|
Plagegeister aller Art und deren Bekämpfung: Trojaner ZLOB Hartnäckiger als sonst was...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.08.2008, 15:37 | #1 |
| Trojaner ZLOB Hartnäckiger als sonst was... Hallooo mein erster treat hier und gleich mit nen hartnäckigen problem namens: zlob.trojan Ich hatte mich hier mal schlau gemacht was ich machen kann um ihn los zu werden aber was ich auch versucht habe... nichts klappte! Habe wie im forum beschrieben "smitfraudfix" und auch das andere system wo mir grad der name nicht einfällt... installiert und laufen lassen.. Mein Norton sagt mir als das ich den noch habe und norton ihn nicht entfernen kann.. Norton hat mir anhand eines textes erklärt wie ich den trojaner enfernen soll aber all die datein die ich löschen soll gibt es nicht! Mein rechner hat: XP-sp2, mein antivir ist von norton! und hier die rapports von "smitfraufix": der erste der nacht den scann gemacht worden ist: SmitFraudFix v2.338 Scan done at 0:18:21,98, 22.08.2008 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Process »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=" ,wbsys.dll" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Und der rapport ist nach den "Clear files" : SmitFraudFix v2.338 Scan done at 0:25:02,15, 22.08.2008 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Achsooo was mir einfällt wärend "Smit..." am scannen ist steht in dem blauen feld das der script host für den rechner deaktiviert wurde für den rechner und das ich mich an den Admin wenden solle!!!. Kann mir jemand noch tipps geben ausser das ich meinen rechner neu aufsetzten sollte??? Bin für jeden tipp dankbar. Danke für die kommenden hilfreichen antworten.
__________________ Wer Rechtschreibfehler findet, darf sie behalten!!! |
22.08.2008, 15:52 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner ZLOB Hartnäckiger als sonst was... Hallo und
__________________Acker diese Punkte für weitere Analysen ab: 1.) Poste ein Hijackthis Logfile. 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
22.08.2008, 16:15 | #3 |
| Trojaner ZLOB Hartnäckiger als sonst was... okay habe zwar null verstanden weil ich mich erst seit kurzem mit rechner befasse und ich so ein richtiger DAU bin aber werde mir mühe geben es zu machen wie beschrieben!
__________________meld mich wenn ich probs habe!! THX :aplaus: Hab mir die anleitung wie ich vorgehen muss durch gelesen aber wie bitte schalte ich "Norton ab und wieder an??? Sorry falls es pipifaz einfach ist aber ich kenn mich nicht so aus und von daher weis ich nicht wie es geht! Auch wieder danke für eure hilfe..
__________________ Geändert von der-jack (22.08.2008 um 16:35 Uhr) |
22.08.2008, 16:46 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner ZLOB Hartnäckiger als sonst was... Normalerweise läßt sich jeder Virenscanner über die gleiche Art und Weise abschalten: Du zeigs auf das Symbol neben der Uhrzeit, klickst mit Rechts an und sagst deaktivieren (sinngemäß) - sollte sich auch im Hauptmenü so einstellen lassen. Ansonsten: RTFM (Read The F..ing Manual )
__________________ Logfiles bitte immer in CODE-Tags posten |
22.08.2008, 16:55 | #5 |
| Trojaner ZLOB Hartnäckiger als sonst was... *LOL* Naja klingt logisch und simpel aber da es so ein online dingsbums von 1und1 ist, also das norton, hab ich kein Manuals.. Auf die idee bin ich ja auch schon gekommen aber habe nichts der gleichen... naja im notfall muss ich wohl bei 1und1 anrufen und mir des erklären lassen ausser jemand verrät mir auch das... Und nein ihr lieben ihr müsst mich nicht bei der hand nehmen.. die schulter tuts auch...*grinsel* Mal schauen, sobal ich wieder daheim bin werde ich versuchen es nach der detailierten anleitung mein trojaner zu kicken.. Ehrlich danke für die schnelle hilfe!
