Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojanische Pferd TR/Zlob.54528

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 23.05.2009, 20:53   #1
yamaha0207
 
Trojanische Pferd TR/Zlob.54528 - Icon32

Trojanische Pferd TR/Zlob.54528



Schönen guten Abend!
hoffe hier kann mir jemand helfen... absolutes neuland für mich son forum!
also habe mit Avira einen scan durchgeführt und dann wurde mir gesagt " Virus oder unerwünschtes programm gefunden
Trojanische Pferd TR/Zlob.54528

was tun ?

hier log file von HijackThis..... Bitte helft mir

danke schonmal für jede antwort!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:28:49, on 23.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\mmrtkrnl.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser.exe
C:\Users\mein Name\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Software4u-UpdateServer] D:\Programme\Office CleanUP 2008\Software4u.UpdateServer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Programme\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [wsgya] "c:\users\marco frindt\appdata\local\wsgya.exe" wsgya
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6051 bytes

Alt 23.05.2009, 21:12   #2
Angel21
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Hallo,

1. poste das Log von Avira Antivir mal hier rein.

(Auf das Avira Symbol - Rechts auf "Berichte" gehen - auf den Bericht wo er den Fund entdeckt hatte bitte Rechtsklick machen - Reportdatei anzeigen - dann erscheint eine Logdatei, diese bitte hier rein stellen).

2. du hast Navipromo drauf, erkennend an diesem Eintrag im HJT log:
Zitat:
O4 - HKCU\..\Run: [wsgya] "c:\users\marco frindt\appdata\local\wsgya.exe" wsgya
Was Navipromo eigentlich ist: Navipromo ist zurück

Starte Navilog mit Administratorrechten.
Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe
__________________

__________________

Alt 24.05.2009, 10:55   #3
yamaha0207
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Also bin nicht ganz der Profi auf solch einem Gebiet! versuch das mal alles so zu machen wie du/ihr mir das sagt!

Zitat:
1. poste das Log von Avira Antivir mal hier rein.
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 23. Mai 2009 18:44

Es wird nach 1413622 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ??????

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 27.04.2009 20:18:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 07:51:16
ANTIVIR3.VDF : 7.1.4.3 17920 Bytes 21.05.2009 07:51:16
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 20:18:55
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 15.05.2009 20:07:32
AESCN.DLL : 8.1.2.3 127347 Bytes 15.05.2009 20:07:31
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 08.05.2009 20:19:01
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 15.05.2009 20:07:31
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56
AEGEN.DLL : 8.1.1.44 348532 Bytes 15.05.2009 20:07:30
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 18:44:22
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 20:18:54
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 20:18:54

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 23. Mai 2009 18:44

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '97399' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPBackGround.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '59' Prozesse mit '59' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '43' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
D:\Programme\WebMediaPlayer\uninst.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.54528

Beginne mit der Desinfektion:
D:\Programme\WebMediaPlayer\uninst.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.54528
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a814a8c.qua' verschoben!


Ende des Suchlaufs: Samstag, 23. Mai 2009 21:10
Benötigte Zeit: 41:11 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

20197 Verzeichnisse wurden überprüft
208439 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
208436 Dateien ohne Befall
1028 Archive wurden durchsucht
2 Warnungen
3 Hinweise
97399 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Das weitere mit navilog1.exe folgt schnellstmöglich...... HOFFNUNG
Ach und ich hab mir das mal durchgelesen mit Navipromo, genau so ist das bei mir! es öffnen sich immer neue Fenster während ich im Netz bin! total Nervig!!!! Kann das auch noch mehr schaden anrichten?

