Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Zlob: Noch reste auf dem Comp oder bin ich ihn los?? (https://www.trojaner-board.de/41245-zlob-noch-reste-comp-ihn-los.html)

AlexM 23.07.2007 19:33
Zlob: Noch reste auf dem Comp oder bin ich ihn los??
 
Ich hatte mir den Trojan-Downloader zlob eingefangen, habe smitfraudfix laufen lassen und im Anschluß einen Online-check mit Kaspersky laufen lassen. Folgende Dateien wurden dabei gefunden:
win32.zlob.bov
win32.zlob.btq
win32.zlob.bwv
Adware.win32.agent.cu
win32.zlob.abw
win32.zlob.bvj
win32.zlob.btq
win32.zlob.abw
win32.zlob.abw
Habe diese mit Kaspersky Anti-Virus 7.0 gelöscht.
Ist mein System jetzt wieder sauber oder habe ich immer noch Reste von diesem Trojaner( oder noch anderen Mist) bei mir drinhängen?

Hier noch die log.file von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:12, on 23.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SilverCrest Combo Set Driver\MouseDrv.exe
C:\Program Files\SilverCrest Combo Set Driver\PS2USBKbdDrv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\ScanWizard 5\ScannerFinder.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\Program Files\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D61D7E1A-6613-49CA-B6F9-51DB248E209D} - C:\Program Files\Security Tools\iesplg.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\SilverCrest Combo Set Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\SilverCrest Combo Set Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Program Files\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 6840 bytes

und die File von Smitfraudfix:

SmitFraudFix v2.205

Scan done at 21:27:22,54, 21.07.2007
Run from I:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b8b3850e-a22e-43ab-a15e-63f6e47db7e6}"="clamourers"

[HKEY_CLASSES_ROOT\CLSID\{b8b3850e-a22e-43ab-a15e-63f6e47db7e6}\InProcServer32]
@="C:\WINDOWS\system32\tkrsw.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b8b3850e-a22e-43ab-a15e-63f6e47db7e6}\InProcServer32]
@="C:\WINDOWS\system32\tkrsw.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\tkrsw.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\tkrsw.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOCUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOCUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\DOCUME~1\HAPPYR~1\FAVORI~1\Online Security Test.url Deleted
C:\Program Files\VirusProtectPro 3.4\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Vielen, lieben Dank für Eure Hilfe schonmal im voraus!

Sunny 23.07.2007 19:44
Hallo und http://www.world-of-smilies.com/wos_...hilder1020.gif im Trojaner Board!


Also nach Durchsicht des Hijacklogs bzw. den Report von SmitfraudFix, kann ich dir nur mitteilen das eigentlich alles gelöscht sein sollte/müsste.

Aber mach zur Sicherheit nochmal einen eScan, dauert zwar etwas, ist aber recht gründlich. ;)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.


Gruß :daumenhoc
Sunny

AlexM 23.07.2007 22:15
So, jetzt mach ich mir mal doch ernsthaft Sorgen; eScan hat 25 Viren gefunden!!
Hier der Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOCUME~1\HAPPYR~1\LOCALS~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "atgames Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "atgames Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\System Volume Information\_restore{631D11CA-A3A9-4CE7-A837-77B8FDFC2ABB}\RP107\A0028189.exe markiert als "not-a-virus:FraudTool.Win32.VirusProtectPro.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\desktop\internet.lnk
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\blub my documents\uacontents\templates\1.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\blub my documents\uacontents\templates\2.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\wm_happy_rotter my documents\uacontents\templates\1.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\wm_happy_rotter my documents\uacontents\templates\2.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\xda neo\mydocs\uacontents\templates\1.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\xda neo\mydocs\uacontents\templates\2.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\wm_happy_rotter my documents\uacontents\templates\1.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\wm_happy_rotter my documents\uacontents\templates\2.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\desktop\internet.lnk
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\blub my documents\uacontents\templates\1.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\blub my documents\uacontents\templates\2.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\wm_happy_rotter my documents\uacontents\templates\1.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\wm_happy_rotter my documents\uacontents\templates\2.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\xda neo\mydocs\uacontents\templates\1.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\my documents\xda neo\mydocs\uacontents\templates\2.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\wm_happy_rotter my documents\uacontents\templates\1.dat
Offending file found: C:\Documents and Settings\Happy Rotter\My Documents\wm_happy_rotter my documents\uacontents\templates\2.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\favorites\at-games
Offending Folder found: C:\Documents and Settings\Happy Rotter\My Documents\happy rotter\favorites\at-games
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Documents and Settings\Happy Rotter\My Documents\Happy Rotter\My Documents\SanAn-Zeuch\sanan_PLUS27Trainer.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Documents and Settings\Happy Rotter\My Documents\Happy Rotter\My Documents\XDA Neo\Progs\wisbaradv2.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Program Files\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 102035
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 42
Dauer des Scans bisher: 01:56:40
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:06:44,71
Batchende: 23:06:49,53


