Hallo allerseits,

ich habe mir auf meinem Rechner den Trojaner ZLOB eingefangen.Nun öffnen sich beim Hochfahren des Rechners lauter Internetseiten mit Warnmeldungen das mein Rechner infiziert ist.
Kann mir jemand sagen wie ich dieses Teufelszeug wieder loswerde?
Aber bitte, ich bin alles andere als ein PC-Experte, versuchts dann mit einer Beschreibung für absolutr Laien.
Vielen Dank

chico

Hallo,
1.) Poste ein HijackThis log wie hier beschrieben.

2.) Besorge dir folgendes Tool, enpacke es, gehe in den abgesicherten Modus (F8 beim hochfahren drücken) und führe die runthis.bat aus. Dann postest du den Inhalt der Datei C:\smitfiles.txt

3.) Führe folgendes Programm aus und poste die vier Logfiles, kopiere nur die Dateien der letzten drei Monate. (kannst du gerade nicht machen, da die Seite mit anleitung und Programm offline ist)


Grüße Wildone

Hallo,

hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:28:09, on 20.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Maxthon\Maxthon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.275\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: International - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp4007.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {D4DE1C0D-4502-40CE-80B8-D9C2F51BF82C} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D4DE1C0D-4502-40CE-80B8-D9C2F51BF82C} - (no file) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/31c54bfb399ba1d74e18/netzip/RdxIE601_de.cab
O16 - DPF: {C1F76AC6-D660-4FD7-BF88-A1D148367CAA} (xVectorMap Plugin 1.6) - http://xvectormap.ptv.de/xvectormap/PTVxVectorMap16.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Hallo,
bitte noch Punkt zwei und drei(geht jetzt wieder) abarbeiten.


Grüße Wildone

So, ich habe alle Deine Schritte befolgt.Ich hoffe das war alles so richtig


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

Video iCodec
SpywareStrike


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

wiatwain.dll
1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 700 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~

SpywareStrike


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\WINDOWS\system32

17.01.2006 21:19 1.201 LexFiles.usr
14.01.2006 12:43 5.600 LexFiles.ulf
08.01.2006 09:16 2.206 wpa.dbl
01.01.2006 15:41 3.584 wmfhotfix.dll
01.12.2005 12:14 86.091 S32EVNT1.DLL
03.11.2005 08:43 116.560 FNTCACHE.DAT
30.10.2005 08:03 311.740 perfh009.dat
30.10.2005 08:03 40.128 perfc009.dat
30.10.2005 08:03 316.924 perfh007.dat
30.10.2005 08:03 48.354 perfc007.dat
30.10.2005 08:03 723.744 PerfStringBackup.INI
05.04.2005 10:17 517.848 SymNeti.dll
05.04.2005 10:17 132.824 SymRedir.dll
31.03.2005 20:17 176.167 rmoc3260.dll
31.03.2005 20:16 5.632 pndx5032.dll
31.03.2005 20:16 6.656 pndx5016.dll
31.03.2005 20:16 278.528 pncrt.dll
19.03.2005 13:21 25.065 wmpscheme.xml
19.03.2005 13:17 261 $winnt$.inf
19.03.2005 13:10 2.951 CONFIG.NT
19.03.2005 13:10 16.832 amcompat.tlb
19.03.2005 13:10 23.392 nscompat.tlb
19.03.2005 13:08 488 logonui.exe.manifest
19.03.2005 13:08 488 WindowsLogon.manifest
19.03.2005 13:07 749 wuaucpl.cpl.manifest
19.03.2005 13:07 749 nwc.cpl.manifest
19.03.2005 13:07 749 cdplayer.exe.manifest
19.03.2005 13:07 749 sapi.cpl.manifest
19.03.2005 13:07 749 ncpa.cpl.manifest
19.03.2005 13:03 21.740 emptyregdb.dat
19.03.2005 12:58 0 h323log.txt
27.01.2005 14:39 466.944 capicom.dll




Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\

20.01.2006 16:09 0 sys.txt
20.01.2006 16:08 4.288 system.txt
20.01.2006 16:08 129 systemtemp.txt
20.01.2006 16:07 88.846 system32.txt
20.01.2006 16:03 1.510 smitfiles.txt
20.01.2006 15:55 200.515.584 pagefile.sys
19.03.2005 15:43 194 boot.ini
19.03.2005 13:10 0 MSDOS.SYS
19.03.2005 13:10 0 IO.SYS
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 20:00 4.952 bootfont.bin
12 Datei(en) 200.898.379 Bytes
0 Verzeichnis(se), 17.175.052.288 Bytes frei


atentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: F09C-2BCF

Verzeichnis von C:\WINDOWS

20.01.2006 16:07 90.648 ntbtlog.txt
20.01.2006 16:02 179.815 setupact.log
20.01.2006 15:55 2.048 bootstat.dat
20.01.2006 15:52 32.542 SchedLgU.Txt
20.01.2006 15:15 0 0.log
17.01.2006 19:11 533 win.ini
17.01.2006 12:46 69 NeroDigital.ini
14.01.2006 12:43 284.825 setupapi.log
14.01.2006 12:43 748 LMAAL2DD.ini
10.01.2006 22:55 50 wiaservc.log
10.01.2006 22:55 216 wiadebug.log
25.12.2005 23:17 192 winamp.ini
02.12.2005 23:01 113 wmsetup.log
06.08.2005 18:42 12.672 SYMEVENT.LOG
05.05.2005 10:55 21.693 LUINSTALL.LOG
31.03.2005 20:24 25 cdplayer.ini
19.03.2005 17:23 81.459 DirectX.log
19.03.2005 16:41 7.016 Windows Update.log
19.03.2005 15:43 227 system.ini
19.03.2005 14:59 400 ODBC.INI
19.03.2005 13:21 829 OEWABLog.txt
19.03.2005 13:21 725.682 setuplog.txt
19.03.2005 13:18 8.192 REGLOCS.OLD
19.03.2005 13:17 47.012 iis6.log
19.03.2005 13:17 15.702 comsetup.log
19.03.2005 13:17 7.838 ntdtcsetup.log
19.03.2005 13:17 10.190 tsoc.log
19.03.2005 13:17 4.382 imsins.log
19.03.2005 13:17 1.315 tabletoc.log
19.03.2005 13:10 0 control.ini
19.03.2005 13:10 299.552 WMSysPrx.prx
19.03.2005 13:10 4.161 ODBCINST.INI
19.03.2005 13:07 749 WindowsShell.Manifest
19.03.2005 13:04 15.505 ocgen.log
19.03.2005 13:04 1.065 ocmsn.log
19.03.2005 13:04 870 msgsocm.log
19.03.2005 13:04 11.537 FaxSetup.log
19.03.2005 13:04 1.060 sessmgr.setup.log
19.03.2005 13:04 2.477 netfxocm.log
19.03.2005 13:03 36 vb.ini
19.03.2005 13:03 37 vbaddin.ini
19.03.2005 13:03 128 DtcInstall.log
19.03.2005 13:01 9.870 msmqinst.log
19.03.2005 12:47 0 Sti_Trace.log
19.03.2005 12:43 1.348 regopt.log
19.03.2005 12:41 0 setuperr.log


Ich hoffe das ich alles richtig gemacht habe

Hallo,
keine Sorge hast alles richtig gemacht. Wie siehts denn jetzt auf dem Desktop aus? Alles wieder wie es sein soll? Öffnen sich die Internetseiten noch?
Für mich sieht das eigentlich wieder alles recht sauber aus, lösche mal noch (falls vorhanden) den Ordner:
C:\Programme\SpywareStrike\
dann machst du noch einen Onlinescan bei Panda und postest den Report.
Außerdem postest du noch ein neues HijackThis Log.


Grüße Wildone

Hallo,

habe jetzt nochmal den Scan durchgeführt:
Bislang scheints keine Probleme zu geben.


Eine andere Frage:
Ich habe als Standard Browser den Maxthon WEb Browser, da der IE total zerschossen war.Ich habe nur das Problem gehabt das sich manche verschlüsselte Seiten nicht anzeigen ließen, z.B. wenn ich mein E-mai-Fach auf web.de abfragen wollte.

Gruß

Chris

Ereignis Zustand Standort

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Christian\Cookies\christian@as1.falkag[1].txt
Spyware:Cookie/Ccbill Nicht desinfiziert C:\Dokumente und Einstellungen\Christian\Cookies\christian@ccbill[1].txt

Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Christian\smitRem\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\hijack\smitRem\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\hijack\smitRem.exe[Process.exe]
Virus:Bck/Dumador.CU Desinfiziert C:\WINDOWS\system32\drivers\etc\hosts

Hallo,
sorry aber mit Maxton kenne ich mich überhaupt nicht aus, nutze doch ev. den Firefox.