__________________ Wer Rechtschreibfehler findet, darf sie behalten!!! |
25.08.2008, 11:10 | #6 |
| Trojaner ZLOB Hartnäckiger als sonst was... Hier meine Loggs: http://www.file-upload.net/download-...84234.log.html http://www.file-upload.net/download-...kthis.log.html http://www.file-upload.net/download-...bofix.txt.html http://www.file-upload.net/download-...6-30-.txt.html http://www.file-upload.net/download-...3/mbr.log.html So hab alle loggs verlinkt, hoffe ihr könnt mir weiter helfen, denn nach dem ich alles so gemacht hab wie es in der anleitung steht habe ich mein norton laufen lassen und der hat den "kleinen drecksack" wieder gefunden! Muss ich meine systemwiederherstellung aktivieren oder soll ich sie aus lassen??? THX
__________________ --> Trojaner ZLOB Hartnäckiger als sonst was... |
30.08.2008, 14:16 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner ZLOB Hartnäckiger als sonst was... Sry, Dein Strang ist untergegangen... Werd mich da in Küze drum kümmern.
__________________ Logfiles bitte immer in CODE-Tags posten |
31.08.2008, 18:57 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner ZLOB Hartnäckiger als sonst was... So, nochmal bitte das listing (letzter Punkt in meinen ersten Posting in diesem Strang) und ein neues HijackThis Logfile, nimm dazu diese umbenannte hijackthis.exe
__________________ Logfiles bitte immer in CODE-Tags posten |
14.09.2008, 22:04 | #9 |
| Trojaner ZLOB Hartnäckiger als sonst was... THX ROOT, hier die combofix: http://www.file-upload.net/download-1112618/log2.txt.html und hier die HJT: http://www.file-upload.net/download-1112620/hijackthis3.log.html (Was liest du denn daraus?? ich sehen da zahlen und und nummern mir sagt sowas leider nix!)
__________________ Wer Rechtschreibfehler findet, darf sie behalten!!! |
15.09.2008, 11:54 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner ZLOB Hartnäckiger als sonst was... Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gkmixern.sys
__________________ Logfiles bitte immer in CODE-Tags posten |
16.09.2008, 18:57 | #11 |
| Trojaner ZLOB Hartnäckiger als sonst was... welche datein soll ich auswerten lassen??? habe jetzt in den ordneroptionen alles so geändert wie du es gesagt hast! auch die suche ist umgestellt-- Aber was für dateien soll ich auswewrtem lasen??? sorry aber ich bin nicht so der "Könner/versteher"
__________________ Wer Rechtschreibfehler findet, darf sie behalten!!! |
16.09.2008, 18:59 | #12 |
| Trojaner ZLOB Hartnäckiger als sonst was... Sorry aber ich verstehe nicht!
__________________ Wer Rechtschreibfehler findet, darf sie behalten!!! |
16.09.2008, 19:03 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner ZLOB Hartnäckiger als sonst was... Blind? Steht doch da C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gkmixern.sys
__________________ Logfiles bitte immer in CODE-Tags posten |
18.09.2008, 18:40 | #14 |
| Trojaner ZLOB Hartnäckiger als sonst was... So gefunden und gescannt.. Lustig was der mir sagt: "0 bytes size received / Se ha recibido un archivo vacio" Ist das richtig??? und hier was silentrunners sagt: http://www.file-upload.net/download-...45.31.txt.html
__________________ Wer Rechtschreibfehler findet, darf sie behalten!!! Geändert von der-jack (18.09.2008 um 18:52 Uhr) |
18.09.2008, 20:17 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner ZLOB Hartnäckiger als sonst was... Die Datei ist aber noch defintiv vorhanden? mach mal: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter files to delete: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gkmixern.sys
Schau dann mal im ordner c:\avenger nach einer backup.zip - die dann entpacken (falls der Virenscanner meckern sollte: ignorieren!!) und die entpackte gkmixern.sys nochmals versuchen bei Virustotal auszuwerten.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Trojaner ZLOB Hartnäckiger als sonst was... |
administrator, analysis, antivir, application, attention, desktop, einstellungen, enfernen, entfernen, generic, infected, löschen, malware, microsoft, neu, neu aufsetzten, problem, programme, registry, scan, smitfraudfix, software, system, temp, trojaner, userinit.exe, windows, windows xp, wärend, zlob |