gut aus.Hier kannst du einen Onlinescan machen :
http://housecall.trendmicro.com/
Kommen noch irgend welche Popups oder sind sonstige Merkwürdigkeiten zu verzeichnen ?
Irrlicht

HANSS 07.04.2006 18:02
Hallo irrlicht,
:lach: ...den Scan habe ich auch noch gestern Abend zufälligerweise
durchgeführt mit allen Optionen die vorhanden waren,und es wurde bestätigt
dass alles in Ordnung sei...:daumenhoc

Ad-Aware SE Pro und Spybot hat auch nichts mehr gefunden !

Ich bin jetzt schon fast 10 Std. an einem Stück Online und keine Popups
oder irgend welche komische Fehlermeldungen.

Ich hatte mir mssearchnet durch einen Sch..ss Mediaplayer Codec eingefangen
der ich Depp noch per EXE.DATEI installiert habe...:headbang:

HANSS


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131