Danke mfg
__________________

Alt 24.05.2009, 11:13   #4
Angel21
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Wir hoffen nicht, dass es noch mehr Schaden anrichten wird.
Poste das Log von Navilog, wenn Du es erledigt hast.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 24.05.2009, 20:18   #5
yamaha0207
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



So hab den scan durchgeführt...
Zitat:
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Search Navipromo version 3.7.7 began on 24.05.2009 at 20:35:45,17

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz )
BIOS : Ver 1.00PARTTBL
USER : Marco Frindt ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:69 Go (Free:28 Go)
D:\ (Local Disk) - NTFS - Total:69 Go (Free:50 Go)
E:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\marcof~1\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\Marco Frindt\AppData\Local\virtualstore\Program Files" ***



*** Search folders in "C:\Users\Marco Frindt\AppData\Local" ***




*** Search folders in "C:\Users\Marco Frindt\AppData\Roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\Marco Frindt\AppData\Local\Microsoft" *

* Scan in "C:\Users\Marco Frindt\AppData\Local\virtualstore\windows\system32" *

* Scan in "C:\Users\Marco Frindt\AppData\Local" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsgya"="\"c:\\users\\marco frindt\\appdata\\local\\wsgya.exe\" wsgya"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\Marco Frindt\AppData\Local\Microsoft" :


* In "C:\Users\Marco Frindt\AppData\Local\virtualstore\windows\system32" :


* In "C:\Users\Marco Frindt\AppData\Local" :

wsgya.dat found !
wsgya_nav.dat found !
wsgya_navps.dat found !
wsgya.bat found !
wsgya_navps.dat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 24.05.2009 at 20:49:56,61 ***

Zitat:
Inhalt kopieren und in Thread einfügen.

Und das andere hab ich nicht gefunden!!!!

mfg


Alt 24.05.2009, 20:22   #6
Angel21
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Navilog nochmal mit Option 2 durchlaufen lassen.
__________________
--> Trojanische Pferd TR/Zlob.54528

Alt 24.05.2009, 20:38   #7
yamaha0207
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Zitat:
Zitat von Angel21 Beitrag anzeigen
Navilog nochmal mit Option 2 durchlaufen lassen.
Navipromo Removal version 3.7.7 started on 24.05.2009 at 21:28:14,59

Fix running from C:\Program Files\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz )
BIOS : Ver 1.00PARTTBL
USER : Marco Frindt ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:69 Go (Free:28 Go)
D:\ (Local Disk) - NTFS - Total:69 Go (Free:54 Go)
E:\ (CD or DVD)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\Windows\System32" *


* Deletion in "C:\Users\Marco Frindt\AppData\Local\Microsoft" *


* Deletion in "C:\Users\Marco Frindt\AppData\Local\virtualstore\windows\system32" *


* Deletion in "C:\Users\Marco Frindt\AppData\Local" *



*** Deleting folders in "C:\Windows" ***


*** Deleting folders in "C:\Program Files" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Deleting folders in "C:\ProgramData" ***


*** Deleting folders in c:\users\marcof~1\appdata\roaming\micros~1\windows\startm~1\programs ***


*** Deleting folders in "C:\Users\Marco Frindt\AppData\Local\virtualstore\Program Files" ***


*** Deleting folders in "C:\Users\Marco Frindt\AppData\Local" ***


*** Deleting folders in "C:\Users\Marco Frindt\AppData\Roaming" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\Windows\Temp done !
Cleaning of C:\Users\MARCOF~1\AppData\Local\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\Windows\system32" *



* In "C:\Users\Marco Frindt\AppData\Local\Microsoft" *



* In "C:\Users\Marco Frindt\AppData\Local\virtualstore\windows\system32" *



* In "C:\Users\Marco Frindt\AppData\Local" *


wsgya.dat found !
Copy wsgya.dat done !
wsgya.dat deleted !

wsgya_nav.dat found !
Copy wsgya_nav.dat done !
wsgya_nav.dat deleted !

wsgya_navps.dat found !
Copy wsgya_navps.dat done !
wsgya_navps.dat deleted !

wsgya.bat found !
Copy wsgya.bat done !
wsgya.bat deleted !


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !


*** Search others known folders and files ***



*** Cleaning stage complete on 24.05.2009 at 21:33:18,62 ***

und schlimm? machst du das eigentlich privat?

Alt 24.05.2009, 20:45   #8
Angel21
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Meldet sich Avira noch?
Navipromo haben wir los.

Scanne nochmal mit Malwarebytes.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 25.05.2009, 18:51   #9
yamaha0207
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



also bisher keine Meldung mehr!!!
und im netz öffnen sich auch keine anderen seiten mehr!
aber noch bei Avira in Quarantäne?

