Hallo,
ich habe mir mal die Arbeit gemacht cronos Anleitung zur Entfernung von Smitfraud auf den neusten Stand zu bringen. Ich poste sie jetzt erstmal hier dann können noch Anmerkungen/Verbesserungen/Korrektur von Rechtschreibfehlern usw. vorgenommen werden, für feedback wäre ich dankbar

Zitat:

Anleitung zur Entfernung von Zlob alias Puper

Erstmal ein kurzes Vorwort zudem was Zlob ist, an welchen Symptomen er meistens zu erkennen ist und wie er sich verbreitet.
Zlob ist ein Trojaner, der verschiedene Dateien in den Systemordnern ablegt, andere Malware nachladen kann und diverse Veränderungen in der Registry vornimmt. Er verbreitet sich meistens über ein angebliches Videocodec, das von bestimmten Seiten zum Download angeboten wird. Er kann außerdem mit Hilfe von Cracks oder dem Ausnutzen von Browserlücken auf Crackseiten übertragen werden.

Wie erkenne ich ob ich Zlob habe?

Zlob gibt es in verschiedenen Varianten, die meisten sind daran zu erkennen, dass sie zum Installieren eines bestimmten, angeblichen Antispywareprogramms auffordern. In den häufigsten Fällen sind es folgende Programme:

Spyware Quake
Spyware Falcon
Spy(ware)Sheriff
Titan Shield


In den meisten Fällen wird diese Aufforderung über eine Nachricht "Your System is infected" o.ä. in der Infoleiste (rechts unten) vorgenommen.
In manchen Versionen tritt auch eine Veränderung des Desktophintergrunds auf oder es werden Popups eingespielt.




Wie beseitige ich Zlob?



Smitfraudfix
Besorgt euch das Programm Smitfraudfix und lasst es wie im Unterpunkt "Reinigung" beschrieben laufen, achtet besonders darauf das Ganze im abgesicherten Modus vorzunehmen.


Smitrem
Alternativ zu Smitfraudfix, kann man auch Smitrem zur Beseitigung verwenden, allerdings reagiert das Programm etwas träger auf Änderungen oder das Auftreten neuer Varianten.
Entpackt das Programm, geht in den abgesicherten Modus, führt die runthis.bat aus und folgt den Anweisungen auf dem Bildschirm.


In den meisten Fällen sollte es das schon gewesen sein. Zur Kontrolle könnt ihr immer noch einen Onlinescan bei Kaspersky machen.

Probleme?

Falls nach der Reinigung immernoch Symptome auftreten sollten, eröffnet bitte einen eigenen Thread im Forum mit einer detaillierten Problembeschreibung und folgenden zusätzlichen Informationen:

1.) HijackThis Log
2.) Inhalt der Datei C:\rapport.txt (bei Smitrem Inhalt der Datei C:\smitfiles.txt)
3.) Löscht eure Temp-Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!
4.) Evtl. den Report von dem Onlinescan bei Kaspersky


Besonderen Dank an cronos, dessen Anleitung die Basis für diese Anleitung ist.

Grüße Wildone

Grüße Wildone

Hallo,

Zitat:

Zitat von Wildone

Ich poste sie jetzt erstmal hier dann können noch Anmerkungen/Verbesserungen/Korrektur von Rechtschreibfehlern usw. vorgenommen werden

zum Inhalt mag ich eigentlich nichts sagen, da sich meine Einstellung diesbezüglich doch etwas geändert hat.

Dennoch ein paar kleine Korrekturen (nur auf die RS bezogen *g*):

Zitat:

Erstmal ein kurzes Vorwort zu dem, (muss auseinander geschrieben werden) was Zlob ist.....Browserlücken.....zum Installieren......Antispywareprogramms......das Ganze....immer noch....detaillierten...Temp-Dateien....Evtl.

Ein paar Kommafehler sind auch noch drin.

Das war's erst mal von meiner besserwisserischen Seite


HTH

korrekturen eingearbeitet

GUA

@GUA
Jetzt könnte es eigentlich auch nach Anleitungen, FAQs & Links verschoben werden
Danke.

