So. Nach vielen Googlen und hin und her , hab ich mich entschlossen mich mal anzumelden. Wie im Titel beschrieben habe ich mir den zlob.downloader durch eine "cracks" seite eingefangen.

Da ich schon danach gegoogelt habe, kam ich auch auf den smitfraudFix. den habe ich ausgeführt im abgesicherten modus jedoch ohne erfolg. also beim ausführen kam das problem das er , als er die infizierten dateien löschen wollte einen fehler hatte, irgendwas er könne den pfad nicht finden. nachdem ich also den smitfraudfix weniger erfolgreich ausgeführt hatte hab ich nochmal einene scan mit spybot durchgeführt und er zeigt mir immer noch den zlob.downloader an. heißt also er ist immer noch da :/

hier ist meine hijack logfile

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 09:06:48, on 25.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
F:\Vm Workstation\vmware-tray.exe
F:\Vm Workstation\hqtray.exe
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
F:\Vm Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: The elfwgps - {CF4C34FE-2275-45EC-8C7E-2594CC1811A5} - C:\WINDOWS\elfwgps.dll (file missing)
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [vmware-tray] F:\Vm Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "F:\Vm Workstation\hqtray.exe"
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKCU\..\Run: [MsnMsgr] REM "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] REM "e:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: aswmklt - {6F0A0F8F-FC8F-4CAC-9FAE-B1E73AC16565} - C:\WINDOWS\aswmklt.dll
O21 - SSODL: bqxomdo - {619B50E8-3E9A-409C-98CD-2D4CB12C5F91} - C:\WINDOWS\bqxomdo.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - F:\Vm Workstation\vmware-ufad.exe" -d "F:\Vm Workstation\\" -s ufad-p2v.xml (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Vm Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
         

Vielen dank schonmal für die Hilfe im Vorraus.

Hi,

gehe auf die Seite *VirusTotal*, und lasse dort folgende Dateien prüfen. Danach bitte die Berichte hier posten!

Zitat:

C:\WINDOWS\bqxomdo.dll

C:\WINDOWS\aswmklt.dll

Dogen

Der Hinweis von 11Boy11 ist völlig korrekt, aber durch Deine "Löschaktion" mit Smitfraud bezweifel ich, ob ein Ergebnis angezeigt wird.....aber Versuch macht kluch.

Du könntest danach mal dieses Tool versuchen:

http://www.trojaner-board.de/48485-e...tml#post317256 Quelle: Post von myrtille vom 20.01.08 hier im TB

Allerdings: Keine Gewähr auf Entfernung des Schädlings. Zlob ist so wandlungsfähig, daß die einzig sichere Lösung format C: bedeutet. Aber poste mal mögliche Ergebnisse, dann sehen wir weiter.

Mh, das alles schon durchgearbeitet? Zlob entfernung..

vielen dank schonmal für die antworten.

habe die zwei oben geschriebenen dateien gescannt.

die C:\WINDOWS\bqxomdo.dll scheint bei mir nicht zu existieren.

und hier ist der log von der anderen datei:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.1.26.10	2008.01.25	-
AntiVir	7.6.0.53	2008.01.25	-
Authentium	4.93.8	2008.01.25	-
Avast	4.7.1098.0	2008.01.25	Win32:Zlob-APQ
AVG	7.5.0.516	2008.01.25	Downloader.Zlob.TE
BitDefender	7.2	2008.01.25	-
CAT-QuickHeal	9.00	2008.01.25	-
ClamAV	0.91.2	2008.01.25	-
DrWeb	4.44.0.09170	2008.01.25	-
eSafe	7.0.15.0	2008.01.16	-
eTrust-Vet	31.3.5484	2008.01.25	-
Ewido	4.0	2008.01.25	-
FileAdvisor	1	2008.01.25	-
Fortinet	3.14.0.0	2008.01.25	-
F-Prot	4.4.2.54	2008.01.25	-
F-Secure	6.70.13260.0	2008.01.25	-
Ikarus	T3.1.1.20	2008.01.25	Virus.Win32.Agent.LTS
Kaspersky	7.0.0.125	2008.01.25	-
McAfee	5215	2008.01.24	-
Microsoft	1.3109	2008.01.25	Adware:Win32/SmitFraud
NOD32v2	2823	2008.01.25	-
Norman	5.80.02	2008.01.24	-
Panda	9.0.0.4	2008.01.25	-
Prevx1	V2	2008.01.25	-
Rising	20.28.41.00	2008.01.25	-
Sophos	4.25.0	2008.01.25	-
Sunbelt	2.2.907.0	2008.01.25	-
Symantec	10	2008.01.25	-
TheHacker	6.2.9.197	2008.01.25	-
VBA32	3.12.2.5	2008.01.21	-
VirusBuster	4.3.26:9	2008.01.25	-
Webwasher-Gateway	6.6.2	2008.01.25	-
weitere Informationen
File size: 294912 bytes
MD5: 6c47dca354cf2fc79030fcdf0c6457ce
SHA1: cadc4780d6e9f38c1cf5452c469b3c86ea82e110
PEiD: -
         

