Forum
Tipps
News
Menu-Icon
Thema geschlossen (topic locked)

Erledigt !! ZLOB hat es versucht ... XP ist durch Image wiederhergestellt !!!

 ZLOB wurde von NAV sofort gelöscht

Kam bei einem Video.als Downloadvorschlag ... Alt+F4 konnten das Fenster nicht löschen , musste den FF beenden !!

Quelle: C:\DOKUME~1\hck\LOKALE~1\Temp\skr5bt0x.exe
Quelle: C:\Dokumente und Einstellungen\hck\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ycz32awc.default\Cache\5EBEF521d01
Bedrohungskategorie: VirusQuelle: C:\Dokumente und Einstellungen\hck\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8\36851408-7b35cb9a,Beschreibung: Die Datei C:\Dokumente und Einstellungen\hckroll\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8\36851408-7b35cb9a ist mit dem Virus Downloader infiziert.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:39, on 06.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\0190 warner\w0svc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DIManagerX\DIManager6.exe
C:\Diagnose\Temperatur\cpuz.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\WinTer\WinTer.exe
C:\Programme\Hijackthis\HijackThis.exe


O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1118171206314
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1118171131506
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.airport-nuernberg.de/_/tools/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab
 

« Letzte Änderung: 07.05.08, 16:02:19 von HCK »


Antworten zu Erledigt !! ZLOB hat es versucht ... XP ist durch Image wiederhergestellt !!!:

C:\Programme\WinTer\WinTer.exe

scanne das mal auf Virustotal
http://www.virustotal.com/de/
poste den Report

Malwarebytes anwenden, Funde löschen lassen, Report posten
http://www.virus-protect.org/artikel/tools/malwarebytes.html

CCleaner anwenden
http://virus-protect.org/ccleaner.html

Windowsscan posten
http://virus-protect.org/artikel/tools/windowsscan.html

WINTER ist ein Terminkalender von www.sw4you.de , ist OK
Mich irritieren eigentlich nur die sachen im O16 Bereich , z. B. PID-Sniffer usw ....

Malware mit Spybot S&D gescannt , & OK ....

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

HCK mach den Scan mit Malwarebytes noch und lass mal Smitfraudfix vorsichtshalber durchscannen.

Da muss ich bis morgen Früh warten , mein LAP fliegt beim Scan auffe Sch.nauze  ::)8) Wärme , CPU zu heiß.
Krieg den AMD2000+ nicht runtergetaktet , stellt sich selber ein . Und Prio auf Niedrig nützt im Moment auch NIX ..  :-[::)>:(
Hat mich eben kurz vor Ende des Spybot rausgehauen .

ABER:
Worauf begründet ihr euren Verdacht ... ???

Mein NAV hat ja den ZLOB im Cache erkannt & gelöscht ....
Hab sofort Cache Und IE-Files usw gelöscht ...
Also , was ist mit den O16ern ?
HCK
  Also , der PID Sniffer:
Ist wohl ein ActiveX-Control, das zur "Genuine Windows Validation Component" gehört, mit der vor der Installation von Microsoft-Komponenten deine Windows-Version geprüft wird.

« Letzte Änderung: 06.05.08, 18:36:13 von HCK »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Denke nicht dass Norton ihn komplett gelöscht hat.

Die 016 Einträge sehen sauber aus!

DOCH , da ZLOB im Cache stand .
Hat ihn 2x in Quarantäne gezogen , ich hab ihn dort gelöscht , Cache & alle Internet-Daten auch .
War eindeutig ZLOB , aber ich mache mich weiter schlau .
Bis morgen ...

Die 30 neuesten Dateien im Ordner Windows:
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS ***** 
***** ***** ***** ***** ***** 
 
 06.05.2008 wiadebug.log 18 05:159 
 06.05.2008 wiaservc.log 18 05:50 
 06.05.2008 WindowsUpdate.log 18 05:1.369.960 
 06.05.2008 0.log 18 05:0 
 06.05.2008 bootstat.dat 18 04:2.048 
 06.05.2008 SchedLgU.Txt 17 22:32.540 
 05.05.2008 lexstat.ini 19 46:976 
 04.05.2008 setupapi.log 12 14:673.177 
 29.04.2008 setupact.log 15 46:2.496 
 29.04.2008 spupdsvc.log 15 43:156.715 
 29.04.2008 OEWABLog.txt 15 42:345 
 29.04.2008 DtcInstall.log 15 42:226 
 29.04.2008 wmsetup.log 15 41:5.426 
 29.04.2008 spupdsvc.log.1.log 15 40:187 
 29.04.2008 svcpack.log 15 35:445.895 
 29.04.2008 iis6.log 15 35:333.552 
 29.04.2008 comsetup.log 15 35:59.721 
 29.04.2008 ntdtcsetup.log 15 35:484.492 
 29.04.2008 ocmsn.log 15 35:121.935 
 29.04.2008 imsins.log 15 35:2.675 
 29.04.2008 tsoc.log 15 35:988.505 
 29.04.2008 ocgen.log 15 34:104.284 
 29.04.2008 msgsocm.log 15 34:123.335 
 29.04.2008 FaxSetup.log 15 34:2.318.283 
 29.04.2008 cmsetacl.log 15 31:573 
 29.04.2008 sessmgr.setup.log 15 30:5.507 
 29.04.2008 updspapi.log 15 29:316.763 
 