Der Felix

Hallo,
bitte noch nicht, wahrscheinlich werde ich morgen noch mal Änderungen vornehmen, ich bin mit der momentanen Struktur nicht wirklich zufrieden. Ev. überlege ich mir auch eine Liste mit Dateien (max. 10) aufzunehmen, die gerade typisch für die verbreitesten Versionen sind, diese müsste dann allerdings mindesten einmal im Monat aktualisiert werden. Ein Vorteil einer solchen Liste wäre, dass wahrscheinlich ein paar User direkt über google zu der Anleitung gelangen würden, und dann nicht mehr im Forum bearbeitet werden müssten.

Heute will ich mich nicht mehr drann setzen weil ich gerade von der Fanmeile komme und etwas kaputt bin.

@Haui
Danke für deine Rechtschreibkorrektur, das ist nicht gerade meine Stärke.

Zitat:

zum Inhalt mag ich eigentlich nichts sagen, da sich meine Einstellung diesbezüglich doch etwas geändert hat.

Verstehe ich nicht ganz, tendierst du dazu den Hilfesuchenden eine Neuinstallation zu empfehlen?


Grüße Wildone

Zitat:

Zitat von Wildone

Verstehe ich nicht ganz, tendierst du dazu den Hilfesuchenden eine Neuinstallation zu empfehlen?

Genau so ist es, das hat aber nicht vornehmlich was mit Zlob und dessen Variationen zu tun, sondern gilt allgemein. Aber dies ist der falsche Ort um darüber zu diskutieren.

Hmm...im Spotlight-Sicherheitsforum wird bei einem Zlob-Befall nur geraten, die Kiste neu aufzusetzen, was nat. am sinnvollsten ist.
Eine Bereinigung nach Wildone's Anleitung kann erfolgreich sein, muss es aber nicht, vllt. könnte das in der Anleitung erwähnt werden, dass eine Bereinigung immer das Risiko birgt, dass Schädlingsteile übersehen und damit nicht entfernt werden.

Hallo,

Zitat:

Eine Bereinigung nach Wildone's Anleitung kann erfolgreich sein, muss es aber nicht, vllt. könnte das in der Anleitung erwähnt werden, dass eine Bereinigung immer das Risiko birgt, dass Schädlingsteile übersehen und damit nicht entfernt werden.

Gute Idee, werde ich einarbeiten. Auch wenn dies natürlich nur eine Aktualisierung von cronos Anleitung sein soll. Ich sehe die Problematik durchaus, gerade auch weil Smitfraudfix auch Dateien entfernt die ich schon als Backdoor bezeichnen würde (z.B. taskdir.exe, winbrume.dll...)
Ich komme heute aber leider doch nicht mehr dazu, weil ich auch noch Deutschland-Polen sehen will.
Und das die Entfernung von Zlob ein Grenzfall zum Thema Neuaufsetzen ist, ist mir durchaus bewußt.


Grüße Wildone

Schön, eine Bereinigung ist immer mit Vorsicht zu genießen.
Auch wenn der Rechner danach noch so sauber "riecht" kann man ja nicht wirklich sicher sein, dass er es auch wirklich ist.
Und gerade bei ONUs wage ich es mal zu bezweifeln, dass sie wirklich alles was in den Anleitungen steht schritt für Schritt korrekt abarbeiten.
Da ist ein Neuaufsetzen mit dem Verweis *VORHER* die Updates wie das SP2 offline einzuspielen, doch schon sinnvoller.

Einen Ewido Scan sollte man noch empfehlen.
Evtl. Rootkitparanoia sei dem jeweiligen Helfenden überlassen.

Aus Aktualitätsgründen würde ich dann noch bitten, die beiden Smitfraud-Threads (manuell/automatisch) der nächsten Dampfwalze zu überantworten.

LG

cronos

P.S: @ WO : Dank nicht mir, sondern lieber dem Pieter Arntz von Wilderssecurity. Und über den führen dann manche Wege zu geekstogo. Dort ist er bekannt als Metallica.

