hi

im vorraus schonmal 1000 dank, dass ihr euch die arbeit macht mein (und die der vielen anderen^^) durchzuschauen!

mein hauptproblem besteht darin, dass spybot bei mir immer den zlob.downloader findet und nicht löschen kann, weder im abgesichterten modus noch vor dem kompletten systemstart, aber seht selbst:


Logfile of HijackThis v1.99.1
Scan saved at 22:09:58, on 19.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate-SPF\Smc.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\PGPserv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp_lite\winamp.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\Smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite5\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} -

C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C581579D-88E3-4B81-BBEF-5B460BCE730E}: NameServer =

192.168.2.1
O20 - AppInit_DLLs: wbsys.dll OCMAPIHK.DLL
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -

C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame

Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION -

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\System32\PGPserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner -

%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. -

C:\Programme\Sygate-SPF\Smc.exe
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol

120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH -

C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner -

C:\WINDOWS\System32\UAService7.exe


danke danke

mfg smitfraud

Da sind einige äußerst bedenkliche Einträge bei:

Zitat:

O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)

Hinzu kommt, dass Dein System ungepatcht ist:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Hier fehlt mindestens das SP2!
Ich befürchte, das System ist nicht zu retten. Aber mach mal erst nen Check mit Blacklight und poste das Ergebnis.

kam bisher ohne sp2 aus, aber kann wenns hilft gern nachrüsten.


den ie benutz ich nie, bin firefox freund


blacklight werd ich gleich mal laden...

danke schonmal

Nein, ohne Upates kommst Du bestimmt nicht aus.
Meinst Du die sind aus Spaß da, weil die MS-Mitarbeiter nichts zu tun haben und deswegen aus Langeweile irgendwelche Updates releasen?

Zitat:

Zitat von cosinus

Nein, ohne Upates kommst Du bestimmt nicht aus.
Meinst Du die sind aus Spaß da, weil die MS-Mitarbeiter nichts zu tun haben und deswegen aus Langeweile irgendwelche Updates releasen?

no comment.


blacklight


bis ich das sp2 hab dauerts noch 1,5 stunden... ( 384er kaff dsl :/ )

bekommt man die restlichen updates auch ohne automatisches update (ich denke mal ja, aber woher)/ andersherum: hat einer ne lieblings windows patches seite?


danke

Okay, Blacklight zeigt schon mal nichts an.
Lass mal die beiden erwähnten Dateien bei Jotti oder Virustotal auswerten. Poste das komplette Ergebnis, also auch die Infos über Dateigröße, md5 und sha1. wineil32.dll musst Du per Suchfunktion ausfindig machen, da hier der Pfad nicht gegeben ist.

Zitat:

bekommt man die restlichen updates auch ohne automatisches update (ich denke mal ja, aber woher)/ andersherum: hat einer ne lieblings windows patches seite?

Ja, aber was hast Du gegen die automatischen Updates?
Update-Pakete bekommst Du z.B. bei WinBoard.

hm... kann die beiden dateien nicht finden.

auch steht bei beiden im HijackThis log file missing...

n tip?

Zitat:

Ja, aber was hast Du gegen die automatischen Updates?

dass sie automatisch sind... und ich kontakt zu microsoft aufnehmen muss^^ nicht dass die mir nachher noch auf meinem rechner rumschnüffeln/ka ob die das überhaupt können...


naja, werds nach dem update einfach mal einschalten *überredet*

Zitat:

hm... kann die beiden dateien nicht finden.
auch steht bei beiden im HijackThis log file missing...

Ja, schon klar. Hijackthis ist da in der Richtung manchmal etwas buggy, zeigt File missing an, obwohl sie doch noch da ist. Stelle sicher, dass ALLE Dateien auch angezeigt werden, also die versteckten und die geschützten Systemdateien. Schädlinge geben sich gern Systemattribute um alles schwieriger zu gestalten.

Zitat:

dass sie automatisch sind... und ich kontakt zu microsoft aufnehmen muss^^ nicht dass die mir nachher noch auf meinem rechner rumschnüffeln/ka ob die das überhaupt können...

Das ist eine seltsame Einstellung. Wenn Du MS nicht traust, warum setzt Du denn Windows als BS ein?
Im Übrigen sind diese Schüffeleien seitens MS m.W. nicht bewiesen worden, alles sind nur Behauptungen, die irgendwer mal gemacht hat. Ich empfehle Dir die automatischen Updates zu aktivieren, so verpasst Du keine wichtigen Patches.

Zitat:

Zitat von cosinus

Wenn Du MS nicht traust, warum setzt Du denn Windows als BS ein?

war bisher nur zu faul das in die tat umzusetzen... aber hab schon oft mit dem gedanken gespielt


hab nochmal gesucht, alles sichbar war vorher auch schon eingestellt...



bin da etwas ratlos... wie kann HijackThis die überhaupt finden,wenn sie nicht da sind... oder zeigt mir hjt nur den autostarteintrag an?

danke

Zitat:

bin da etwas ratlos... wie kann HijackThis die überhaupt finden,wenn sie nicht da sind... oder zeigt mir hjt nur den autostarteintrag an?

Jepp. HJT untersucht bestimmte Bereiche in der Registry.
Machen wir das anders: Folge dem eScan in meiner Sig und klapper das ab.

gut, wird gemacht...

danke für deine geduld

schön gründlich das programm, feine sache!

hat so einiges gefunden...

#1 Mon Nov 20 01:54:11 2006 => File C:\WINDOWS\System32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.r" Virus!

#2 Mon Nov 20 01:54:18 2006 => Offending file found: C:\WINDOWS\System32\adservice.bat
Mon Nov 20 01:54:18 2006 => System found infected with zlob Trojan-Downloader (adservice.bat)!

#3 Mon Nov 20 01:54:52 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url
Mon Nov 20 01:54:52 2006 => System found infected with winfixer/errorsafe Adware (support.url)!

#4 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\setup1.exe
Mon Nov 20 01:54:54 2006 => System found infected with spyware.screenview Spyware/Adware (C:\WINDOWS\setup1.exe)!

#5 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\st6unst.exe
Mon Nov 20 01:54:54 2006 => System found infected with spyware.screenview Spyware/Adware (C:\WINDOWS\st6unst.exe)!

#6 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\System32\cmd.ftp
Mon Nov 20 01:54:54 2006 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (C:\WINDOWS\System32\cmd.ftp)!

#7 Mon Nov 20 02:38:54 2006 => File C:\Dokumente und Einstellungen\***\Eigene Dateien\intcodec-v6.180.exe infected by "Trojan-Downloader.Win32.Zlob.ain" Virus!

#8 Mon Nov 20 02:38:55 2006 => File C:\Dokumente und Einstellungen\Volker\Eigene Dateien\intcodec-v6.450.exe infected by "Trojan-Downloader.Win32.Zlob.aii" Virus!

#9 Mon Nov 20 04:19:41 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.r" Virus!


soll ich dateien nun wie du es in deinem (übrigens tollen) escan tutorial beschreibst mit killbox löschen?

und dann?

oder hätte ich sie schon im abgesicherten löschen sollen?

sp2 hab ich nun auch, soll ichs gleich oder danach aufspielen(ich tippe mal auf sofort ;] )


thx

hmm... dank deinem guten link komme ich zur erkenntnis, dass ich meinen rechner recht bald formatieren sollte

nur wie kann ich meine wichtigen daten sichern, ohne auch die sicherung zu kompromittieren?

Sichere nur wichtige Datendateien, keine ausführbaren. Die solltest Du gefahrlos in das neu aufgesetzte System einbinden können.