Trojaner-Board - Trojaner ZLOB Hartnäckiger als sonst was...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner ZLOB Hartnäckiger als sonst was... (https://www.trojaner-board.de/58362-trojaner-zlob-hartnaeckiger.html)

Trojaner ZLOB Hartnäckiger als sonst was...

Hallooo
mein erster treat hier und gleich mit nen hartnäckigen problem namens: zlob.trojan
Ich hatte mich hier mal schlau gemacht was ich machen kann um ihn los zu werden aber was ich auch versucht habe... nichts klappte!
Habe wie im forum beschrieben "smitfraudfix" und auch das andere system wo mir grad der name nicht einfällt... installiert und laufen lassen..
Mein Norton sagt mir als das ich den noch habe und norton ihn nicht entfernen kann..
Norton hat mir anhand eines textes erklärt wie ich den trojaner enfernen soll aber all die datein die ich löschen soll gibt es nicht!
Mein rechner hat: XP-sp2, mein antivir ist von norton!
und hier die rapports von "smitfraufix":
der erste der nacht den scann gemacht worden ist:

SmitFraudFix v2.338

Scan done at 0:18:21,98, 22.08.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" ,wbsys.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Und der rapport ist nach den "Clear files" :

SmitFraudFix v2.338

Scan done at 0:25:02,15, 22.08.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Achsooo was mir einfällt wärend "Smit..." am scannen ist steht in dem blauen feld das der script host für den rechner deaktiviert wurde für den rechner und das ich mich an den Admin wenden solle!!!.

Kann mir jemand noch tipps geben ausser das ich meinen rechner neu aufsetzten sollte???
Bin für jeden tipp dankbar.

Danke für die kommenden hilfreichen antworten.

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

okay habe zwar null verstanden weil ich mich erst seit kurzem mit rechner befasse und ich so ein richtiger DAU bin aber werde mir mühe geben es zu machen wie beschrieben!
meld mich wenn ich probs habe!!

THX :aplaus:

Hab mir die anleitung wie ich vorgehen muss durch gelesen aber wie bitte schalte ich "Norton ab und wieder an???
Sorry falls es pipifaz einfach ist aber ich kenn mich nicht so aus und von daher weis ich nicht wie es geht!
Auch wieder danke für eure hilfe..

Normalerweise läßt sich jeder Virenscanner über die gleiche Art und Weise abschalten: Du zeigs auf das Symbol neben der Uhrzeit, klickst mit Rechts an und sagst deaktivieren (sinngemäß) - sollte sich auch im Hauptmenü so einstellen lassen. Ansonsten: RTFM (Read The F..ing Manual :D)

*LOL*
Naja klingt logisch und simpel aber da es so ein online dingsbums von 1und1 ist, also das norton, hab ich kein Manuals..
Auf die idee bin ich ja auch schon gekommen aber habe nichts der gleichen...
naja im notfall muss ich wohl bei 1und1 anrufen und mir des erklären lassen ausser jemand verrät mir auch das...
Und nein ihr lieben ihr müsst mich nicht bei der hand nehmen.. die schulter tuts auch...*grinsel*
Mal schauen, sobal ich wieder daheim bin werde ich versuchen es nach der detailierten anleitung mein trojaner zu kicken..
Ehrlich danke für die schnelle hilfe!

Hier meine Loggs:

http://www.file-upload.net/download-...84234.log.html

http://www.file-upload.net/download-...kthis.log.html

http://www.file-upload.net/download-...bofix.txt.html

http://www.file-upload.net/download-...6-30-.txt.html

http://www.file-upload.net/download-...3/mbr.log.html

So hab alle loggs verlinkt, hoffe ihr könnt mir weiter helfen, denn nach dem ich alles so gemacht hab wie es in der anleitung steht habe ich mein norton laufen lassen und der hat den "kleinen drecksack" wieder gefunden!
Muss ich meine systemwiederherstellung aktivieren oder soll ich sie aus lassen???

THX

Sry, Dein Strang ist untergegangen...
Werd mich da in Küze drum kümmern. :killpc: ;)

So, nochmal bitte das listing (letzter Punkt in meinen ersten Posting in diesem Strang) und ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

THX ROOT,
hier die combofix:

http://www.file-upload.net/download-1112618/log2.txt.html

und hier die HJT:

http://www.file-upload.net/download-1112620/hijackthis3.log.html

(Was liest du denn daraus??
ich sehen da zahlen und und nummern mir sagt sowas leider nix!)

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gkmixern.sys

Mach danach mal silentrunners (siehe Signatur) und das filelisting solltest Du auch machen. :kloppen:

welche datein soll ich auswerten lassen???
habe jetzt in den ordneroptionen alles so geändert wie du es gesagt hast!
auch die suche ist umgestellt--
Aber was für dateien soll ich auswewrtem lasen???
sorry aber ich bin nicht so der "Könner/versteher"

Sorry aber ich verstehe nicht!

Blind? Steht doch da :D

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gkmixern.sys

Zitat:

Zitat von root24 (Beitrag 373824)

Blind? Steht doch da :D

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gkmixern.sys

So gefunden und gescannt..
Lustig was der mir sagt:

"0 bytes size received / Se ha recibido un archivo vacio"

Ist das richtig???

und hier was silentrunners sagt:

http://www.file-upload.net/download-...45.31.txt.html

Die Datei ist aber noch defintiv vorhanden? mach mal:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete:

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gkmixern.sys

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Schau dann mal im ordner c:\avenger nach einer backup.zip - die dann entpacken (falls der Virenscanner meckern sollte: ignorieren!!) und die entpackte gkmixern.sys nochmals versuchen bei Virustotal auszuwerten.