Was kann ich tun??? Ich bekomme langsam die Befürchtung, daß ich an einem Neuaufsetzen meines Systems kaum noch herumkomme:heulen:

Franz1968 24.07.2007 12:15
Zitat:
Zitat von AlexM (Beitrag 281999)
So, jetzt mach ich mir mal doch ernsthaft Sorgen; eScan hat 25 Viren gefunden!!
Ja, eScan übertreibt schon mal...
Zitat:
File C:\System Volume Information\_restore{631D11CA-A3A9-4CE7-A837-77B8FDFC2ABB}\RP107\A0028189.exe markiert als "not-a-virus:FraudTool.Win32.VirusProtectPro.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Diesen Eintrag bekommst du wie folgt weg: Deaktiviere die Systemwiederherstellung, starte deinen Rechner neu und aktiviere sie wieder.
Zitat:
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Diese drei Dateien sind Überreste von Smitfraudfix.

Zu den Einträgen, die mit "happy rotter" in Verbindung stehen, kann ich allerdings nichts sagen.
Ein Neuaufsetzen dürfte dir allerdings erspart bleiben. :)

AlexM 24.07.2007 12:55
Also, erstmal herzlichen Dank für die schnellen Antworten:aplaus:
Muß/Soll ich die drei Datenreste von Smitfraudfix auch löschen?
Und kann ich mich ansonsten wieder sicher auf meinem System fühlen und davon ausgehen das ich wieder frei von Trojanern/Backdoors bin?

Franz1968 24.07.2007 13:25
Backdoors? :eek: Welche Backdoors?

Es gibt keine Garantie dafür, dass dein System jetzt (wieder) sauber ist. Nicht auszuschließen, dass Zlob bisher unbekannte Malware nachgeladen hat, die sich jetzt auf deinem System breit macht.
Wer hundertprozentige Sicherheit will oder braucht, sollte nach so gut wie jedem Malware-Befall über ein sauberes Neuaufsetzen nachdenken. Aber es ist nicht unbedingt das Mittel, dass bei Zlob empfohlen wird.

AlexM 24.07.2007 13:34
habe in Zusammenhang mit zlob in einigen Forenbeiträgen über evtl. Backdoors gelesen bzw die Wahrscheinlichkeit das bei einem Befall welche eingerichtet worden sein könnten. Habe mein System direkt nach Befall vom Netz abgeklemmt, mußte aber für den OnlineScan durch Kaspersky natürlich wieder online, gleiches gilt für eScan. Der Scan durch Kaspersky hat immerhin über 2 Std gedauert. Ich will also nur wissen wie hoch die Möglichkeit ist, daß während des Scans der Trojaner noch aktiv war und jemand dadurch eine backdoor auf meinem System eingerichtet haben könnte. Bin etwas paranoid seit ich so manchen Beitrag im Zusammenhang mit zlob gelesen habe.

AlexM 24.07.2007 16:29
Schon klar, daß es keine 100%ige Sicherheit gibt. Aber kann ich mein System jetzt wieder guten Gewissens für Onlinebanking, Zahlungen per Kreditkarte im Netz und ähnliches verwenden?
Oder muß ich dann Angst haben, daß mein Konto dann irgendwann einfach leer ist?

Franz1968 24.07.2007 16:43
Zitat:
Zitat von AlexM
habe in Zusammenhang mit zlob in einigen Forenbeiträgen über evtl. Backdoors gelesen bzw die Wahrscheinlichkeit das bei einem Befall welche eingerichtet worden sein könnten.
Dass im Zusammenhang mit Zlob eine "erhöhte" Gefahr dafür bestünde, dass Backdoors eingerichtet werden, wäre mir neu.
Mehr kann ich dazu guten Gewissens nicht sagen. Tut mir leid, wenn ich dir keine befriedigendere Antwort geben kann.

AlexM 24.07.2007 17:11
Herzlichen Dank trotzdem für deine Bemühungen:daumenhoc .
Werde sicherheitshalber doch lieber noch mein gesamtes System plattmachen.
Im Zweifelsfall lieber die übertrieben vorsichtige Variante.

Franz1968 24.07.2007 17:13
Es ist deine Entscheidung, aber: Darüber würde ich noch eine Nacht schlafen wollen.

AlexM 24.07.2007 20:01
Um mir bei der Entscheidung auch halbwegs sicher zu sein, les ich mich seit geraumer Zeit durch den thread" Systembereinigung oder gleich formatieren?"
Aber wenn ich das bis jetzt richtig sehe, hat zlob als trojan-downloader prinipiell eine Backdoor-Funktionalität,oder?


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131