Ich habe heute mal aus Laune mein Test XP (SP2) mit Zlob.fn von Spyfalcon infiziert, um eure Anleitung auf Praxistauglichkeit abzuklopfen. Hinzu kam noch ein smitfraud Hijacker von vcodec.

Kaspersky-online und escan zeigten die Infizierungen an (sonst wüßt ich ja nix davon ), das Hijack-Logfile blieb sauber. Dann bin ich nach der Anleitung vorgegangen - und: Das Ding ist narrensicher. Gut, narrensicher ist nix, aber man muß schon fast hirntot sein, um die Sache anhand der Anleitung nicht auf die Reihe zu kriegen. Zlob wurde problemlos entfernt (bei dem Hijacker mußte ich selbst Hand anlegen, ist aber auch eine andere Geschichte).

escan zeigte nix mehr an, kaspersky-online und ewido auch nicht, nur Panda-online hat das smitfraud-fix-tool als unerwünschte "Hackersoftware" moniert. Richtet euch also auf entsprechende Postings ein , wenn die Leute den empfohlenen Online-scan machen.

Ob die Kiste damit sauber ist, bleibt abzuwarten, außerdem bin ich ja auch nicht Ewigkeiten mit dem infizierten System im Netz gewesen, d.h. der Trojaner hatte recht wenig Zeit, sein schändliches Werk zu verrichten.

Ach so: Gängige Rootkit-tools (Blacklight, Revealer, svv) haben weder vor noch nach der Desinfektion was beanstandet.

Kurzum: Gelungene Anleitung

edit: Habe noch mal in das Virenlog geschaut und mitbekommen, dass der Zlob-Trojaner nicht von Spyfalcon sondern ebenfalls von dem Videocodec stammt. Holt sich also einer wie ich das Teil über den codec auf seinen PC, ist das verlinkte fix-tool nicht ausreichend!

Anleitung zur Entfernung von Zlob alias Puper, Fakealert, Smitfraud

Erstmal ein kurzes Vorwort zudem was Zlob ist, an welchen Symptomen er meistens zu erkennen ist und wie er sich verbreitet.
Zlob ist ein Trojaner, der verschiedene Dateien in den Systemordnern ablegt, andere Malware nachladen kann und diverse Veränderungen in der Registry vornimmt. Er verbreitet sich meistens über ein angebliches Videocodec, das von bestimmten Seiten zum Download angeboten wird. Er kann außerdem mit Hilfe von Cracks oder dem Ausnutzen von Browserlücken auf Crackseiten übertragen werden.

Aufgrund der Komplexität von Zlob kann nicht garantiert werde, dass mit der folgenden Anleitung der Trojaner komplett entfernt wird, die sicherste Methode ein vertrauenswürdiges System wieder herzustellen ist ein Neuaufsetzen.

Wie erkenne ich ob ich Zlob habe?

Zlob gibt es in verschiedenen Varianten, die meisten sind daran zu erkennen, dass sie zum Installieren eines bestimmten, angeblichen Antispywareprogramms auffordern. In den häufigsten Fällen sind es folgende Programme:

Spyware Quake
Spyware Falcon
Spy(ware)Sheriff
Titan Shield


In den meisten Fällen wird diese Aufforderung über eine Nachricht "Your System is infected" o.ä. in der Infoleiste (rechts unten) vorgenommen.
In manchen Versionen tritt auch eine Veränderung des Desktophintergrunds auf oder es werden Popups eingespielt.

Hier eine Liste der bekanntesten Dateien, die im Zusammenhang mit Zlob stehen:

hp???.tmp
ishost.exe
ismon.exe
issearch.exe
atmclk.exe
dcomcfg.exe
Ordner %system%\1024
secure32.html
paytime.exe
intmon.exe
msmsgs.exe

Wie beseitige ich Zlob?

