Trojaner-Board - zlob.downloader

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - zlob.downloader (https://www.trojaner-board.de/48670-zlob-downloader.html)

So. Nach vielen Googlen und hin und her , hab ich mich entschlossen mich mal anzumelden. Wie im Titel beschrieben habe ich mir den zlob.downloader durch eine "cracks" seite eingefangen.

Da ich schon danach gegoogelt habe, kam ich auch auf den smitfraudFix. den habe ich ausgeführt im abgesicherten modus jedoch ohne erfolg. also beim ausführen kam das problem das er , als er die infizierten dateien löschen wollte einen fehler hatte, irgendwas er könne den pfad nicht finden. nachdem ich also den smitfraudfix weniger erfolgreich ausgeführt hatte hab ich nochmal einene scan mit spybot durchgeführt und er zeigt mir immer noch den zlob.downloader an. heißt also er ist immer noch da :/

hier ist meine hijack logfile

Code:

Logfile of HijackThis v1.99.1

Scan saved at 09:06:48, on 25.01.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\LVCOMSX.EXE

F:\Vm Workstation\vmware-tray.exe

F:\Vm Workstation\hqtray.exe

C:\Programme\Logitech\Video\CameraAssistant.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\Programme\ICQ6\ICQ.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINDOWS\system32\vmnat.exe

C:\WINDOWS\system32\vmnetdhcp.exe

F:\Vm Workstation\vmware-authd.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Programme\Spybot - Search & Destroy\SpybotSD.exe

C:\Programme\hijackthis\HijackThis.exe
 

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: The elfwgps - {CF4C34FE-2275-45EC-8C7E-2594CC1811A5} - C:\WINDOWS\elfwgps.dll (file missing)

O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [vmware-tray] F:\Vm Workstation\vmware-tray.exe

O4 - HKLM\..\Run: [VMware hqtray] "F:\Vm Workstation\hqtray.exe"

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKCU\..\Run: [MsnMsgr] REM "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [Steam] REM "e:\steam\steam.exe" -silent

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: aswmklt - {6F0A0F8F-FC8F-4CAC-9FAE-B1E73AC16565} - C:\WINDOWS\aswmklt.dll

O21 - SSODL: bqxomdo - {619B50E8-3E9A-409C-98CD-2D4CB12C5F91} - C:\WINDOWS\bqxomdo.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - F:\Vm Workstation\vmware-ufad.exe" -d "F:\Vm Workstation\\" -s ufad-p2v.xml (file missing)

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Vm Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Vielen dank schonmal für die Hilfe im Vorraus.

Hi,

gehe auf die Seite *VirusTotal*, und lasse dort folgende Dateien prüfen. Danach bitte die Berichte hier posten!

Zitat:

C:\WINDOWS\bqxomdo.dll

C:\WINDOWS\aswmklt.dll

Dogen

Der Hinweis von 11Boy11 ist völlig korrekt, aber durch Deine "Löschaktion" mit Smitfraud bezweifel ich, ob ein Ergebnis angezeigt wird.....aber Versuch macht kluch. ;)

Du könntest danach mal dieses Tool versuchen:

http://www.trojaner-board.de/48485-e...tml#post317256 Quelle: Post von myrtille vom 20.01.08 hier im TB

Allerdings: Keine Gewähr auf Entfernung des Schädlings. Zlob ist so wandlungsfähig, daß die einzig sichere Lösung format C: bedeutet. Aber poste mal mögliche Ergebnisse, dann sehen wir weiter.

Mh, das alles schon durchgearbeitet? Zlob entfernung..

vielen dank schonmal für die antworten.

habe die zwei oben geschriebenen dateien gescannt.

die C:\WINDOWS\bqxomdo.dll scheint bei mir nicht zu existieren.

und hier ist der log von der anderen datei:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.1.26.10        2008.01.25        -

