Guten Morgen,

wie gesagt mit einem Image wäre es ja nicht getan! ISt das mit dem Avenger die einzige Möglichkeit wenn überhaupt den Virus zu beseitigen?

Gruß

Zitat:

wie gesagt mit einem Image wäre es ja nicht getan!

Deswegen sprach ich ja von einem Grundimage. Das auf die Rechner verteilen und evtl. Anpassungen vornehmen.

Zitat:

ISt das mit dem Avenger die einzige Möglichkeit wenn überhaupt den Virus zu beseitigen?

Nö, hat keiner gesagt. Aber mit dem Avenger kann man ganz gut (gesperrte) schädliche Objekte löschen. Wenn Du das nicht willst, kannst Du mit einer aktuellen Rescue-CD Dein Glück versuchen. Eine Garantie auf Schädlingsfreiheit oder gar Vertrauenswürdigkeit ist das alles aber nicht, dazu ist format c: notwendig.

Ok werd ich versuchen und bei Windows 2003 Server?

Ok wenn also nicht Avenger dann Rescue und sonst?
Was ist hier das Problem wenn bei jedem Neustart der Dienstname ein anderer ist (Registry) aber die .dll die gleiche?
Die .dll lässt sich mit dem Avenger nicht löschen! Was hat das mit der svchost.exe zu tun?

Log

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "csdsbg" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\csdsbg" deleted successfully.

Error:  file "C:\WINDOWS\system32\dlzlnti.dll" not found!
Deletion of file "C:\WINDOWS\system32\dlzlnti.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.


GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-03 08:28:21
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\schoenea.STW\LOKALE~1\Temp\pfryqaoc.sys


---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\senfilt.sys                                                           entry point in "init" section [0xB9620F80]
.text           C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          section is writeable [0xA8385000, 0x328BA, 0xE8000020]
.pklstb         C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          entry point in ".pklstb" section [0xA83C9000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                          unknown last section [0xA83E5000, 0x8E, 0x42000040]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                            TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                         tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                            snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                         tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                       tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                 [AUTO] zxfznlr                                                                                                                                                            <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr@DisplayName                                        Monitor Manager
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr@Type                                               32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr@Start                                              2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr@ErrorControl                                       0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr@ImagePath                                          %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr@ObjectName                                         LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr@Description                                        Erm?glicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr\Parameters                                         
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zxfznlr\Parameters@ServiceDll                              C:\WINDOWS\system32\dlzlnti.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr@DisplayName                                            Monitor Manager
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr@Type                                                   32
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr@Start                                                  2
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr@ErrorControl                                           0
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr@ImagePath                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr@ObjectName                                             LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr@Description                                            Erm?glicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden.
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr\Parameters (not active ControlSet)                     
Reg             HKLM\SYSTEM\ControlSet003\Services\zxfznlr\Parameters@ServiceDll                                  C:\WINDOWS\system32\dlzlnti.dll
         

Gruß

Zitat:

Die .dll lässt sich mit dem Avenger nicht löschen! Was hat das mit der svchost.exe zu tun?

Seit wann bist Du Admin? Man sollte schon in etwa wissen was die svchost.exe macht...
Besorg Dir ne Live-CD von einer Linux-Distro (Desktop-Install zB von Ubuntu oder PartedMagic), boote den befallenen PC und lösch die Datei C:\WINDOWS\system32\dlzlnti.dll - der Pfad sollte unter Linux /media/[name der c-partition]/WINDOWS/system32/dlzlnti.dll heißen, da Linux keine Laufwerksbuchstaben kennt.

Vielleicht falsch ausgedrückt was die svchost.exe macht ist klar aber wird die .dll über diesen Dienst mitgestartet und warum ist das so! Du bist doch hier der Virenexperte oder etwa nicht


vorheriger Beitrag:

Zitat:

Error: file "C:\WINDOWS\system32\dlzlnti.dll" not found!
Deletion of file "C:\WINDOWS\system32\dlzlnti.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Gruß

Ich versuchs nochmal mit OTLPE wenn das nix bringt mache ich mich ans Image :-)

Hilft es denn sich zukünftig sowas nicht mehr einzufangen wenn der Rechner Update und Virensignatur technisch aktuell ist oder müssen sonstige Vorkehrungen getroffen werden?

Gruß

Zitat:

Hilft es denn sich zukünftig sowas nicht mehr einzufangen wenn der Rechner Update und Virensignatur technisch aktuell ist oder müssen sonstige Vorkehrungen getroffen werden?

Backups? Eingeschränkte Rechte? Um nur zwei Dinge zu nennen...

Mhh das mit OTLPE klappt nicht der PC bootet zwar kann aber die OTLPE Applikation nicht auswählen!