• Smitfraudfix
  Besorgt euch das Programm Smitfraudfix und lasst es wie im Unterpunkt "Reinigung" beschrieben laufen, achtet besonders darauf das Ganze im abgesicherten Modus vorzunehmen.
  
  
• Smitrem
  Alternativ zu Smitfraudfix, kann man auch Smitrem zur Beseitigung verwenden, allerdings reagiert das Programm etwas träger auf Änderungen oder das Auftreten neuer Varianten.
  Entpackt das Programm, geht in den abgesicherten Modus, führt die runthis.bat aus und folgt den Anweisungen auf dem Bildschirm.

In den meisten Fällen sollte es das schon gewesen sein. Zur Kontrolle könnt ihr noch einen Onlinescan bei Kaspersky machen.


Wenn ihr durch einen Helfer im Forum auf diese Seite gelangt seid, postet ihr als Antwort folgende Informationen:

1.) Den Inhalt der Datei C:\rapport.txt (falls ihr Smitrem ausgeführt habt C:\smitfiles.txt)
2.) Ein (neues) HijackThis Log

Probleme?

Falls nach der Reinigung immernoch Symptome auftreten sollten, eröffnet bitte einen eigenen Thread im Forum mit einer detaillierten Problembeschreibung und folgenden zusätzlichen Informationen:

1. HijackThis Log
2. Inhalt der Datei C:\rapport.txt (bei Smitrem Inhalt der Datei C:\smitfiles.txt)
3. Löscht eure Temp-Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!
4. Den Report von dem Onlinescan bei Kaspersky

Besonderen Dank an cronos, dessen Anleitung die Basis für diese Anleitung ist.

Grüße Wildone

Hallo,
so jetzt habe ich die Fassung nochmal überarbeitet, Kommentare erwünscht. Bin zwar immernoch nicht 100%ig zufrieden, aber so kann er von meiner Seite aus sticky gemacht werden.

@cronos
Es bleibt dabei das die Danksagung dir gilt, da es nur eine Weiterführung deiner Arbeit ist. Und wenn ich anfange den Herstellern der Tools zu danken, wo soll ich da aufhören, S!ri(Smitfraudfix), Noahdfear (Smitrem), Merijn (HijackThis), Sabina (Datfind.bat) usw. Denen gilt zwar auch ein Dank für ihre Arbeit, aber ich denke nicht das es explizit in der Anleitung erwähnt werden muss.



Grüße Wildone

Hallo zusammen,

hätte mal ne allgemeine frage zu trojanern (mit viren wird es sich genauso verhalten).

ich hab eine rar mit mehreren dateien drin. mein virenscanner zeigt mir jetzt an, dass es sich bei einer um einen trojaner (zlob) handelt. prinzipiell ist das doch jetzt erstmal gar nicht so schlimm. ich mein, ich kann das archiv ja einfach öffnen, alle dateien bis auf den trojaner extrahieren und die rar anschließend löschen.
solange ich das trojanerfile nicht ausführe, bin ich ja nicht infiziert. (ODER???)

oder verhält es sich so, dass der trojaner so mit dem archiv verknüpft ist, dass er sich bei archivsöffnung automatisch installiert?
das würde aber ja dann auch heißen, dass er sich installiert wenn der virenscanner das archiv scannt, da der die daten ja auch erstmal extrahieren muss.

danke im voraus,

mfg. Marcus

Hallo,
hat zwar nur sehr am Rande mit der Anleitung zu Zlob zu tun, aber im Prinzip hast du Recht, wenn keine konkrete Lücke in dem Packprogramm ausgenutzt wird, kannst du das Archiv erstmal gefahrlos entpacken.

Aber da ich mir einigermaßen die Seriösität der Quelle vorstellen kann aus der diese ominöse rar-Datei stammt, kann ich dich nur warnen AVs erkennen Zlob nur sehr unzuverläßig, was sagt dir das die anderen Dateien nicht einfach mit einer neueren Variante infiziert sind?

Also, es gilt nunmal generell keine Dateien aus unseriösen Quellen auszuführen, sonst fällt man früher oder später auf die Nase.



Grüße Wildone