| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.Zlob.D entfernt ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.04.2006, 01:25
| #1 |
| |  Trojan.Zlob.D entfernt ? Hallo, habe mir auch den Trojaner eingefangen und euer Tools mitRem unter Abgesicherten Modus laufen lassen. Frage : Ist mein System jetzt sauber ? Hier die smitfiles.txt : smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] Running from C:\Dokumente und Einstellungen\Administrator\Desktop\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ 1024 dir ld****.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 804 'explorer.exe' Killing PID 804 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN!  mfg HANSS  |
|
07.04.2006, 11:24
| #2 | |
  |  Trojan.Zlob.D entfernt ? Hallo Hans,
__________________bei diesem Patchstand ist davon nicht auszugehen. Zitat:
Anleitung und Download findest du hier auf der Startseite unter "Anleitungen,FAQ,Links" Irrlicht |
|
07.04.2006, 12:50
| #3 |
| |  Trojan.Zlob.D entfernt ? Hallo irrlicht,
__________________erst einmal vielen Dank für deine schnelle Antwort ...  Ich habe WindowsXP Pro mit Servicepack 2 installiert,was Du auch jetzt in der Logfile sehen kannst. Logfile of HijackThis v1.99.1 Scan saved at 13:43:12, on 07.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\cFos\cFosDNT.exe C:\WINDOWS\SOUNDMAN.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [KAVPersonal50] "E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe HANSS |
|
07.04.2006, 13:02
| #4 |
| | Trojan.Zlob.D entfernt ? Hallo Hans, ist das Log aus dem Normalen Modus ? Wenn nicht,bitte nachreichen. Irrlicht |
|
07.04.2006, 13:15
| #5 |
| | Trojan.Zlob.D entfernt ? Hi irrlicht, ich habe das HijackThis vom Desktop aus gestartet. Wenn Du noch ein Logfile vom Absicherten Modus brauchst,dann lass es mich bitte wissen. HANSS |
|
07.04.2006, 13:26
| #6 |
  | Trojan.Zlob.D entfernt ? Ich schiebe mich mal kurz mit einer Frage zwischenrein: Hast Du Kaspersky beendet bevor Du HJT hast laufen lassen? Eigentlich sollten Kaspersky-Prozesse in der Prozessliste auftauchen. Ich sehe aber keine. |
|
07.04.2006, 13:28
| #7 |
| | Trojan.Zlob.D entfernt ? Hallo Hans, nein brauche ich nicht.Ich brauche jetzt Informationen.Wieso glaubst du an eine Infektion ? Wer oder was hat dich da drauf gebracht ?Was war an deiner Kiste anders als sonst ? Dein Log ist halt seeehr kurz.Du bist sicher den Unterschied zwischen Normalen Modus und abgesicherten Modus zu kennen ? Keine Firewall,kein Virenscanner ? Irrlicht Edit : wieder schneller geschrieben als geguckt....Kaspersky steht ja drin... |
|
07.04.2006, 13:41
| #8 |
| | Trojan.Zlob.D entfernt ? Hallo irrlicht, mein Kaspersky hatte Alarm geschlagen und dieses mssearchnet gemeldet. Danach habe ich mein System komplett gescannt und er hatte da so einige infizierte Dateien gefunden und gelöscht. Da bin ich noch auf Norton Seiten gewesen und habe auch diese Anleitungen befolgt mit Registry säubern usw. Dann habe ich mir dass Tool von Euch geschnappt und habe es auch nach Anleitung unter Abgesicherten Modus laufen lassen. MightyMarc, hatte bei HijackThis den Virenscanner deaktiviert,aber wenn dass unbedingt mit laufen muss schicke ich gerne nochmal eine Logfile nach ? HANSS hier ist die neue Logfile : Logfile of HijackThis v1.99.1 Scan saved at 14:42:05, on 07.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\cFos\cFosDNT.exe C:\WINDOWS\SOUNDMAN.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [KAVPersonal50] "E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [MOMORacingFixCenter] "E:\Programme\Logitech\MOMORacingFixCenter.exe" 0 O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe |
|
07.04.2006, 13:58
| #9 |
| | Trojan.Zlob.D entfernt ? @HANSS Nein, der Virenscanner muss nicht laufen. Es hatte mich nur gewundert, dass er zwar einen Autostarteintrag hat (und deswegen per Definition beim Windowsstart auch gestartet wird) aber nicht in der Prozessliste zu finden ist. Da Du ihn deaktiviert hattest ist das Mysterium geklärt. |
|
07.04.2006, 14:02
| #10 |
| |  Trojan.Zlob.D entfernt ? @MightyMarc, @irrlicht, Ist denn jetzt mein System von mssearchnet(Trojan.Zlob.D ) sauber oder nicht ? HANSS Geändert von HANSS (07.04.2006 um 14:14 Uhr) |
|
07.04.2006, 15:26
| #11 |
| | Trojan.Zlob.D entfernt ? Hallo Hans, sieht so gut aus.Hier kannst du einen Onlinescan machen : http://housecall.trendmicro.com/ Kommen noch irgend welche Popups oder sind sonstige Merkwürdigkeiten zu verzeichnen ? Irrlicht |
|
07.04.2006, 18:02
| #12 |
| | Trojan.Zlob.D entfernt ? Hallo irrlicht,  ...den Scan habe ich auch noch gestern Abend zufälligerweisedurchgeführt mit allen Optionen die vorhanden waren,und es wurde bestätigt dass alles in Ordnung sei... Ad-Aware SE Pro und Spybot hat auch nichts mehr gefunden ! Ich bin jetzt schon fast 10 Std. an einem Stück Online und keine Popups oder irgend welche komische Fehlermeldungen. Ich hatte mir mssearchnet durch einen Sch..ss Mediaplayer Codec eingefangen der ich Depp noch per EXE.DATEI installiert habe...  HANSS |
|
| Themen zu Trojan.Zlob.D entfernt ? |
| abgesicherten, abgesicherten modus, administrator, browseui preloader, cache, clean, desktop, eingefangen, einstellungen, entfernt, explorer, explorer.exe, gen, grinler, heulen, icons, inprocserver32, log, modus, not, software, system, system32, tools, trojaner, trojaner eingefangen, usb, version, windows, windows xp |
Linear-Darstellung