- keine WIN32 Anwendung

Gruß

Dann wirds schwierig bis unmöglich.
Du kasperst da jetzt schon 2 Wochen herum, in der Zeit hätte man doch schon locker eine Kiste neu aufgesetzt und das "Grundimage" erstellen können!

Einen Versuch wage ich noch

Ich habe noch eine Datei gefunden und die mal bei Virustotal ausgewertet:

Datei dlz empfangen 2010.05.04 08:01:01 (UTC)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.04 -
AhnLab-V3 2010.05.04.00 2010.05.04 -
AntiVir 8.2.1.224 2010.05.03 TR/Drop.Softomat.AN
Antiy-AVL 2.0.3.7 2010.04.30 -
Authentium 5.2.0.5 2010.05.04 -
Avast 4.8.1351.0 2010.05.04 -
Avast5 5.0.332.0 2010.05.04 -
AVG 9.0.0.787 2010.05.03 -
BitDefender 7.2 2010.05.04 -
CAT-QuickHeal 10.00 2010.05.03 -
ClamAV 0.96.0.3-git 2010.05.04 -
Comodo 4758 2010.05.04 -
DrWeb 5.0.2.03300 2010.05.04 -
eSafe 7.0.17.0 2010.05.03 -
eTrust-Vet 35.2.7467 2010.05.04 Win32/Conficker
F-Prot 4.5.1.85 2010.05.03 -
F-Secure 9.0.15370.0 2010.05.04 Worm:W32/Downadup.EX
Fortinet 4.0.14.0 2010.05.03 -
GData 21 2010.05.04 -
Ikarus T3.1.1.80.0 2010.05.04 -
Jiangmin 13.0.900 2010.05.04 -
Kaspersky 7.0.0.125 2010.05.04 -
McAfee 5.400.0.1158 2010.05.04 -
McAfee-GW-Edition 6.8.5 2010.05.04 Trojan.Drop.Softomat.AN
Microsoft 1.5703 2010.05.04 -
NOD32 5083 2010.05.03 -
Norman 6.04.12 2010.05.03 -
nProtect 2010-05-04.01 2010.05.04 -
Panda 10.0.2.7 2010.05.03 -
PCTools 7.0.3.5 2010.05.04 -
Prevx 3.0 2010.05.04 -
Rising 22.46.01.01 2010.05.04 -
Sophos 4.53.0 2010.05.04 Mal/Conficker-A
Sunbelt 6258 2010.05.04 -
Symantec 20091.2.0.41 2010.05.04 -
TheHacker 6.5.2.0.275 2010.05.03 W32/Kido.gj
TrendMicro 9.120.0.1004 2010.05.04 -
VBA32 3.12.12.4 2010.05.03 -
ViRobot 2010.5.3.2301 2010.05.04 -
VirusBuster 5.0.27.0 2010.05.03 -

weitere Informationen
File size: 159140 bytes
MD5   : 7642c4fa5f55269b3d1664e303cef72b
SHA1  : 674511b36e55faafad8732ec62284a050e184fd7
SHA256: 1a2a971621ad653aea59ac341a520af6792790cf54394d16036055a46e4c7e03
TrID&nbsp;&nbsp;: File type identification<BR>VXD Driver (81.5%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (18.4%)
ssdeep: 3072:ktORhCkTeLvh+9j2oE2oG8maiOihpZ+MvyZXOgwWzrr6c:AORhCkf6qzaiOEpzvKwTc
sigcheck: publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<BR>-


Gruß

Ich hätte das Herumdoktorn sein lassen. Eine Kiste kann man ja noch so gerade bereinigen aber bei 15 hört der Spaß auf, v.a. weil es keinen allgemeingültigen Weg gibt, der für alle Rechner gleich ist.

Alles wird gut möchte wenigstens meinen PC ohne Neuinstallation bereinigt bekommen!
Was sagt also Virustotal und was kann ich tun?
Oder verweigerst du mir jetzt deine Hilfe?

Gruß

Was Virustotal sagt steht da doch. Aber Du hast nichtmal geschrieben welche Datei (kompletter Pfad) Du da ausgewertet hast. Ward as diese => C:\WINDOWS\system32\dlzlnti.dll ?

Das war die dlzlnti.ar die jetzt in system32 gefunden wurde! Die .dll ist weg!

P.S. Gibt es den Avenger auch für Windows 2003

Gruß

Zitat:

P.S. Gibt es den Avenger auch für Windows 2003

Anscheinend nicht: The Avenger is fully compatible with 32-bit Windows Vista, XP, and 2000. Please do not attempt to use it on any other operating system.

Aber Du kannst mit Live-CDs arbeiten (zB Linux oder das OTLPE) und darüber Dateien verschieben, umbenennen oder so.