diverse Sachen vom Trojaner Zlob

Hallo lade dir Hijackthis runter,erstelle damit ein Logfile und poste es hier.

(Das sicherste wäre formatieren, da es ein trojaner ist)

Erstmal ein kurzes Vorwort zudem was Zlob ist, an welchen Symptomen er meistens zu erkennen ist und wie er sich verbreitet.
Zlob ist ein Trojaner, der verschiedene Dateien in den Systemordnern ablegt, andere Malware nachladen kann und diverse Veränderungen in der Registry vornimmt. Er verbreitet sich meistens über ein angebliches Videocodec, das von bestimmten Seiten zum Download angeboten wird. Er kann außerdem mit Hilfe von * bitte keine illegalen Tipps *s oder dem Ausnutzen von Browserlücken auf * bitte keine illegalen Tipps *seiten übertragen werden.

Aufgrund der Komplexität von Zlob kann nicht garantiert werde, dass mit der folgenden Anleitung der Trojaner komplett entfernt wird, die sicherste Methode ein vertrauenswürdiges System wieder herzustellen ist ein Neuaufsetzen.



Wie erkenne ich ob ich Zlob habe?

Zlob gibt es in verschiedenen Varianten, die meisten sind daran zu erkennen, dass sie zum Installieren eines bestimmten, angeblichen Antispywareprogramms auffordern. In den häufigsten Fällen sind es folgende Programme:

Spyware Quake
Spyware Falcon
Spy(ware)Sheriff
Titan Shield


In den meisten Fällen wird diese Aufforderung über eine Nachricht "Your System is infected" o.ä. in der Infoleiste (rechts unten) vorgenommen.
In manchen Versionen tritt auch eine Veränderung des Desktophintergrunds auf oder es werden Popups eingespielt.

Hier eine Liste der bekanntesten Dateien, die im Zusammenhang mit Zlob stehen:

hp???.tmp
ishost.exe
ismon.exe
issearch.exe
atmclk.exe
dcomcfg.exe
Ordner %system%\1024
secure32.html
paytime.exe
intmon.exe
msmsgs.exe





Wie beseitige ich Zlob?



Smitfraudfix
Besorgt euch das Programm Smitfraudfix und lasst es wie im Unterpunkt "Reinigung" beschrieben laufen, achtet besonders darauf das Ganze im abgesicherten Modus vorzunehmen.
Smitrem
Alternativ zu Smitfraudfix, kann man auch Smitrem zur Beseitigung verwenden, allerdings reagiert das Programm etwas träger auf Änderungen oder das Auftreten neuer Varianten.
Entpackt das Programm, geht in den abgesicherten Modus, führt die runthis.bat aus und folgt den Anweisungen auf dem Bildschirm.
In den meisten Fällen sollte es das schon gewesen sein. Zur Kontrolle könnt ihr noch einen Onlinescan bei Kaspersky machen.


Wenn ihr durch einen Helfer im Forum auf diese Seite gelangt seid, postet ihr als Antwort folgende Informationen:

1.) Den Inhalt der Datei C:\rapport.txt (falls ihr Smitrem ausgeführt habt C:\smitfiles.txt)
2.) Ein (neues) HijackThis Log




Probleme?


Falls nach der Reinigung immernoch Symptome auftreten sollten, eröffnet bitte einen eigenen Thread im Forum mit einer detaillierten Problembeschreibung und folgenden zusätzlichen Informationen:
HijackThis Log
Inhalt der Datei C:\rapport.txt (bei Smitrem Inhalt der Datei C:\smitfiles.txt)
Löscht eure Temp-Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!
Den Report von dem Onlinescan bei Kaspersky
 

So  hier mal der Log

Logfile of HijackThis v1.99.1
Scan saved at 13:04:15, on 09.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\KH\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: SXG Advisor - {4C0C8119-1DF3-43EB-9551-B58AF1E04CA9} - C:\WINDOWS\dgtxrdfknf.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B684536-CFBC-4475-9BF8-1A75B1517D0E}: NameServer = 85.255.115.155,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF675AA6-9EE0-44DB-AAC7-4C8F74B06685}: NameServer = 85.255.115.155 85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\..\{7B684536-CFBC-4475-9BF8-1A75B1517D0E}: NameServer = 85.255.115.155,85.255.112.128
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128
O17 - HKLM\System\CS2\Services\Tcpip\..\{7B684536-CFBC-4475-9BF8-1A75B1517D0E}: NameServer = 85.255.115.155,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128
O21 - SSODL: bxlrvps - {BA335BD0-8454-428F-AFBD-C9D09E4D8B8B} - C:\WINDOWS\bxlrvps.dll
O21 - SSODL: alofkmn - {C40C1F62-C325-4AE5-9AE5-86D6F1D253F0} - C:\WINDOWS\alofkmn.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Hilfeee

Sofort Pc formatieren!!!!

Dein Pc läuft über einen Server in der Ukraine!!!

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B684536-CFBC-4475-9BF8-1A75B1517D0E}: NameServer = 85.255.115.155,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF675AA6-9EE0-44DB-AAC7-4C8F74B06685}: NameServer = 85.255.115.155 85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128
O17 - HKLM\System\CS1\Services\Tcpip\..\{7B684536-CFBC-4475-9BF8-1A75B1517D0E}: NameServer = 85.255.115.155,85.255.112.128
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128
O17 - HKLM\System\CS2\Services\Tcpip\..\{7B684536-CFBC-4475-9BF8-1A75B1517D0E}: NameServer = 85.255.115.155,85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.155 85.255.112.128


Daten sichern,dann Pc formatieren und alle Passwörter ändern siehe dazu noch hier:

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

hast du nen proxyverschlüsseler oda so

sry die frage war unnötig
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

das programm verschlüsselt die ip

Oh weia na das will ich ma wissen was mein Dad hier mit seinem pc angestellt hat  *lol*  gut dass meiner läuft   
Meint ihr es ist für die nächste Zeit noch sinnvoll den Smitfraudfix zu machen ?? oder bringt das absolut nix .. weil mein dad is viel bei e-bay unterwegs und kommt in der nächsten zeit nicht dazu den pc neu aufzusetzen da er selbst kein plan davon hat lässt ers durch nen bekannten machen ....

Smitfraudfix wird nichts bringen und ebay sollte er mit dem PC auch nicht mehr nutzen!!!!

Oder er muss sich auf Rechnungen einstellen.

Formatieren ist einfach, dass wird dein dad wohl schaffen 


http://www.computerhilfen.de/tipps-windows-xp-neu-installieren.php3  

@mathy 1122
Wer fremde Anleitungen kopiert und diese Kopie nicht als solche kenntlich macht,der klaut !!
Deine Zlob Beschreibung ist aus dem Trojanerbord geklaut.
Man gibt immer die Quelle an ,wenn man nicht selbst Autor ist ! Alles andere ist unredlich !!
Sir Reklov

@mathy 1122
Wer fremde Anleitungen kopiert und diese Kopie nicht als solche kenntlich macht,der klaut !!
Deine Zlob Beschreibung ist aus dem Trojanerbord geklaut.
Man gibt immer die Quelle an ,wenn man nicht selbst Autor ist ! Alles andere ist unredlich !!
Sir Reklov