WinXP: Trojan-Downloader.win32.zlob.dwk - Probleme mit Beseitigung

Mache bitte ein logfile mit hijackthis und poste es hier!

Download:
http://www.chip.de/downloads/c1_downloads_24575647.html

Klick:"Do a System scan and save Logfile"
Den text aus em Editor Komplett hier rein kopieren OHNE veränderungen!
 

So also ich hab jetz den HiJack geladen auf nen Stick gezogen und bin zu dem betroffenen pc. Er kann den Stick auslesen doch man kann ja keine Programme ausführen oder installieren.

Kann ja auch nicht ins inet weil kein inet-explorer oder Firefox funzt.

Bitte um weitere Hilfe! 

System neu aufsetzen und in Zukunft mehr Beschäftigung mit Sicherheitssoftware und VOR ALLEM mit dem eigenen Browser.

Jeder User hier hat viele Tools und Helfer, aber ist nicht in der Lage, sich mit seinem Browser zu beschäftigen.

Warum eigentlich?

Benenne Hijackthis um in Hijackthis.com
und versuche ob es dann klappt.

gruß deniz
 

Null Chance.

Sag doch nicht,im vorhinein "keine chance" 

also @ R.G. es ist Kaspersky 6.0 drauf was soll ich mich mehr mit Antivirprogrammen beschäftigen? Oo

gut danke ersguterjunge Hat geklappt mit der umbenennung auf .com

Nun hier der Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:47:11, on 26.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Video Add-on\isfmntr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\WinSuite\strtfx.exe
C:\Programme\WinSuite\sndml.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Video Add-on\isfmm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
E:\HiJackThis202.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {B499D34E-58EF-4927-AB9F-7AF52B2C4C82} - C:\Programme\Video Add-on\isfmdl.dll
O3 - Toolbar: IE Custom Tools - {6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16} - C:\Programme\Video Add-on\ictmdl.dll (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [strtfx] C:\Programme\WinSuite\strtfx.exe
O4 - HKLM\..\Run: [sndml] C:\Programme\WinSuite\sndml.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} (Java Plug-in 1.4.2_06) -
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Was meint ihr dazu??

 

Was "wir" dazu meinen?

Sieht sch....ade aus.

Was meinst DU denn??
Denn was man nutzt, sollte man auch auswerten können!

Warum traust Du eigentlich externen Auswertern?

Glaubst Du mir, wenn ich schreibe, es schaut gut aus???

ja also du musst deinen Senf nich dazugeben @ R.G. Ich will nur wissen wie ich das Ding wieder wegbekomme... -.-

Es hat was mit der .exe zu tun:
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Video Add-on\isfmntr.exe

Aber wie ich sie wieder vom System bekomme weiß ich eben nicht. Geht ja nicht um die Auswertung das kann ich soweit auch nachvollziehen.

 

Ok, ich gebe meinen Senf nicht dazu, wie gewünscht.

So eine simple Klamotte entferne ich persönlich aus der Registy.

Wenn Du dazu nicht in der Lage bist, suche einen Kenner auf.

Hallo,
folge diesem Link :http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html

dort steht was zu tun ist.


 

So eine simple Klamotte entferne ich persönlich aus der Registy.

Ach ja... aus der Registry...
Aber nur mit dem großen Maul...
Einen auf wichtig machen ist ja okay,wenn man Grund dazu hat...Bei dir liegt der Verdacht eines aufgeblasenen Wichtigtuers aber sehr viel näher...Deine technischen Äußerungen sind nicht von Sachverstand geprägt...

@Faba
Kennst du Google ?
Frag den doch mal nach "Zlob".Ich tippe auf grob Hunderttausend Einträge dazu...
Ein wenig Eigenleistung sollte man schon bringen ...
Sir Reklov

Ich denke, SIR (lol) Du hast hier das größte Maul.

Pass auf, daß es Dir nicht mal einer stopft.

Da nutzt Dir auch Dein Anon nichts mehr, denn Deine Adresse ist mir bereits bekannt. Es gibt noch andere Admins, die Dir gerne einen reinwürgen.

