Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Zlob Befall - alles beseitigt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.07.2008, 18:37   #1
bookoo
 
Zlob Befall - alles beseitigt? - Standard

Zlob Befall - alles beseitigt?



Hallo User,

ich hatte heute Mittag einen Absturz, der, wie ich später festgestellt habe, durch einen Zlob ausgelöst wurde. Nach einigem Suchen hab ich erst Spybot laufen lassen, dann AntiVir suchen lassen, dann Malwarebytes scannen lassen und schließlich diesen Thread in diesem Forum hier gefunden (Vielen Dank für diese Anleitung). Das habe ich dann alles befolgt, das dort verlinkte SmitfraudFix im abgesichterten Modus gestartet und nun sieht meine Windwos-Oberfläche wieder ganz normal aus.

Irgendwie habe ich immer noch etwas Bauchdrücken, darum meine Frage, ob nun alles wieder sauber ist. Im Folgenden der Malwarebytes-Scan-Log (vor dem Nutzen von SmitfraudFix) und der HijackThis-Log (nach dem Nutzen von SmitfraudFix):

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2

18:49:50 06.07.2008
mbam-log-7-6-2008 (18-49-43).txt

Scan Art: Komplett Scan (C:\|E:\|G:\|)
Objekte gescannt: 142233
Scan Dauer: 3 hour(s), 1 minute(s), 14 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 12
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{fa27719b-dc6e-4a34-b21f-ff74910cb5d4} (Trojan.Zlob) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0011903-00101) -> No action taken.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\okmdepgb.dll (Trojan.Zlob) -> No action taken.
         

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:37, on 06.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe
C:\Programme\MirandaFusion\miranda32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Opera 9.50\opera.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu2D5\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu2D5\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: QXK Olive - {8663655C-F6D4-4520-859E-67008902A889} - C:\WINDOWS\kgqfweltmrg.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu2D5\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mRouterConfig] "C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"
O4 - HKCU\..\Run: [Miranda IM] C:\Programme\MirandaFusion\miranda32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7814 bytes
         
Vielen Dank für eure Zeit und fürs drüberschauen

bookoo.

Alt 06.07.2008, 18:42   #2
EasyMick
 
Zlob Befall - alles beseitigt? - Standard

Zlob Befall - alles beseitigt?



Sieht alles in ordnung aus dies solltest du aber fixxen:
O2 - BHO: QXK Olive - {8663655C-F6D4-4520-859E-67008902A889} - C:\WINDOWS\kgqfweltmrg.dll (file missing)

Ist irgendein Unnötiger eintrag der auch nicht Bewirkt.
__________________

__________________

Alt 06.07.2008, 18:44   #3
bookoo
 
Zlob Befall - alles beseitigt? - Standard

Zlob Befall - alles beseitigt?



Danke, das hört sich gut an.

Den hier C:\WINDOWS\kgqfweltmrg.dll einfach löschen?
__________________

Alt 06.07.2008, 18:47   #4
EasyMick
 
Zlob Befall - alles beseitigt? - Standard

Zlob Befall - alles beseitigt?



Ja einfach löschen.
Wenn du dir unsicher bist mach ein Backup ^^
__________________
Für mich der beste schutz Kaspersky Internet Secruity 2009.!

Alt 06.07.2008, 19:02   #5
bookoo
 
Zlob Befall - alles beseitigt? - Standard

Zlob Befall - alles beseitigt?



Hmm, nur... da in C:Windows gibts diese Datei nicht !?


Alt 06.07.2008, 19:07   #6
EasyMick
 
Zlob Befall - alles beseitigt? - Standard

Zlob Befall - alles beseitigt?



Wenn du es nicht findest Fixx es doch einfach mit HijackThis =) ist genau das selbe.Vll ist die datei versteckt deswegen siehst du es nicht
__________________
--> Zlob Befall - alles beseitigt?

Alt 06.07.2008, 19:12   #7
myrtille
/// TB-Ausbilder
 
Zlob Befall - alles beseitigt? - Standard

Zlob Befall - alles beseitigt?



Wurde die Datei vielleicht von Antivir oder Spybot bereits vorher gelöscht?

(file missing) deutet in der Regel darauf hin, dass die Datei nicht mehr vorhanden ist, was auch erklärt, warum Smitfraudfix die Datei und den Eintrag nicht entfernt hat.
Malwarebytes hat die Datei auch nicht gesehen.

