| |
| |||||||
Log-Analyse und Auswertung: Zlob/Smitfraud trojaner sauber entfernt?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.03.2008, 16:24
| #1 |
| |  Zlob/Smitfraud trojaner sauber entfernt? Hatte seit vorgestern einen Virus, durch den ich ständig System Alert Fehlermeldungen bekam, in der stand dass mein System infiziert ist und ich mir antispyware software downloaden können sllte wenn ich unten auf ok klicke. Anschließend hatte ich 3 neue Verknüpfungen für Antispyware Programme auf meinem Desktop. Außerdem hatte ich ständig ein rotes Symbol mit rotem X in der Taskleiste. Der Virus hat mir auch den Taskmanager deaktiviert. Habe dann mal Spybot upgedatet und der hat dann Smitfaud-C. und 2 Zlob Einträge gefunden. Habe diese entfernt und die suche mehrmals durchlaufen lassen. Anschließend habe ich Kaspersky suchen lassen und alle funde desinfiziert. Bericht von Kaspersky: Code:
ATTFilter gelöscht: schädliches Programm not-virus:Hoax.Win32.ComputerSchock Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Fun\geil.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\_is31.exe
gefunden: potentiell gefährliche Software Trojan.generic Prozess: C:\WINDOWS\ie7\spuninst\ieResetIcons.exe
gefunden: Adware not-a-virus:AdWare.Win32.Agent.zk URL: h**p://www.fastmp3player.com/affiliates/772465/1/PLAY_MP3.exe//PE_Patch.UPX//UPX
gefunden: potentiell gefährliche Software Hidden install Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\TXo8u01w.exe
gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\WINDOWS\explorer.exe
gefunden: potentiell gefährliche Software Hidden install Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rchQ0zPI.exe
gefunden: potentiell gefährliche Software Hidden install Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ArC7OBho.exe
gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\WINDOWS\Explorer.EXE
gelöscht: Adware not-a-virus:AdWare.Win32.Vapsup.cas Datei: C:\WINDOWS\apdqnxp.dll
gelöscht: trojanisches Programm Trojan-Dropper.Win32.Agent.fbe Datei: C:\WINDOWS\Installer\{9dac79d1-e0b3-45c3-bd73-289c9c5fef0e}\CheckAvp.dll
gelöscht: Adware not-a-virus:AdWare.Win32.Vapsup.caq Datei: C:\WINDOWS\dkxrstqnog.dll
gelöscht: Adware not-a-virus:AdWare.Win32.Vapsup.cav Datei: C:\WINDOWS\fqspogw.exe
gelöscht: trojanisches Programm Trojan-Dropper.Win32.Agent.fbe Datei: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\mso11.exe
gelöscht: trojanisches Programm Trojan-Dropper.Win32.Agent.fbe Datei: C:\Programme\antiviirus.exe
gelöscht: trojanisches Programm Trojan-Dropper.Win32.Agent.fbe Datei: C:\Programme\instaler.exe
gelöscht: trojanisches Programm Trojan-Dropper.Win32.Agent.fbe Datei: C:\Programme\tmp4139812.exe
gelöscht: trojanisches Programm Trojan-Dropper.Win32.Agent.fbe Datei: C:\WINDOWS\Installer\{cdee7609-b3cb-4675-a2eb-b651d96c1c5f}\zip.dll
gelöscht: trojanisches Programm Trojan-Dropper.Win32.Agent.fbe Datei: C:\WINDOWS\Installer\{fce20cc6-c1fd-4b92-b722-75d077a49247}\AlrtRunOnce.dll
Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 16:19:18, on 05.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\JMRaidTool.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{001EE42F-023A-4C34-84CA-A427AD52E862}: NameServer = 217.237.149.142 217.237.150.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{001EE42F-023A-4C34-84CA-A427AD52E862}: NameServer = 217.237.149.142 217.237.150.205 O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe Geändert von ManuelB (05.03.2008 um 16:53 Uhr) |
| Themen zu Zlob/Smitfraud trojaner sauber entfernt? |
| ad-aware, adobe, adware, alert, antispyware, einstellungen, entfernt?, excel, firefox, fraud, helper, hijack, hijackthis, internet, internet explorer, kaspersky, logfile, mozilla, mozilla firefox, object, shockwave, software, system, taskmanager, trojaner, trojanisches programm, virus, windows, windows xp, zlob |
Baum-Darstellung