Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wie gehe ich mit der infizierung um?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.03.2008, 13:34   #1
Kaschper
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



Hallo, bin leider ein totaler Anfänger und Neuling in sachen Pc. Habe heute morgen AVG Virus scan durchgeführt und bekomme jetzt die anzeige Trojaner horse downloader.Zlob ABQ. Um was handelt es sich und wie löse ich dieses problem? reicht es die schaltfläche "wipe Objects" zu benutzen? Habe im internet versucht mich schlau zu machen, bin jedoch sehr verwirrt worden auf den verschiedensten seiten.
Wie kann ich mir so etwas eingefangen haben?

Ich bitte um nachsicht, wenn es sich nur um eine banale sache handelt...

Gruß

Alt 06.03.2008, 13:39   #2
boston
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



hallo kaschper,
lade dir hier bitte
http://www.trendsecure.com/portal/en...HiJackThis.exe
hijackthis herunter, nenne die HiJackThis.exe in abc.exe um,

dann
- do a system scan and save a logfile
und dann poste das log hier.

der zlob kommt gerne mit video-codecs, keygens etc.
__________________


Alt 06.03.2008, 14:18   #3
Revspy
Gast
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



Also generell sind zlobs da um entfernte Dateien auf den infizierten Computer zu laden und im Internet Explorer die Such und Startseite umzuleiten.
Die zlobs werden häufig per Email Anhang verschickt, aber auch im html und javascript auf den entsprechenden Webseiten implementiert.

Ich denke mal du hast einfach auf der falschen Webseite gesurfed.

Gruß Revspy
__________________

Alt 06.03.2008, 16:38   #4
Clermont-Ferrand
Gast
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



Zitat:
Zitat von Kaschper Beitrag anzeigen
....... Habe heute morgen AVG Virus scan durchgeführt und bekomme jetzt die anzeige Trojaner horse downloader.Zlob ABQ. Um was handelt es sich und wie löse ich dieses problem? reicht es die schaltfläche "wipe Objects" zu benutzen?
Wie kann ich mir so etwas eingefangen haben?

Ich bitte um nachsicht, wenn es sich nur um eine banale sache handelt...

Gruß
Zu Deinen Fragen:

1.) bei Zlob handelt es sich um das hier:

http://www.trojaner-board.de/30411-a...-von-zlob.html -> *Bereinigung* äußerst schwierig, eher unmöglich

2.) 100%ig sicher lösen kannst Du es nur durch format C:, und nein, es reicht nicht, die Schaltfläche "wipe Objects" zu benutzen, das wäre zu einfach

3.) Du hast es Dir nicht *eingefangen* sondern aktiv installiert, durch einen Video-Codec, den Du geladen und ausgeführt hast

4.) kein Ding, jeder hat mal angefangen, und Zlob ist nicht banal.....

Aber um Klarheit zu bekommen, befolge bitte den Hinweis von boston, bitte vor dem Posten des Logfiles persönliche Daten editieren, der Link hierzu steht in meiner Signatur!

Alt 06.03.2008, 21:06   #5
Kaschper
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



Hallo! Boston, Revspy und Clermont-Ferrand: Danke für eure antworten/hilfe! Hoffe das ich soweit alles korrrekt bisher gemacht habe. unten der scan...
Das heißt kann das erst mal so in AVG unter bericht liegen lassen...
Installiert durch video-codec?? Wieder SORRY für die unwissenheit aber habe mir wissentlich nichts irgendwie an video oder so runtergeladen... Nur mal ich glaube flashplayer/toolbar oder so.
Was bewirkt dieses installierte programm? und bereinigen unmöglich??

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:37:33, on 06.03.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\***\Desktop\abc.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sp/*h**p://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.unitymedia.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.unitymedia.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.unitymedia.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von UnityMedia
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe


Alt 07.03.2008, 00:48   #6
Clermont-Ferrand
Gast
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



Du hast zumindest Spyware auf Deinem Rechner, lade bitte die folgene Datei bei VirusTotal hoch und poste das Ergebnis aller Scanner:

Code:
ATTFilter
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
         
Die fett markierte Datei, vorher die Ordneroptionen konfigurieren:

-> Quelle: sicher-ins-netz.info - So schützen Sie Ihr System richtig

Der Link zu VirusTotal steht in meiner Signatur.

Alt 07.03.2008, 08:56   #7
Kaschper
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



Moin,

habe das bei virustotal versucht und datei gesendet... Kam aber nix raus..Nur: 0 bytes size received / Se ha recibido un archivo vacio
habe jetzt 2 ikon desktop.ini auf meinem desktop liegen.

das spyware programm hatte gestern zu vo: downloader.agent.ij erkannt den ich unter quarantäne gestellt habe mit avg...