Außerdem versucht HijackThis bei den O2-Einträgen auch die entsprechende Datei zu löschen, wenn du also den Eintrag fixt und die Datei noch existiert, sollte diese auch gelöscht werden.

my2cents

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 06.07.2008, 19:12   #8
bookoo
 
Zlob Befall - alles beseitigt? - Standard

Zlob Befall - alles beseitigt?



Okay, hab ich mit HijackThis gefixed.... Merci

Gut, da kann ich ja jetzt beruhigt in meinem Urlaub gehen

Vielen Dank euch beiden!!

Geändert von bookoo (06.07.2008 um 19:23 Uhr)

Antwort

Themen zu Zlob Befall - alles beseitigt?
absturz, adobe, antivir, antivirus, application, avira, bho, desktop, disk director, einstellungen, excel, explorer, frage, google, hijack, hijack.drives, hijack.startmenu, hkus\s-1-5-18, internet, internet explorer, launch, logfile, malwarebytes' anti-malware, nodrives, opera, prozesse, registrierungsschlüssel, scan, software, system, tuneup.defrag, urlsearchhook, vielen dank, virus, virus alert, virus alert!, windows xp, zlob




Ähnliche Themen: Zlob Befall - alles beseitigt?


  1. Win 7: Hatte Chimera Ransomware Befall, ist jetzt wieder alles "sicher" ?
    Log-Analyse und Auswertung - 07.10.2015 (11)
  2. Acer Windows 7-Rechner * Befall von Viren und Trojanern? * Antivir Rescue CD beseitigt Viren/Trojanernicht
    Plagegeister aller Art und deren Bekämpfung - 14.12.2014 (15)
  3. octett stream (Paypal) - habe ich nun alles beseitigt?
    Log-Analyse und Auswertung - 08.02.2014 (3)
  4. Nach "System Fix" Entfernung nicht sicher ob alles beseitigt wurde
    Log-Analyse und Auswertung - 06.12.2011 (22)
  5. Nach Befall von TR/Kazy.mekml.1 alles wieder sauber?
    Log-Analyse und Auswertung - 27.05.2011 (59)
  6. Problem mit TR/fakesysdef.b - nicht sicher ob alles beseitigt wurde
    Plagegeister aller Art und deren Bekämpfung - 02.02.2011 (2)
  7. Befall von TR/Dldr.Zlob.jbl und TR/Agent.238080.J
    Plagegeister aller Art und deren Bekämpfung - 25.01.2010 (1)
  8. Malware Defense/Security Alert --->Alles beseitigt?
    Plagegeister aller Art und deren Bekämpfung - 11.01.2010 (8)
  9. Alles beseitigt??CPU OK?? win32.TDDS.rtk/win32.TDDS.reg
    Log-Analyse und Auswertung - 31.08.2009 (1)
  10. Nach Trojaner-Befall System neu aufgesetzt - Wieder alles sauber?
    Mülltonne - 14.12.2008 (0)
  11. Antivir2008 Befall - Jetzt wieder alles save?!
    Log-Analyse und Auswertung - 11.08.2008 (2)
  12. alles beseitigt?
    Log-Analyse und Auswertung - 30.07.2008 (2)
  13. Rechner nach Zlob Befall: Kasparsky Log + HiJack This Log
    Log-Analyse und Auswertung - 17.02.2008 (1)
  14. ich hab nen downloader zlob.aagr welches gratis programm beseitigt das problem
    Log-Analyse und Auswertung - 27.09.2007 (1)
  15. Trojaner Befall - weder Antivir, Search&Destroy noch Ad aware können alles beseitige
    Log-Analyse und Auswertung - 13.10.2006 (10)
  16. Trojaner Befall - weder Antivir, Search&Destroy noch Ad aware können alles beseitige
    Log-Analyse und Auswertung - 11.10.2006 (1)
  17. Befall durch TR/Crypt.F.Gen, TR/Dldr.Zlob.afw, TR/Zlob.ZU sowie TR/Agent
    Log-Analyse und Auswertung - 27.09.2006 (1)

Zum Thema Zlob Befall - alles beseitigt? - Hallo User, ich hatte heute Mittag einen Absturz, der, wie ich später festgestellt habe, durch einen Zlob ausgelöst wurde. Nach einigem Suchen hab ich erst Spybot laufen lassen, dann AntiVir - Zlob Befall - alles beseitigt?...
Archiv
Du betrachtest: Zlob Befall - alles beseitigt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.