|
Plagegeister aller Art und deren Bekämpfung: win32.zlob.akd - weiß nicht mehr weiter :o(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.09.2006, 19:19 | #1 |
| win32.zlob.akd - weiß nicht mehr weiter :o( Hallo liebe Gemeinde, ich hoffe Ihr könnt mir weiterhelfen ohne mich gleich niederzuknüppeln, da die Frage bestimmt schon 1.000.000 Mal gestellt wurde... . Habe mich auch im Forum versucht etwas schlau zu machen, aber das Problem ist, dass ich die Antworten meist nicht wirklich verstehe Mein Problem sieht wie folgt aus: Anscheinend habe ich mir mit einer exe-Datei den Trojaner win32.zlob.akd an Land gezogen (beim Virenscan der Datei allerdings nicht erkannt). Rein zufällig habe ich vorgestern in mein Virenprogramm (Telesec bzw- F-Secure) geschaut und auf einmal hieß es ungefähr so: "Trojaner-Downloader.Win32.Zlob.akd erkannt. Soll die Datei entfernt werden?! Natürlich habe ich dies bejaht und da sagte mir die tolle Virensoftware, dass der Versuch leider fehlgeschlagen sei und fragte, ob dieser zlob umbenannt werden soll, was ich dann auch bejahte." So, jetzt ist dieser Trojaner wohl umbenannt wordern - der Herrgott weiß, wie er jetzt heißt (eine Art Quarantäne-Ordner hat das Virenprogramm irgendwie auch nicht) und nichts desto trotz sollen 83 Dateien infiziert sein Ich habe natürlich diese blöde exe.Datei deinstalliert, Spybot und SUPERAntiSpyware durchlaufen lassen und die finden nix mehr... Ich vermute mal, die finden nur deshalb nix mehr, weil mein Virenprogramm den ja umbenannt hat! Nun meine Frage, wie ich sicher gehen bzw. ausschließen kann, dass dieser Trojaner bei mir nix mehr anstellt und unschädlich gemacht wurde und ob diese besagten 83 infizierten Dateien "repariert" wurden???!! Habe auch schon irgendwas von HiJack und ähnlichem gelesen, was ich leider nicht wirklich verstehe.... Daher wäre ich Euch super dankbar, wenn Ihr mir eine Hilfestellung geben könntet, um das beschriebene Problem zu beheben, da ich leider absolut überfordert bin und bisher immer davon ausging, dass mein Rechner nahezu abgesichert ist und ich nicht wirklich den tiefen Background für das System besitze. Bitte lasst mich nicht hängen!!!! Vielen lieben Dank im Voraus, Kraupe |
15.09.2006, 19:58 | #2 |
| win32.zlob.akd - weiß nicht mehr weiter :o( Guten Abend,
__________________Poste doch bitte mal ein Hjiacktis LOG. Ist net schwer. Alles dazu in dem Link in meiner SIG! Gruß Mellosun
__________________ |
15.09.2006, 20:26 | #3 |
| win32.zlob.akd - weiß nicht mehr weiter :o( Hallo Mellosun,
__________________danke, dass Du Dich meiner annimmst!! Habe jetzt mal so 'ne HiJack Log Datei erstellt (war wirklich nicht so schwer ) ). In der Anleitung steht ja drin, dass man persönliche Angaben editieren soll... . Eigentlich ist in dieser Datei doch alles persönlich, da das doch meinen gesamten Rechner widerspiegelt, oder?! Kann ich das dann so unbedarft hier posten?! (Machen ja irgendwie alle) Viele Grüße, Kraupe |
15.09.2006, 20:36 | #4 |
| win32.zlob.akd - weiß nicht mehr weiter :o( Also mit den Persönlichen Angaben ist gemeint, das du aktive Links unklickbar machst! Bei vielen sind solche Links enthalten, einfach aus demm www. ein w**. machen...und schon ist er unkenntlich bzw. nicht klickbar! Wenn irgendwo Dein Name auftauchen sollte, dann mache einfach daraus ****** Mehr ist es net! Gruß Mellosun |
15.09.2006, 20:46 | #5 |
| win32.zlob.akd - weiß nicht mehr weiter :o( Hi Mellosun, danke für die ausführliche Info ) Hoffe, ich habe jetzt alles richtig gemacht! Hier die besagte LOG Datei: Logfile of HijackThis v1.99.1 Scan saved at 21:38:14, on 15.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\ALCWZRD.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Teledat DSL\Awatch.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\PROGRA~1\T-TELE~1\backweb\2581593\Program\SERVIC~1.EXE C:\WINDOWS\system32\Brmfrmps.exe C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\Program\fspex.exe C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\program\fsbwsys.exe C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\FSGK32.EXE C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE C:\Programme\T-TeleSec Personal Security Service\Common\FSMB32.EXE C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fssm32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\Programme\T-TeleSec Personal Security Service\Common\FCH32.