scheint also noch infiziert sein die datei.

Hab mir auch den RVAXO runtergeladen, und ausgeführt..jedoch mit null ergebnis.

Code: Alles auswählenAufklappen

ATTFilter

---RVAXO.exe Updated: 2008-01-25---first run--- 
Files found: 
C:\WINDOWS\aswmklt.dll 
 
Uninstallers Rogue scanners: 
 
 
Folders Found: 
 
 
Hosts-file was reset, If you use a custom hosts file please replace it... 
 
--------------RVAXO.exe last run--------------- 
 
Files found: 
 
Folders Found: 
 
--------------RVAXO.exe finished----------------
         

vielen dank im vorraus.

Dogen

Edit, haste ja schon versucht, hab's überlesen. *******

Meine Meinung: Formatiere die Kiste und gut ist. Das hat den unschätzbaren Vorteil, daß Du wieder ein vertrauenswürdiges System hast! (sonfern Du keine Datensicherung vom infizierten System betreibst!)

Melde Dich bitte noch mal, wie Du weiter verfahren willst.

formatieren wär für mich die letzte möglichkeit.

wie sieht es aus mit mp3s etc. ist es sicher mp3s , filme, videos zu sichern, oder kann sich auch darin der trojaner verbergen?

Es kann schon sein, dass er 'all Deine MP3-Dateien infiziert hat - muss aber nicht.

Bitte --> System neuaufsetzen mit anschließender absicherung

Hallo

Zitat:

Es kann schon sein, dass er 'all Deine MP3-Dateien infiziert hat

Quelle?

@Dogen mach doch mal alle versteckten Dateien und Ordner sichtbar wenn nicht schon geschehen.

Dann erstelle mal ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

sowie mit Combofix

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG

Dogen

Zitat:

wie sieht es aus mit mp3s etc. ist es sicher mp3s , filme, videos zu sichern, oder kann sich auch darin der trojaner verbergen?

Nein, ist nicht sicher, und ja, theoretisch kann sich ein Schädling dort verbergen. Du hast 2 Möglichkeiten, eine Datensicherung zu machen:

1.) alle Dateiendungen sichtbar machen

Quelle: sicher-ins-netz.info - So schützen Sie Ihr System richtig

Dann kannst Du Texte, Bilder, MP3-Files und Videos sichern. Aber keine ausführbaren Dateien, und auch keine Programm- oder Installationsdateien.

2.) Sicherung mit einer Live-CD vornehmen:

Downloads - ubuntuusers Wiki

Voraussetzung: 2. sauberer und schneller Internetzugang (da knapp 700 MB)

.iso-Datei auf CD brennen und von CD booten, dann kannst Du unter Ubuntu Datensicherung betreiben.

Unterschiede der beiden Methoden:

1.) schneller und weniger aufwändig, aber nicht sicher
2.) das Gegenteil von 1.)

Zitat:

formatieren wär für mich die letzte möglichkeit.

Kann ich verstehen, ist Deine Entscheidung!

hallo miteinander.

hat sich wohl überkreuzt. beim zweiten scan, aber mit dem aktuellen update von vor ein paar tagen ist er weg. kann man nicht zum ort springen oder verwechsle ich das mit avg?