Zitat:
Scanne nochmal mit Malwarebytes
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2176
Windows 6.0.6001 Service Pack 1

25.05.2009 12:21:14
mbam-log-2009-05-25 (12-21-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 180534
Laufzeit: 2 hour(s), 1 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 25.05.2009, 18:59   #10
Angel21
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Poste bitte eine Uninstall liste:
1. Öffne Hijackthis
2. Open the Misc Tool section
2. Open Uninstall manager
3. Save List
Logdatei hier rein kopieren.

Systemwiederherstellung in Vista deaktivieren:
Systemwiederherstellung deaktivieren unter Vista - Windows Vista Tipps Tricks Computer PC Hilfe
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 25.05.2009, 19:59   #11
yamaha0207
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office system
Activation Assistant for the 2007 Microsoft Office suites
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 7.0.8 - Deutsch
Adobe Shockwave Player
Agere Systems HDA Modem
Alice Software 4.9.2
Atheros WLAN Client
Audiograbber 1.83 SE
Avira AntiVir Personal - Free Antivirus
AVStation Now
Business Contact Manager für Outlook 2007 SP1
Business Contact Manager für Outlook 2007 SP1
Compatibility Pack for the 2007 Office system
DVD Suite
Easy Battery Manager
Easy Display Manager
Easy Network Manager 3.0
Easy SpeedUp Manager
Favorit
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
imagine digital freedom - Samsung
Malwarebytes' Anti-Malware
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office 2007 Primary Interop Assemblies
Microsoft Office Access MUI (German) 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Live Add-in 1.3
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Professional Hybrid 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Small Business Connectivity Components
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft SOAP Toolkit 2.0 SP2
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
Microsoft SQL Server Native Client
Microsoft SQL Server VSS Writer
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Navilog1 3.7.7
Play AVStation
PowerDVD
Pro Evolution Soccer 2009
RealPlayer
Realtek High Definition Audio Driver
Samsung Magic Doctor
Samsung Recovery Solution II
Samsung Update Plus
Samsung Update Plus
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB960003)
Security Update for Microsoft Office Excel 2007 (KB959997)
Security Update for Microsoft Office PowerPoint 2007 (KB957789)
Security Update for Microsoft Office Publisher 2007 (KB950114)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office Word 2007 (KB956358)
Synaptics Pointing Device Driver
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Outlook 2007 (KB952142)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Outlook 2007 Junk Email Filter (kb968503)
User Guide
VideoLAN VLC media player 0.8.6i
WIDCOMM Bluetooth Software 6.0.1.5000
Windows Live Anmelde-Assistent
WinRAR archiver
XMedia Recode 2.1.0.3

Warum Systemwiederherstellung ausschalten?

Alt 25.05.2009, 20:16   #12
Angel21
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Hallo,

Deinstalliere:
  • Adobe Reader 7.0.8 - Deutsch
  • Favorit (daher hast du dir Navipromo geholt)
  • Google Toolbar for Internet Explorer
  • Google Toolbar for Internet Explorer
  • Navilog1 3.7.7 (brauchen wir nicht mehr)

Installiere:
Adobe - Adobe Reader herunterladen - Alle Versionen

Fixen mit HJT:

Öffne Hijackthis -> Do a System scan only -> Markiere folgende Einträge (Haken davorsetzen):
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/actives.../as2stubie.cab
Lade dir den Regseeker

  • Klick auf Clean the registry
  • Klick auf OK
  • Warte bis er fertig gesucht hat
  • Klick auf Select => markiere nur die Grünen
  • Klick auf Action => Delete

Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen grünen gefunden werden.[/QUOTE]
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Geändert von Angel21 (25.05.2009 um 20:56 Uhr)

Alt 25.05.2009, 21:23   #13
yamaha0207
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



So bin schon bei!!!
aber Favorit kriege ich nicht runter!