 
Die 50 neuesten Dateien im Ordner Windows\system32:
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS\system32 ***** 
***** ***** ***** ***** ***** 
 
 06.05.2008 wpa.dbl 18 05:1.158 
 04.05.2008 d3d9caps.dat 12 13:664 
 03.05.2008 PowerNow.log 11 08:209 
 29.04.2008 perfh009.dat 15 44:438.216 
 29.04.2008 perfc009.dat 15 44:70.412 
 29.04.2008 perfh007.dat 15 44:455.534 
 29.04.2008 perfc007.dat 15 44:84.070 
 29.04.2008 PerfStringBackup.INI 15 44:1.060.880 
 29.04.2008 spupdwxp.log 15 40:257 
 29.04.2008 FNTCACHE.DAT 15 38:228.800 
 14.04.2008 dcache.bin 08 06:1.804 
 14.04.2008 netsetup.exe 07 55:333.312 
 14.04.2008 rdpwsx.dll 07 53:87.176 
 14.04.2008 rdpdd.dll 07 53:92.424 
 14.04.2008 tsddd.dll 07 53:12.168 
 14.04.2008 ssmypics.scr 07 53:47.104 
 14.04.2008 wdmaud.drv 07 53:23.552 
 14.04.2008 remotesp.tsp 07 53:76.800 
 14.04.2008 ssflwbox.scr 07 53:393.216 
 14.04.2008 ssmarque.scr 07 53:20.992 
 14.04.2008 ssmyst.scr 07 53:18.944 
 14.04.2008 ndptsp.tsp 07 53:57.344 
 14.04.2008 ssbezier.scr 07 53:19.968 
 14.04.2008 msh263.drv 07 53:299.008 
 14.04.2008 sspipes.scr 07 53:610.304 
 14.04.2008 ssstars.scr 07 53:14.848 
 14.04.2008 msh261.drv 07 53:192.512 
 14.04.2008 sstext3d.scr 07 53:684.032 
 14.04.2008 hidphone.tsp 07 53:29.696 
 14.04.2008 scrnsave.scr 07 53:9.216 
 14.04.2008 kmddsp.tsp 07 53:33.280 
 14.04.2008 ipconf.tsp 07 53:17.408 
 14.04.2008 winspool.drv 07 53:146.944 
 14.04.2008 unimdm.tsp 07 53:207.360 
 14.04.2008 ss3dfo.scr 07 53:708.608 
 14.04.2008 h323.tsp 07 53:266.240 
 14.04.2008 wmv8ds32.ax 07 53:278.559 
 14.04.2008 format.com 07 53:29.696 
 14.04.2008 vidcap.ax 07 53:28.672 
 14.04.2008 ksproxy.ax 07 53:129.536 
 14.04.2008 kstvtune.ax 07 53:61.952 
 14.04.2008 desk.cpl 07 53:138.240 
 14.04.2008 appwiz.cpl 07 53:555.008 
 14.04.2008 ipsink.ax 07 53:16.384 
 14.04.2008 msscds32.ax 07 53:69.632 
 14.04.2008 vbisurf.ax 07 53:30.208 
 14.04.2008 hdwwiz.cpl 07 53:157.184 
 
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** 
***** ***** ***** ***** ***** 
 

# Copyright (c) 1993-1999 Microsoft Corp.
#
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Hostnamen stehen.
#
#
# Zum Beispiel:
#
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost

# End of entries
# Start of entries inserted by Spybot - Search & Destroy
# This list is Copyright 2000-2008 Safer Networking Limited
# This list is Copyright 2000-2007 Safer Networking Limited
127.0.0.1   babe.the-killer.bz
HIER sanden ca 1000 Adressen , die von Spybot eingetragen wurden !!!

