|
Problem mit Trojan-Downloader.Win32.Zlob.fqg Hallo, habe soeben eine Virenprüfung gemacht und folgende Datei gefunden: Trojan-Downloader.Win32.Zlob.fqg Soweit ich weiß ist mit Zlob nicht zu spassen, kann es sein das mein System kompromittiert ist? Google konnte mir nicht helfen da man fast keine Einträge dazu findet, zumindest nicht unter der genauen Bezeichnung mit fqg am Ende. Probleme habe ich mit dem Pc momentan keine, es kommen keine Popups, nichts ist blockiert, das system läuft absolut stabil und der taskmanager zeigt mir keine seltsamen prozesse an... Wie soll ich mich am besten verhalten? Vielen Dank für eure Hilfe. |
Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. |
ok, hab alles so gemacht wie gewünscht, hoffe ihr könnt damit was anfangen... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:28:38, on 11.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFirewallTray.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\DllHost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\rmo\Eigene Dateien\This.com.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity totalcare\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199134321187 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{85759A64-6893-450B-B858-A6053B27B4C7}: NameServer = 213.191.92.86 62.109.123.7 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Tuner Service - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe -- End of file - 6548 bytes |
In dem Log sehe ich keine Besonderheiten. Hast Du ein Raid im Rechner? Poste doch mal den Dateinamen mit dem Fund des Zlobs. |
also einen raid habe ich garantiert nicht im rechner da ich nur eine festplatte habe... |
OK, aber dann hat Dein Board wohl einen entsprechden Chip. In dem Log sieht man mal nichts. Poste doch wie gesagt mal die Fundstelle und Dateinamen. Dann Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Boote im abgesicherten Modus -Starte es dann und lass das System Reinigen. (Option 2) http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt |
dazu sagt meine virenprüfung folgendes: Objekt: data0007 In Archiv: C:\Dokumente und Einstellungen\rmo\Lokale Einstellungen\Temp\q8bn0cdy.exe Status: Virus gefunden Virus: Trojan-Downloader.Win32.Zlob.fqg (Engine A) Objekt: q8bn0cdy.exe Pfad: C:\Dokumente und Einstellungen\rmo\Lokale Einstellungen\Temp Status: Datei in Quarantäne verschoben Virus: Trojan-Downloader.Win32.Zlob.fqg (Engine A) |
Zitat:
Wenn ja, siehts einigermaßen gut aus, da er hier wohl noch nicht aktiv war. Lass SMF trotzdem mal durchlaufen. |
Zitat:
|
ah, ok. :) Dann lass mal SMF laufen, wie beschrieben. |
Ich kann das Toll leider nicht downloaden da es von meinem Antivir als Virus erkannt wird... Gibt es irgendwo eine andere Möglichkeit, vielleicht als gezippte Datei? |
Hallo deaktiviere für die Dauer des Downloads und der Ausführung den Guard deines Antivireprogrammes. MFG |
auch wenn ich das programm samt firewall ausschalte kommt trotzdem noch die virenmeldung... hmmm... was tun? |
Hallo Zitat:
MFG |
g-data internet-security 2007 meldet einen virenfund auf der website und sperrt sofort den zugriff auf diese... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:10 Uhr. |
Copyright ©2000-2024, Trojaner-Board