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\T-TeleSec Personal Security Service\Common\FAMEH32.EXE C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsav32.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe C:\Programme\T-DSL SpeedManager\TSMSvc.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\T-TeleSec Personal Security Service\FSGUI\fsguiexe.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\*****\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\T-TeleSec Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [News Service] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\ispnews.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [AWatch] "C:\Programme\Teledat DSL\Awatch.exe" O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{47892BE6-DF98-401C-9918-4A837CFD22C4}: NameServer = **** O17 - HKLM\System\CCS\Services\Tcpip\..\{DD8E9A77-3383-4728-9A41-39B491B55CCF}: NameServer = **** O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: T-TeleSec Personal Security Service (BackWeb Plug-in - 2581593) - Unknown owner - C:\PROGRA~1\T-TELE~1\backweb\2581593\Program\SERVIC~1.EXE O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe Hoffe, dass Du mir hier weiterhelfen kannst!! Vielen Dank im Voraus!! Gruß, Kraupe |
15.09.2006, 21:05 | #6 |
| win32.zlob.akd - weiß nicht mehr weiter :o( Nochmal Hallo, jeeppp, hast alles richtig gemacht! Also, ausser das du Deinen Autostart mal aufräumen könntest, kann ich in Deinem Log nichts ausergewöhnliches entdecken. Ist meiner Meinung nach sauber. Aber da Hijacktis net alles anzeigt, sollten wir, bzw. du, noch einen eScann machen. Lasse Dich nicht aus der Ruhe bringen, das sieht schwieriger aus, als es ist. Lese Dir die Anleitung ganz genau durch. Vorallem der Punkt 5 ist wichtig. Mit Hilfe dieser Find.zip musst du nachher das Ergebniss des Scans Posten. eScan mit Anleitung klick mich Wenn noch Fragen sind, einfach stellen. Ist noch kein meister vom Himmel gefallen und wenn schonmal so ein netter TO da ist, der sich auch bedankt, obwohl man noch garnichts gemacht hat....da fällt das Helfen gleich viel leichter! Gruß Mellosun
__________________ --> win32.zlob.akd - weiß nicht mehr weiter :o( |
16.09.2006, 17:14 | #7 |
| win32.zlob.akd - weiß nicht mehr weiter :o( Hi Mellosun, danke für den Tip. Leider kann ich die Log File von eScan nicht posten. Das Ding hat mir gestern meine komplette Internet-Schutz-Software zerschossen und so kam ich hier gestern erstmal ganz schön ins Rudern ( Auch der Scan hat anschließend überhaupt nicht geklappt und die Benutzeroberfläche sah völlig anders aus als beschrieben... . Naja, Frauen sollte man vielleicht doch nicht an PCs lassen ;o) Wie dem auch sei, verlasse ich mich jetzt einfach mal darauf, dass dieses HiJack den gefunden hätte, wenn er noch da wäre. Bin nämlich heilfroh, dass ich den Rest soweit wieder hinbekommen hab. Kurze Frage noch zum Schluß: Was stellt dieser Zlob eigentlich an??!! Vielen Dank für Deine Hilfe und Mühe, Kraupe |
16.09.2006, 18:58 | #8 |
| win32.zlob.akd - weiß nicht mehr weiter :o( Hallo Kraupe, das du Dir gestern Deine gesamte "Schutzsoftware" zerschossen hast, liegt bestimmt nicht daran, das du eine Frau bist. Musst mal hier etwas rumsuchen, ist gestern auch einem Mann passiert! Das liegt darn, das du einfach das falsche eScan geladen hast und den beitrag für eScann nicht richtig gelesen hast. eScan ( wenn man das richtige Lädt ) ist ein On Demand Scanner, den man nicht Installiert, sondern nur, nach dem Updaten des Virendefinition, ausführt. Sprich, es wird nichts Installiert....sondern nur etwas ausgeführt. Ist ähnliche einem Onlinescan! Das du Dich jetzt darauf verlässt, das Hijacktis den nicht anzeigt, ist schlecht. Hijacktis ist ein tool, um Prozesse anzuzeigen.....leider aber nicht immer und nicht alle! Und zu Deiner Frage: Was macht Zlob eigentlich? Einfach mal Google bemühen......da kannst du Dich die ganze Nacht belesen und wirst bestens aufgeklärt! Gruß Mellosun |
Themen zu win32.zlob.akd - weiß nicht mehr weiter :o( |
antworten, auf einmal, dateien, ellung, erkannt, exe-datei, f-secure, forum, frage, heulen, hijack, hängen, infiziert, infizierte, nicht erkannt, nicht mehr, nichts, problem, programm, quara, rechner, scan, software, spybot, superantispyware, system, trojaner, trotz, virensoftware, win, zufällig |