Alt 25.05.2009, 21:38   #14
Angel21
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Öffne Hijackthis, gehe auf -> Open the Misc Tool Section -> Open Uninstall Manager -> markiere "Favorit" und gehe rechts auf "Delete this entry".
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 25.05.2009, 21:49   #15
yamaha0207
 
Trojanische Pferd TR/Zlob.54528 - Standard

Trojanische Pferd TR/Zlob.54528



Zitat:
Deinstalliere:
Adobe Reader 7.0.8 - Deutsch

Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Navilog1 3.7.7 (brauchen wir nicht mehr)

erledigt

Zitat:
Installiere:
Adobe - Adobe Reader herunterladen - Alle Versionen
erledigt

Zitat:
Fixen mit HJT:

Öffne Hijackthis -> Do a System scan only -> Markiere folgende Einträge (Haken davorsetzen):
gemacht-- und jetzt passiert da nichts weiter! oder dauert das länger? das bild ist jetzt weiß...

Zitat:
Lade dir den Regseeker
hab ich jetzt einmal durchlaufen lassen... werd ich jetzt wiederholen!

Zitat:
Öffne Hijackthis, gehe auf -> Open the Misc Tool Section -> Open Uninstall Manager -> markiere "Favorit" und gehe rechts auf "Delete this entry".
kann ich noch nicht machen, da ich nicht weiß ob nach dem Fixen mit HJT noch etwas passiert!

mfg danke für die gedult

Antwort

Themen zu Trojanische Pferd TR/Zlob.54528
adobe, agere systems, antivir, antivir guard, avg, avira, bho, defender, desktop, explorer, google, helper, hijack, internet, internet explorer, log, log file, pdf, programm, programme, scan, software, system, virus, vista, windows




Ähnliche Themen: Trojanische Pferd TR/Zlob.54528


  1. Trojanische Pferd TR/Obfuscate.XD.1
    Log-Analyse und Auswertung - 15.04.2012 (2)
  2. Trojanische Pferd
    Log-Analyse und Auswertung - 20.06.2010 (3)
  3. Trojanische Pferd TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 06.11.2008 (8)
  4. Trojanische Pferd TR/Trash.Gen
    Plagegeister aller Art und deren Bekämpfung - 28.08.2008 (1)
  5. Antivir-Fund: das Trojanische Pferd TR/Dldr.Zlob.AADO.5
    Log-Analyse und Auswertung - 25.07.2007 (2)
  6. Trojanische Pferd TR/Agent.anq.5 Trojanische Pferd TR/Crypt.FKM.Gen Trojanische Pfe
    Log-Analyse und Auswertung - 18.06.2007 (1)
  7. Trojanische Pferd TR/Drop.Zlob.PU.1
    Plagegeister aller Art und deren Bekämpfung - 02.11.2006 (6)
  8. Trojanische Pferd TR/Dldr.Zlob.DQ
    Plagegeister aller Art und deren Bekämpfung - 01.02.2006 (6)
  9. Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde!
    Plagegeister aller Art und deren Bekämpfung - 24.01.2006 (27)
  10. Was nun das Trojanische Pferd TR/Rootkit.L ist da
    Plagegeister aller Art und deren Bekämpfung - 16.07.2005 (2)
  11. Trojanische Pferd TR/Rootkit.L
    Plagegeister aller Art und deren Bekämpfung - 07.07.2005 (8)
  12. Trojanische Pferd TR/Cleaner.A
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (3)
  13. Trojanische Pferd TR StartPage.qr.DLL
    Log-Analyse und Auswertung - 20.02.2005 (0)
  14. Trojanische Pferd TR/StartPage.lj
    Log-Analyse und Auswertung - 21.01.2005 (4)
  15. Trojanische Pferd TR/AClck
    Log-Analyse und Auswertung - 28.12.2004 (9)
  16. Trojanische Pferd TR/Dldr.Ist.CA !!! NEU help
    Plagegeister aller Art und deren Bekämpfung - 20.11.2004 (1)
  17. Trojanische Pferd TR/Dia ??
    Plagegeister aller Art und deren Bekämpfung - 12.01.2004 (2)

Zum Thema Trojanische Pferd TR/Zlob.54528 - Schönen guten Abend! hoffe hier kann mir jemand helfen... absolutes neuland für mich son forum! also habe mit Avira einen scan durchgeführt und dann wurde mir gesagt " Virus oder - Trojanische Pferd TR/Zlob.54528...
Archiv
Du betrachtest: Trojanische Pferd TR/Zlob.54528 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.