Zitat:

da der IE total zerschossen war

Ich hoffe du kannst damit noch updates durchführen.

Zitat:

Virus:Bck/Dumador.CU Desinfiziert C:\WINDOWS\system32\drivers\etc\hosts

Das gefällt mir gar nicht, aber es läßt sich leider nicht mehr nachvollziehen, und so richtig traue ich Panda da auch nicht.

Ansonsten bleibt zu sagen das du Finger von Cracks, Keygens usw. lassen solltest, darüber fängt man sich normalerweise nämlich den Spywarestrike.

Grüße Wildone

Hallo Wildone,

vielen Dank erstmal für Deine Hilfe.
Welche Software wäre denn überhaupt empfehlenswert um mich besser zu schützen.Bei der Inflation an Virensoftware etc. habe ich leider überhaupt keine Ahnung was angebracht wäre.
Gruß Chris

Zitat:

Zitat von Wildone

Hallo,

Ansonsten bleibt zu sagen das du Finger von Cracks, Keygens usw. lassen solltest, darüber fängt man sich normalerweise nämlich den Spywarestrike.

Grüße Wildone

Da hat Wildone absolut recht.
Da reicht auch H+B-EDV oder Grisoft (Freeware).
Zur Sicherheit:
Lade Dir mal die 14-Tage-Version von Ewido, update sie:
http://www.ewido.net/de/download/
Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.

Hallo,
Software ist nur bedingt zum Schutz geeignet, als erstes gilt gesundes Mißtrauen bei allen neuen Programmen und deren Quellen, sowie bei Mailanhängen.
Das System muss immer auf dem neusten Stand gehalten werden, also entweder jeden Monat Microsoft besuchen und updaten oder das automatische Update aktivieren.
Außerdem wäre ein alternativer Browser(Firefox, Opera, Mozilla) nicht schlecht, soweit ich weiß ist der Maxton nur ein IE Aufsatz und hat somit die gleichen Sicherheitslücken.
Als AV ist dein Norton schon in Ordnung, auch wenn es bessere gibt und vor allem Resourcenschonendere.
Allgemeines zum thema Computersicherhweit kannst du dir auch hier erschmökern.


Grüße Wildone

Hallo,

mein Rechner scheint nun Trojaner-frei zu sein.Ich habe jetzt allerdings das Problem das ich mir verschlüsselte Internetseiten z.B. web.de nicht mehr anzeigen lassen kann

Gruß

Chris

Hallo,
hast du es auch mal mit einem alternativen Browser versucht? Ev. mal die Firewall von Norton ausgeschaltet?


Grüße Wildone

Hallo,

arbeite momentan mit dem IE.habe Firefox installiert,aber er wirft mir ständig folgende Fehlermeldung aus:
Fehler: Verbindung fehlgeschlagen


Firefox kann keine Verbindung zu dem Server unter www.spiegel.de aufbauen.
* Die Website könnte vorübergehend nicht erreichbar sein, versuchen Sie es bitte später nochmals.

* Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die Netzwerk-/Internetverbindung.

* Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird, stellen Sie bitte sicher,
dass Firefox auf das Internet zugreifen darf.

Der Witz dabei ist, dass die Norten komplett deaktiviert ist, laut Statusanzeige.

Kann es sein das durch die ganze Trojaner-Löschaktion da etwas schiefgelaufen ist?

Gruß
Chris

Hallo,
also noch mal zum zusammenfassen, mit dem maxtor kannst du ins Internet, nur nicht auf verschlüsselte Seiten. Mit dem FF geht gar nichts, soweit richtig?

Ich kann mir eigentlich nicht vorstellen das bei der Löschaktion etwas schiefgelaufen ist, da die Malware die du hattest eigentlich standart ist und keine Veränderungen an Interneteinstellungen vornimmt.
Gehe mal in den abgesicherten Modus + Netzwerktreiber (wieder durch F8 beim booten) und versuche dort mit dem Firefox ins Internet zu gehen, funktioniert es?


Grüße Wildone