 

Geh wieder in das Loch aus dem du gekrochen bist.RG

Um mir was reinzuwürgen braucht es Männer und keine Memmen wie dich... du Lutscher

Sir Reklov,

der gerne mit und auf Pfeifen spielen würde,wenn sie denn mal kämen...

Sir Reklov
Gast  Re: WinXP: Trojan-Downloader.win32.zlob.dwk - Probleme mit Beseitigung
« Antwort #13 am: Heute, 18:22:56 » 
 
 

--------------------------------------------------------------------------------


Geh wieder in das Loch aus dem du gekrochen bist.RG

Um mir was reinzuwürgen braucht es Männer und keine Memmen wie dich...  du Lutscher

Sir Reklov,

der gerne mit und auf Pfeifen spielen würde,wenn sie denn mal kämen...   
 
 
--------------------------------------------------------

Ja, oute Dich ruhig weiter, die Admins freuen sich.
 

Gerade frisch von anderen Admins:

Strafanzeigen wegen Beleidigung, Hausfriedensbruch, üble Nachrede, Verleumdung.

Wann gehst Du in den Knast?
Ist nur eine Frage der Zeit.
Und hier tobst Du Dich auch nicht mehr lange aus.

Du bist fällig.
 

R.G übertreib nicht!!!
Sir Reklov hat oft recht!!!

Oh gott eh so geht dass ja noch nicht mal zwischen HELP und Sir Reklov ab .lol!

 

@ Fabo   hier
findest du das programm avenger
geht einfach zu bedienen (steht alles auf der website)

@jinx kannst du auch was anders als bei jedem thread ein Programm zu posten????

Ist doch grad gar nicht angebracht!!!

R.G übertreib nicht!!!
Sir Reklov hat oft recht!!!

Oh gott eh so geht dass ja noch nicht mal zwischen HELP und Sir Reklov ab .lol!

 

ja aber der unterschied zu dem konflikt zwischen help und sir reklov ist das beide etwas verstehen  nur unterschiedliche ansichten haben. ich würde sie persönlich als    die engel  dieses forums bezeichnen. lol

der liebe rg allerdings ist ein bisschen sorry hängen geblieben. er fiebert immer noch irgendwelchen träumen nach von informationen die irgendwo aus seinem innersten rausgegraben hat anstatt  sich endlich zu schleichen.

@ fabo

ich persönlich würde diesen pc neu aufsetzen da er total verseucht ist.

wenn du noch versuchen willst was zu drehen.
bitte

lade folgende dateien
1 ccleaner
2 smitfraud fix
3 drweb

führe diese schritte hintereinander aus

1 neustart abgesicherter modus
2 smitfraud fix
3 neustart abgesicherter modus
4 dr web
5 neustart normal
6 onlinescan mit panda oder f secure
7 alle ergebnisse und erneutes hijackthis logfile hier posten







luis

R.G.,wie oft hast Du Deinen Pc schon abgeschossen mit Deinem Gefummel?

So also vielen Dank an Sir Reklov. Google kenn ich schon hab auch bevor ich das Thema eröffnet habe über google 15 min gesucht aber nichts wirklich brauchbares gefunden.

Habe mir Smitfraudfix geladen und im abgesicherten Modus angewendet und die Registry gecleant. Nach nem Neustart habe ich mit kaspersky Trojan-Downloader.win32.zlob noch 18 mal gefunden und gelöscht. Jetzt läuft er wieder und ich werde ihn nicht neu aufsetzen. Der PC ist ein 800 MHz Pentium III mit 192 MB Ram auf dem außer Kaspersky, Firefox und Office keine Programme laufen und er wird von meinen Eltern lediglich 1 Stunde pro Woche für Surfen o.ä. genutzt.

Falls nochmal was kommt kann ich die Kiste immer noch neu aufsetzen. Also schönes Wochenende noch,

Grüße Fabo

 

könnte ich trotzdem das log von hijackthis und das log von smitfraud sehen nur so


luis