# End of entries inserted by Spybot - Search & Destroy
 
 

***** ***** ***** ***** ***** 
***** Scanning Processe ***** 
***** ***** ***** ***** ***** 
 
 
 

Microsoft Windows XP [Version 5.1.2600]
 
 
http://www.paules-pc-forum.de 
***** Malware Team ***** 
 
 
***** Ende des Scans 06.05.2008 um 19:34:06,49 *** 
 
 
WAS das nun bringen soll , müsst ihr mir bitte mal erklären ....


HCK

 

« Letzte Änderung: 06.05.08, 19:39:30 von HCK »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hab dass Programm nicht empfohlen, zeigt ja nur die 50 neuesten Dateien im Sys 32 Ordner an.

Malwarebytes wäre wichtiger.

@HCK
Dein PC ist Clean!
Der Virenscanner hat Zlob rechtzeitig gestoppt.

Wurde CCleaner noch nicht angewendet, dann hole dies noch nach, damit die Caches vom Browser, Java und Co. gelöscht werden.

Ein ToDo ist noch offen:
Die aktuelle Version von Java ist die jre1.6.0_06
Zudem sind wohl noch zwei alte Versionen auf dem Rechner installiert, 1.5.0_06 und 1.5.0_10. Bitte deinstallieren,
ansonsten können die dort enthaltenen Sicherheitslücken ausgenützt werden.

Wenn dein PC wieder Cool ist,
dann führe nur so zur Kontrolle einen Scan mit dem Onlinescanner von Bitdefender aus.

Allseits eine angenehme Nachtruhe!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@ HCK
Setzen wir denn etwa keine Images ein ?
Damit hättest du dir den ganzen Stress/Ärger/Ungewissheit doch ersparen und in kürzester Zeit mit ruhigem Gewissen weiterarbeiten können

IST schon passiert ... Daten gesichert , Image zurück , Daten wieder rauf .

War mir zwar sicher , dass Norton gut gearbeitet hat usw.
Das war einfach mal eine Übung ....
Hatte ja nach Umstellung auf SP3 gesichert ...

Java
: Auto Update wurde vor 1 Woche gemacht ... Ich schau mal nach

Reinigung : nutze TuneUp  statt CCleaner
 

« Letzte Änderung: 07.05.08, 11:23:10 von HCK »

TuneUP und CCleaner sind beide murks,so ungern dies einige leute hier hören.was diese werkzeuge im einzelnen verbessern,dokumentieren sie nicht im einzelnen.
Auch Aktuelle Produkte von symantec haben ihren passenden beinamen gefunden: Die Gelbe Pest.

Windowsscan zeigt die neusten Veränderungen. Es könnte ja sein das sich unbekannte Malware dort eingeschlichen hat, welches die Scanner noch nicht erkennen.

Normalerweise sieht man auch ob die HOSTS Datei manipuliert wurde, außer natürlich bei Spybot Anwendern. Da geschieht das über die Immunisierung.

Nutze in Zukunft einnfach Sandboxie, dann hast du solche Probleme nicht mehr.
http://www.paules-pc-infothek.de/ppf2/viewtopic.php?t=1136

War das erste mal seit ca 2 Jahren , dass ich sowas (ein Fenster , dass das laden eines Videoabspielers verlangte) hatte !
Dieses ließ sich dann NICHT beenden , auch die Seite nicht.
Musste den FF im Taskmanager beenden , dann kam der Löschvorgang des Norton-AV.

Ich habe "alle" vorgeschlagenen Scans und Reinigungen danach mal getestet , NICHTS wurde gefunden
.
War mal ein Test .... Image sei dank .... 
Sandboxie-Link ist für später gespeichert ..... HCK

@HCK
hoffe es alles Richtig verstanden zu haben.
denke nach einer Plattenbereinigung und Defragmentierung des Systems mit anschließenden Neustart währe es ok gewesen (falls du es nicht schon vesucht hattest?)
der einzige Eintrag der mich in deiner Logfile gestört hat kennst du!
Norton hat! gut gearbeitet (meine wenig Meinung)
klär mich auf falls ich nichts Verstanden habe! 


« Einfach nur langsam..Win XP: mom.exe »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Auslagerungsdatei
Die Auslagerungsdatei, auch bekannt als virtueller Speicher, ist ein wichtiges Element im Windows-Betriebssystem. Sie dient als Erweiterung des physischen Arbeitsspeicher...

Dateiendungen
Die Dateiendung, auch Dateinamenerweiterung, Dateierweiterung oder einfach "Endung" genannt, besteht aus meistens drei oder vier Buchstaben und wird mit einem Punkt an de...

Dateisystem
Das Dateisystem eines Computers definiert, wie Daten auf einem Speichermedium organisiert werden. Es bestimmt dabei, wie die Informationen auf dem Medium gespeichert, gel...