Alt 07.03.2008, 15:48   #8
Clermont-Ferrand
Gast
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



Zitat:
Zitat von Kaschper Beitrag anzeigen
Moin,

habe das bei virustotal versucht und datei gesendet... Kam aber nix raus..Nur: 0 bytes size received / Se ha recibido un archivo vacio
habe jetzt 2 ikon desktop.ini auf meinem desktop liegen.

das spyware programm hatte gestern zu vo: downloader.agent.ij erkannt den ich unter quarantäne gestellt habe mit avg...
Wenn Du die Ordneroptionen vor dem Hochladen bei VirusTotal so konfiguriert hattest wie ich es beschrieb, und es trotzdem nicht geklappt hat (siehe Meldung) dann unterbindet der Schädling das Hochladen und Abscannen.

Zur Meldung von AVG:

Poste den entsprechenden Scan-Report, insbes. den genauen Pfad, in welchem der Schädling gefunden wurde, und den genauen, vollständigen Namen des Schädlings.

P. S.

Wie surfst Du eigentlich? Hast Du die UAC aktiv, und nutzt Du zusätzlich ein eingeschränktes Benutzerkonto?

Geändert von Clermont-Ferrand (07.03.2008 um 16:02 Uhr) Grund: P. S. nachgetragen

Alt 09.03.2008, 20:58   #9
Kaschper
 
Wie gehe ich mit der infizierung um? - Standard

Wie gehe ich mit der infizierung um?



Hallo!!

Ja hatte die Orneroptionen so eingestellt.
Der Name wie gesagt ist: Trojan horse Downloader.Zlob.ABQ
und wurde unter: C:\User\*MeinName*\AppData\Local\Temp
gefunden.

UAC??? Kann dir sagen das ich moillaFirefox verwende aber das war es dann für den blutigen Amateur wie mich...

Antwort

Themen zu Wie gehe ich mit der infizierung um?
anfänger, anzeige, avg, confused, durchgeführt, eingefangen, gefangen, handel, heute, horse, interne, internet, morgen, neuling, objects, problem, sache, sachen, scan, schlau, seite, totaler, troja, trojaner, versucht, virus




Ähnliche Themen: Wie gehe ich mit der infizierung um?


  1. Fenster Blinken, Maus lädt ständig und im Task Manager gehe die Anwendungen WerFault.exe, wermgr.exe, bcmwltry.exe an und aus
    Log-Analyse und Auswertung - 06.12.2014 (11)
  2. Pop-Ups ploppen auf wenn ich Webseiten gehe!
    Plagegeister aller Art und deren Bekämpfung - 20.11.2014 (4)
  3. In meinen Browser erscheinen beim Surfen unterstrichene Wörter und wenn ich drauf gehe erscheint ein Pop-Up
    Plagegeister aller Art und deren Bekämpfung - 20.06.2014 (18)
  4. Wie gehe ich richtig vor mit der Grundreinigung meines pc´s ?
    Plagegeister aller Art und deren Bekämpfung - 03.04.2014 (11)
  5. Ebenfalls DHL Spam Link geöffnet - Wie gehe ich auf Nummer sicher?
    Plagegeister aller Art und deren Bekämpfung - 20.01.2014 (5)
  6. Wie gehe ich vor mit Viren die ich in Karantene gesetzt habe bei Avira Antivirus?
    Log-Analyse und Auswertung - 20.11.2013 (1)
  7. Wenn ich auf Google gehe steht da : Attention Required !
    Log-Analyse und Auswertung - 04.05.2013 (10)
  8. Trojaner gefunden (Trojan.Spyeyes,Trojan.Agent.Gen...): wie gehe ich vor?
    Plagegeister aller Art und deren Bekämpfung - 25.02.2013 (11)
  9. Incredibar Trojaner löschen, wie gehe ich vor?
    Plagegeister aller Art und deren Bekämpfung - 06.10.2012 (27)
  10. MyStart Incredibar - wie gehe ich weiter vor?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (12)
  11. Gehe zum ersten neuen Beitrag Achtung ! Aus Sicherheitsgründen wurde ihr Windows-System gesperrt
    Plagegeister aller Art und deren Bekämpfung - 22.02.2012 (27)
  12. Gehe zum ersten neuen Beitrag Aus Sicherheitsgründen wurde ihr windows System blockiert (auf Windows
    Log-Analyse und Auswertung - 16.12.2011 (16)
  13. Trojaner/Virus wie gehe ich vor? Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 31.05.2009 (0)
  14. wenn ich ins battle net gehe steigt cpu auslastung auf 100% und bleibt
    Mülltonne - 13.09.2006 (0)
  15. wer kann mir bitte helfen mit hijack? wie gehe ich weiter vor?
    Log-Analyse und Auswertung - 19.07.2006 (3)
  16. Hilfe ich gehe unter...
    Log-Analyse und Auswertung - 31.10.2004 (2)

Zum Thema Wie gehe ich mit der infizierung um? - Hallo, bin leider ein totaler Anfänger und Neuling in sachen Pc. Habe heute morgen AVG Virus scan durchgeführt und bekomme jetzt die anzeige Trojaner horse downloader.Zlob ABQ. Um was handelt - Wie gehe ich mit der infizierung um?...
Archiv
Du betrachtest: Wie gehe ich mit der infizierung um? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.