Hallo, bin leider ein totaler Anfänger und Neuling in sachen Pc. Habe heute morgen AVG Virus scan durchgeführt und bekomme jetzt die anzeige Trojaner horse downloader.Zlob ABQ. Um was handelt es sich und wie löse ich dieses problem? reicht es die schaltfläche "wipe Objects" zu benutzen? Habe im internet versucht mich schlau zu machen, bin jedoch sehr verwirrt worden auf den verschiedensten seiten.
Wie kann ich mir so etwas eingefangen haben?

Ich bitte um nachsicht, wenn es sich nur um eine banale sache handelt...

Gruß

hallo kaschper,
lade dir hier bitte
http://www.trendsecure.com/portal/en...HiJackThis.exe
hijackthis herunter, nenne die HiJackThis.exe in abc.exe um,

dann
- do a system scan and save a logfile
und dann poste das log hier.

der zlob kommt gerne mit video-codecs, keygens etc.

Also generell sind zlobs da um entfernte Dateien auf den infizierten Computer zu laden und im Internet Explorer die Such und Startseite umzuleiten.
Die zlobs werden häufig per Email Anhang verschickt, aber auch im html und javascript auf den entsprechenden Webseiten implementiert.

Ich denke mal du hast einfach auf der falschen Webseite gesurfed.

Gruß Revspy

Zitat:

Zitat von Kaschper

....... Habe heute morgen AVG Virus scan durchgeführt und bekomme jetzt die anzeige Trojaner horse downloader.Zlob ABQ. Um was handelt es sich und wie löse ich dieses problem? reicht es die schaltfläche "wipe Objects" zu benutzen?
Wie kann ich mir so etwas eingefangen haben?

Ich bitte um nachsicht, wenn es sich nur um eine banale sache handelt...

Gruß

Zu Deinen Fragen:

1.) bei Zlob handelt es sich um das hier:

http://www.trojaner-board.de/30411-a...-von-zlob.html -> *Bereinigung* äußerst schwierig, eher unmöglich

2.) 100%ig sicher lösen kannst Du es nur durch format C:, und nein, es reicht nicht, die Schaltfläche "wipe Objects" zu benutzen, das wäre zu einfach

3.) Du hast es Dir nicht *eingefangen* sondern aktiv installiert, durch einen Video-Codec, den Du geladen und ausgeführt hast

4.) kein Ding, jeder hat mal angefangen, und Zlob ist nicht banal.....

Aber um Klarheit zu bekommen, befolge bitte den Hinweis von boston, bitte vor dem Posten des Logfiles persönliche Daten editieren, der Link hierzu steht in meiner Signatur!

Hallo! Boston, Revspy und Clermont-Ferrand: Danke für eure antworten/hilfe! Hoffe das ich soweit alles korrrekt bisher gemacht habe. unten der scan...
Das heißt kann das erst mal so in AVG unter bericht liegen lassen...
Installiert durch video-codec?? Wieder SORRY für die unwissenheit aber habe mir wissentlich nichts irgendwie an video oder so runtergeladen... Nur mal ich glaube flashplayer/toolbar oder so.
Was bewirkt dieses installierte programm? und bereinigen unmöglich??

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:37:33, on 06.03.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\***\Desktop\abc.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sp/*h**p://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.unitymedia.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.unitymedia.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.unitymedia.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von UnityMedia
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Du hast zumindest Spyware auf Deinem Rechner, lade bitte die folgene Datei bei VirusTotal hoch und poste das Ergebnis aller Scanner:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
         

Die fett markierte Datei, vorher die Ordneroptionen konfigurieren:

-> Quelle: sicher-ins-netz.info - So schützen Sie Ihr System richtig

Der Link zu VirusTotal steht in meiner Signatur.

Moin,

habe das bei virustotal versucht und datei gesendet... Kam aber nix raus..Nur: 0 bytes size received / Se ha recibido un archivo vacio
habe jetzt 2 ikon desktop.ini auf meinem desktop liegen.

das spyware programm hatte gestern zu vo: downloader.agent.ij erkannt den ich unter quarantäne gestellt habe mit avg...

Zitat:

Zitat von Kaschper

Moin,

habe das bei virustotal versucht und datei gesendet... Kam aber nix raus..Nur: 0 bytes size received / Se ha recibido un archivo vacio
habe jetzt 2 ikon desktop.ini auf meinem desktop liegen.

das spyware programm hatte gestern zu vo: downloader.agent.ij erkannt den ich unter quarantäne gestellt habe mit avg...

Wenn Du die Ordneroptionen vor dem Hochladen bei VirusTotal so konfiguriert hattest wie ich es beschrieb, und es trotzdem nicht geklappt hat (siehe Meldung) dann unterbindet der Schädling das Hochladen und Abscannen.

Zur Meldung von AVG:

Poste den entsprechenden Scan-Report, insbes. den genauen Pfad, in welchem der Schädling gefunden wurde, und den genauen, vollständigen Namen des Schädlings.

P. S.

Wie surfst Du eigentlich? Hast Du die UAC aktiv, und nutzt Du zusätzlich ein eingeschränktes Benutzerkonto?

Hallo!!

Ja hatte die Orneroptionen so eingestellt.
Der Name wie gesagt ist: Trojan horse Downloader.Zlob.ABQ
und wurde unter: C:\User\*MeinName*\AppData\Local\Temp
gefunden.

UAC??? Kann dir sagen das ich moillaFirefox verwende aber das war es dann für den blutigen Amateur wie mich...