Trojaner-Board - Wie kann Kann man den Virus W32/Zmist loswerden ?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wie kann Kann man den Virus W32/Zmist loswerden ? (https://www.trojaner-board.de/31834-man-virus-w32-zmist-loswerden.html)

Wie kann Kann man den Virus W32/Zmist loswerden ?

Hallo !

Diese Frage wurde schon mal von jemanden hier gestellt, aber
nicht beantwortet. Ist es vielleicht unmöglich diese Virus zu entfernen ?

AntiVir hat bei mir im Pfad D:\System Volume Information\_restore
{5C06D5E2-4FBC-4FCD-8464-ACB75B0E24F0}\RP17\A0012820.EXE
den Virus W32/Zmist gefunden, aber nicht löschen können.
Außerdem konnte die Datei C:\WIN386.SWP nicht geöffnet werden

Habe die .Exe manuell "gelöscht", dabei ist das System völlig überlastet
gewesen. Er treibt weiter sein Unwesen. Prozessorauslastung 100 Prozent,
er zieht sehr viel Speicher etc.

Kaspersky hat es nicht geschaft ihn zu finden, da er laut Google-
Suche permanent seine Struktur verändert und deshalb keine stabile
Signatur hat ( laienhaft formuliert).

GIbt es noch eine Rettung, was kann ich tun um W32/Zmist loszuwerden ?

Besten Dank und viele Grüße

Da tipp ich doch mal auf Fehlalarm. Wer hat das denn gemeldet?
Wenn du an die Datei herankommst, Pruefe sie bitte hier:
http://www.virustotal.com/en/indexf.html

Ansonsten einfach die Systemwiederherstellung deaktivieren und nach einem neustart wieder aktivieren:
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html

Zitat:

Zitat von araco

AntiVir hat bei mir im Pfad D:\System Volume Information\_restore
{5C06D5E2-4FBC-4FCD-8464-ACB75B0E24F0}\RP17\A0012820.EXE
den Virus W32/Zmist gefunden, aber nicht löschen können.

Wie mein Vorredner schon erwähnte, einfach die Systemwiederherstellung deaktivieren, neustarten und wieder aktivieren. Damit sollte der Schädling gelöscht werden ;)

Zitat:

Außerdem konnte die Datei C:\WIN386.SWP nicht geöffnet werden

Diese Datei (win386.swp) ist die Aulagerungsdatei von Windows. Sie wird als virtueller Arbeitsspeicher benutzt, wenn der reele Arbeitsspeicher voll ist.

Zitat:

Habe die .Exe manuell "gelöscht", dabei ist das System völlig überlastet
gewesen. Er treibt weiter sein Unwesen. Prozessorauslastung 100 Prozent,
er zieht sehr viel Speicher etc.

Welche Datei hast du gelöscht, die in dem System Volume Ordner?

Poste zusätzlich mal ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt!

Gruß
Sunny

Erstmal vielen Dank für die Hilfe !

Zum Thema Systemwiederherstellung. Ich habe Win 98 SE, da gehts wohl
nicht, oder ?

ZMist wurde von Antivir gefunden (konnte nicht richtig gelöscht werden ),
Zlob wurde von Spynomore entdeckt. Smitfrautfix kann ich nicht richtig herunterladen-Smitfrautfix.cmd ist nicht als Anwendung sichtbar, sondern nur als Datei im Explorer sichtbar und somit nicht ausführbar ( auch nicht im abgesicherten Modus). Ich vermute, dass ich mir die ganze Geschichte beim ET-Spielen gezogen habe (Quake3 -Engine)

Hier mein HijackThisfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:20:56, on 01.09.06
Platform: Windows 98 SE
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\SPYNOMORE\SNM.EXE
C:\PROGRAMME\SMARTSURFER\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\ZUBEHöR\WORDPAD.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SNM] C:\PROGRAMME\SPYNOMORE\SNM.EXE /startup
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [AVP] "C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0\AVP.EXE -r"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf%201: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll

Viele Grüsse

Ja das hast du wohl recht mit der Systemwiederherstellung! (glaube ich zumindest, ist lange her das ich Windows 98 nutzte!)

Lass mal folgende Datei bei Virustotal auswerten:

Zitat:

C:\WINDOWS\taskmon.exe

..einfach den Pfad im Link eintragen und absenden. Danach das Ergebnis (kann ein bisschen dauern!) markieren, kopieren und hier in einen Beitrag einfügen!
(normalerweise deutet diese Datei/Eintrag im Hijacklog, auf einen Trojaner hin)
Wenn ich mich aber recht entsinne, könnte dies unter WIN98 ein Systemprozess sein...wir werden es ja sehen!

Gruß
Sunny

Taskmon.exe ist wohl eine Systemdatei, hier der Scan:

Complete scanning result of "Taskmon.exe", received in VirusTotal at 09.02.2006, 01:54:26 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.01.2006 no virus found
Authentium 4.93.8 09.01.2006 no virus found
Avast 4.7.844.0 09.01.2006 no virus found
AVG 386 09.01.2006 no virus found
BitDefender 7.2 09.01.2006 no virus found
CAT-QuickHeal 8.00 08.31.2006 no virus found
ClamAV devel-20060426 09.01.2006 no virus found
DrWeb 4.33 09.01.2006 no virus found
eTrust-InoculateIT 23.72.113 09.01.2006 no virus found
eTrust-Vet 30.3.3056 09.01.2006 no virus found
Ewido 4.0 09.01.2006 no virus found
Fortinet 2.77.0.0 09.02.2006 no virus found
F-Prot 3.16f 09.01.2006 no virus found
F-Prot4 4.2.1.29 09.01.2006 no virus found
Ikarus 0.2.65.0 09.01.2006 no virus found
Kaspersky 4.0.2.24 09.02.2006 no virus found
McAfee 4843 09.01.2006 no virus found
Microsoft 1.1560 09.01.2006 no virus found
NOD32v2 1.1735 09.01.2006 no virus found
Norman 5.90.23 09.01.2006 no virus found
Panda 9.0.0.4 09.01.2006 no virus found
Sophos 4.09.0 09.01.2006 no virus found
Symantec 8.0 09.02.2006 no virus found
TheHacker 5.9.8.203 09.01.2006 no virus found
UNA 1.83 09.01.2006 no virus found
VBA32 3.11.1 09.01.2006 no virus found
VirusBuster 4.3.7:9 09.01.2006 no virus found

Aditional Information
File size: 28672 bytes
MD5: 885126928b28bcaa93e1ed7e132db33f
SHA1: fd6ca4d9634f78037a381575298bcf6d7327902e

Ach ja, vor der Anwendung von Smitrem hat Spynomore bei mir diesen Zlob Trojaner in C:\Windows\Wupdmgr.exe gefunden.

Nach der Anwendung von Smitrem war die Wupdmgr.exe weg (gelöscht ?).

Nach der Anwendung von Smitrem hat Spynomore bei mir in der Regedit den
Trojaner Smitfraud.c gefunden,. ich habe den Wert gelöscht.

Danach hat Spybot keine Trojaner gefunden. Keine Ahnung , wie zuverlässig
Spynomore arbeitet und ob das Entfernungsprogramm SmitfraudFix nicht
für einen Trojaner gehalten wurde. Wie schon gesagt, ich kann SmitfraudFix
nicht vollständig runterladen und ausführen. Und das System ist weiterhin instabil.

Dies mal so als Zwischenstand.

Viele Grüsse