So, war heute im Internet und nach 2 Minuten surfen auf www.google.de beendet sich der Internet Explorer und sagt es liegt ein Fehler vor. Auch der Explorer geht nicht mehr.
AntiVir meldet mir den „Virus“ TR/Proxy.Lager.AQ.1 und Spybot findet SmitFraud.C. Beides kann ich beseitigen bzw. löschen aber nach einem Systemstart ist zumindest der Virus wieder da.

Kann mir jemand sagen, wie ich jetzt am besten vorgehen soll? Blicke bei den Vielzahl an Test und Logfiles von denen hier gesprochen wird, nicht mehr richtig durch.

Eine wichtige Frage ist noch, wie man diesen Virus bekommen kann? Habe noch einen 2. Rechner im Netzwerk und der hat noch nichts bekommen. Wie kann ich diesen anderen PC schützen???

Vielen Dank für eure Hilfe,

Sascha

Hallo Skelo,
poste doch mal ein HJT logfile vllt ist noch mehr drin

chaosman

So, ich hoffe Ihr könnte mir jetzt besser helfen:

Logfile of HijackThis v1.99.1
Scan saved at 18:42:07, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120313126702
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123583493483
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - h**ps://register3.valueactive.com/458/webolr/OCX/FlashAX.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://data.flatcast.com/NpFv415.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo,
aus dem Logfile ist ausser den taskdir Einträgen nichts auffälliges zu erkennen.
Mach mal folgendes dann kann man vielleicht erkennen ob noch was weiteres nachgeladen wurde. Poste die vier Logfiles, aber nur die Dateien des letzten Monats abkopieren!


Grüße Wildone

Hoffe man kann was daraus erkennen. Glaube dass gleich die 2. Datei (zlbw.dll) nicht gut ist oder?


Verzeichnis von C:\WINDOWS\system32

22.03.2006 18:26 1.158 wpa.dbl
22.03.2006 17:04 46.592 zlbw.dll
22.03.2006 15:39 51.094 taskdir.exe
22.03.2006 15:39 51.094 parad.raw.exe
22.03.2006 15:39 7.095 voblaizdupla.exe
10.03.2006 01:10 4.799.320 MRT.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
12.02.2006 17:26 0 h323log.txt


Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

22.03.2006 18:42 16.384 ~DF40E6.tmp
22.03.2006 15:57 0 12F331.dmp
22.03.2006 15:57 0 1277A8.dmp
22.03.2006 15:56 0 11F2A7.dmp
22.03.2006 15:47 0 9B75D.dmp
22.03.2006 15:45 0 7AC77.dmp
17.03.2006 20:51 271 wecerr.txt
16.03.2006 21:21 1.980 1C9.tmp
12.03.2006 13:18 1.980 1C5.tmp
11.03.2006 14:59 1.980 1C4.tmp
10.03.2006 23:16 1.980 1EE.tmp
10.03.2006 21:56 1.980 1DF.tmp
10.03.2006 21:54 1.980 1DA.tmp
10.03.2006 21:42 1.980 1D5.tmp
10.03.2006 21:25 1.980 1CD.tmp
10.03.2006 21:23 1.980 1C8.tmp
10.03.2006 21:21 1.980 1C3.tmp
09.03.2006 20:26 1.980 1C0.tmp
09.03.2006 15:15 1.980 1BF.tmp
08.03.2006 21:49 1.980 1BD.tmp
08.03.2006 17:10 1.980 1BB.tmp
07.03.2006 20:40 1.980 1B9.tmp
07.03.2006 18:42 1.980 1B8.tmp
07.03.2006 18:42 1.980 1B6.tmp
06.03.2006 17:51 797.676 IMTE.xml
06.03.2006 17:51 426 IMTD.xml
06.03.2006 17:51 2.036 IMTC.xml
06.03.2006 17:51 797.676 IMTB.xml
06.03.2006 17:51 426 IMTA.xml
06.03.2006 17:51 2.036 IMT9.xml
06.03.2006 02:57 129 C05A8628.TMP
03.03.2006 15:00 3.162.112 ~DF7D9F.tmp
03.03.2006 13:56 1.980 1B5.tmp
02.03.2006 15:58 3.244.032 ~DF6ECA.tmp
02.03.2006 14:30 1.980 1B1.tmp
28.02.2006 16:22 884.736 ~DFE84F.tmp
28.02.2006 16:22 1.980 1B2.tmp
28.02.2006 15:58 10.538 control.xml
28.02.2006 15:43 3.194.880 ~DFBF7D.tmp
28.02.2006 14:48 1.980 1AD.tmp
27.02.2006 15:37 2.834.432 ~DFEA58.tmp
27.02.2006 15:36 1.980 1AE.tmp
27.02.2006 15:31 2.818.048 ~DF6A7D.tmp
27.02.2006 15:28 1.980 1AA.tmp
26.02.2006 16:47 412 MSI12487.LOG
24.02.2006 10:36 2.867.200 ~DFF3A6.tmp
24.02.2006 10:14 1.980 1A6.tmp
23.02.2006 16:29 2.932.736 ~DFB9FA.tmp
23.02.2006 16:26 1.980 1A9.tmp
23.02.2006 16:22 884.736 ~DF348B.tmp
23.02.2006 16:22 1.980 1A5.tmp
21.02.2006 22:50 2.834.432 ~DF638B.tmp
21.02.2006 22:49 1.980 1A2.tmp
20.02.2006 23:02 2.949.120 ~DFE109.tmp
20.02.2006 21:23 1.980 1A1.tmp
19.02.2006 16:56 2.850.816 ~DF53B2.tmp
19.02.2006 16:54 1.980 19E.tmp
18.02.2006 09:19 2.932.736 ~DFD271.tmp
18.02.2006 08:14 1.980 19A.tmp
17.02.2006 21:57 3.194.880 ~DFEFA1.tmp
17.02.2006 20:14 1.980 19D.tmp
17.02.2006 18:44 2.899.968 ~DF5FBA.tmp
17.02.2006 18:38 1.980 199.tmp
17.02.2006 14:15 2.834.432 ~DFD43E.tmp
17.02.2006 14:12 1.980 196.tmp
16.02.2006 23:53 3.375.104 ~DFE371.tmp
16.02.2006 22:31 1.980 195.tmp
16.02.2006 22:30 1.980 194.tmp
16.02.2006 15:14 1.980 192.tmp
14.02.2006 21:05 1.980 191.tmp
13.02.2006 18:14 1.980 18E.tmp
12.02.2006 16:07 1.980 18D.tmp
11.02.2006 22:05 1.980 18A.tmp
10.02.2006 20:31 1.980 189.tmp
10.02.2006 13:29 1.980 186.tmp
09.02.2006 15:06 1.980 185.tmp
09.02.2006 15:02 1.980 184.tmp
09.02.2006 15:00 1.980 183.tmp
09.02.2006 14:42 1.980 17E.tmp
08.02.2006 22:30 1.980 180.tmp
08.02.2006 19:45 1.980 17D.tmp
07.02.2006 22:13 1.980 17A.tmp
07.02.2006 15:16 1.980 179.tmp
06.02.2006 17:50 1.980 176.tmp
05.02.2006 16:33 1.980 175.tmp
04.02.2006 21:39 1.980 172.tmp
03.02.2006 12:18 1.980 171.tmp
02.02.2006 21:35 1.980 16E.tmp
02.02.2006 17:30 1.980 16D.tmp
02.02.2006 15:50 1.980 16A.tmp
01.02.2006 22:45 1.980 169.tmp
01.02.2006 20:40 1.980 166.tmp


Verzeichnis von C:\WINDOWS

22.03.2006 18:33 1.823.772 WindowsUpdate.log
22.03.2006 16:46 0 0.log
22.03.2006 16:45 2.048 bootstat.dat
21.03.2006 16:45 580 WISO.INI
17.03.2006 14:13 542.597 setupapi.log
13.03.2006 20:36 213.092 setupact.log
08.03.2006 21:48 253 tm.ini
08.03.2006 21:43 35 tdf.dii
07.03.2006 17:45 7.553 WGA.log
28.02.2006 15:58 18.365 wmsetup.log
18.02.2006 11:00 923 spupdsvc.log
18.02.2006 10:56 131.110 tsoc.log
18.02.2006 10:56 18.327 ocmsn.log
18.02.2006 10:56 120.309 comsetup.log
18.02.2006 10:56 52.926 iis6.log
18.02.2006 10:56 71.226 ntdtcsetup.log
18.02.2006 10:56 1.374 imsins.log
18.02.2006 10:56 6.836 KB913446.log
18.02.2006 10:56 16.354 msgsocm.log
18.02.2006 10:56 163.401 ocgen.log
18.02.2006 10:56 326.909 FaxSetup.log
18.02.2006 10:55 1.374 imsins.BAK
18.02.2006 10:55 8.009 KB911564.log
18.02.2006 10:55 8.283 KB911565.log
18.02.2006 10:54 11.006 KB911927.log
18.02.2006 10:54 26.644 updspapi.log


Verzeichnis von C:\

22.03.2006 20:03 0 sys.txt
22.03.2006 20:02 8.168 system.txt
22.03.2006 20:00 22.867 systemtemp.txt
22.03.2006 19:54 93.920 system32.txt
22.03.2006 18:31 4.757 hijackthis.log
22.03.2006 16:45 780.140.544 pagefile.sys

Hallo,
überprüfe die Dateien:
C:\Windows\System32\zlbw.dll
C:\Windows\System32\parad.raw.exe
C:\Windows\System32\voblaizdupla.exe

auch bei www.virustotal.com und poste das Ergebnis. Du hast dich um 15:39 angesteckt, eine Ahnung was du da gemacht hast?


Grüße Wildone