AntiVir        7.6.0.53        2008.01.25        -

Authentium        4.93.8        2008.01.25        -

Avast        4.7.1098.0        2008.01.25        Win32:Zlob-APQ

AVG        7.5.0.516        2008.01.25        Downloader.Zlob.TE

BitDefender        7.2        2008.01.25        -

CAT-QuickHeal        9.00        2008.01.25        -

ClamAV        0.91.2        2008.01.25        -

DrWeb        4.44.0.09170        2008.01.25        -

eSafe        7.0.15.0        2008.01.16        -

eTrust-Vet        31.3.5484        2008.01.25        -

Ewido        4.0        2008.01.25        -

FileAdvisor        1        2008.01.25        -

Fortinet        3.14.0.0        2008.01.25        -

F-Prot        4.4.2.54        2008.01.25        -

F-Secure        6.70.13260.0        2008.01.25        -

Ikarus        T3.1.1.20        2008.01.25        Virus.Win32.Agent.LTS

Kaspersky        7.0.0.125        2008.01.25        -

McAfee        5215        2008.01.24        -

Microsoft        1.3109        2008.01.25        Adware:Win32/SmitFraud

NOD32v2        2823        2008.01.25        -

Norman        5.80.02        2008.01.24        -

Panda        9.0.0.4        2008.01.25        -

Prevx1        V2        2008.01.25        -

Rising        20.28.41.00        2008.01.25        -

Sophos        4.25.0        2008.01.25        -

Sunbelt        2.2.907.0        2008.01.25        -

Symantec        10        2008.01.25        -

TheHacker        6.2.9.197        2008.01.25        -

VBA32        3.12.2.5        2008.01.21        -

VirusBuster        4.3.26:9        2008.01.25        -

Webwasher-Gateway        6.6.2        2008.01.25        -

weitere Informationen

File size: 294912 bytes

MD5: 6c47dca354cf2fc79030fcdf0c6457ce

SHA1: cadc4780d6e9f38c1cf5452c469b3c86ea82e110

PEiD: -

scheint also noch infiziert sein die datei.

Hab mir auch den RVAXO runtergeladen, und ausgeführt..jedoch mit null ergebnis.

Code:

---RVAXO.exe Updated: 2008-01-25---first run--- 

Files found: 

C:\WINDOWS\aswmklt.dll 

 

Uninstallers Rogue scanners: 

 

 

Folders Found: 

 

 

Hosts-file was reset, If you use a custom hosts file please replace it... 

 

--------------RVAXO.exe last run--------------- 

 

Files found: 

 

Folders Found: 

 

--------------RVAXO.exe finished----------------

vielen dank im vorraus.

Dogen

Edit, haste ja schon versucht, hab's überlesen. *******

Meine Meinung: Formatiere die Kiste und gut ist. Das hat den unschätzbaren Vorteil, daß Du wieder ein vertrauenswürdiges System hast! (sonfern Du keine Datensicherung vom infizierten System betreibst!)

Melde Dich bitte noch mal, wie Du weiter verfahren willst.

formatieren wär für mich die letzte möglichkeit.

wie sieht es aus mit mp3s etc. ist es sicher mp3s , filme, videos zu sichern, oder kann sich auch darin der trojaner verbergen?

Es kann schon sein, dass er 'all Deine MP3-Dateien infiziert hat - muss aber nicht.

Bitte --> System neuaufsetzen mit anschließender absicherung

Hallo

Zitat:

Es kann schon sein, dass er 'all Deine MP3-Dateien infiziert hat

Quelle?

@Dogen mach doch mal alle versteckten Dateien und Ordner sichtbar wenn nicht schon geschehen.

Dann erstelle mal ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

sowie mit Combofix

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG

Dogen

Zitat:

wie sieht es aus mit mp3s etc. ist es sicher mp3s , filme, videos zu sichern, oder kann sich auch darin der trojaner verbergen?

Nein, ist nicht sicher, und ja, theoretisch kann sich ein Schädling dort verbergen. Du hast 2 Möglichkeiten, eine Datensicherung zu machen:

1.) alle Dateiendungen sichtbar machen

http://xs223.xs.to/xs223/08046/ordne...416.jpg.xs.jpg Quelle: sicher-ins-netz.info - So schützen Sie Ihr System richtig

Dann kannst Du Texte, Bilder, MP3-Files und Videos sichern. Aber keine ausführbaren Dateien, und auch keine Programm- oder Installationsdateien.

2.) Sicherung mit einer Live-CD vornehmen:

Downloads - ubuntuusers Wiki

Voraussetzung: 2. sauberer und schneller Internetzugang (da knapp 700 MB)

.iso-Datei auf CD brennen und von CD booten, dann kannst Du unter Ubuntu Datensicherung betreiben.

Unterschiede der beiden Methoden:

1.) schneller und weniger aufwändig, aber nicht sicher
2.) das Gegenteil von 1.)

Zitat:

formatieren wär für mich die letzte möglichkeit.

Kann ich verstehen, ist Deine Entscheidung!

hallo miteinander.

hat sich wohl überkreuzt. beim zweiten scan, aber mit dem aktuellen update von vor ein paar tagen ist er weg. kann man nicht zum ort springen oder verwechsle ich das mit avg?