Home » Spyware & Browser Hijacker Support Forum » Hab das Trojan Horse "trojan-downloader-zlob" ,lässt sich nicht entfernen » Themenansicht

Hab das Trojan Horse "trojan-downloader-zlob" ,lässt sich nicht entfernen

Thema ist geschlossen!
Thema ist geschlossen!
#0
25.11.2006, 01:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#61 Zwergen_maus

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|gimmicks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Virus-Bursters

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Gold Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Classes\CLSID\{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters

Files to delete:
C:\WINDOWS\system32\dcvwaah.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Folders to delete:
C:\Programme\Gold Codec
C:\Programme\Virus-Bursters
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.12.2006, 07:58
benetka
...neu hier

Beiträge: 3
#62 Hallo,

ich habe folgendes Problem:

Hatte im Oktober schon mal den trojan downloader zlob.
Wurde damals von AVG erkannt und scheinbar auch entfernt, jedenfalls wurde nachher nichts mehr gefunden. Hab jetzt seit längerem wieder mal Spyaudit laufen lassen, weil mir damals die Testversion von Spysweeper auch sehr hilfreich war. Spyaudit findet jetzt wieder den trojan downloader zlob, zeigt mir aber keine Details und meine Spysweeper-testversionist schon abgelaufen.
AVG findet aber nichts!

Vielleicht könnt ihr mir helfen herauszufinden, ob und was für ein Problem ich habe und es zu beheben? Würde mich sehr freuen!

Hab die ganze Prozedur, die auf eurer Site angegeben ist, durchlaufen lassen. Im Dateianhang sind die Logfiles von HijackThis, Combofix und Datfindbat

Anhang: Logfiles.txt
Seitenanfang Seitenende
01.12.2006, 12:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#63 benetka

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{594A5A50-8345-425A-A584-0C594045B780}
HKLM\SOFTWARE\Classes\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}

Files to delete:
C:\WINDOWS\system32\ddeeg.bak1
C:\WINDOWS\system32\ddeeg.ini
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\REGEDIT.COM
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {594A5A50-8345-425A-A584-0C594045B780} - C:\WINDOWS\system32\geedd.dll (file missing)

O2 - BHO: (no name) - {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} - (no file)
**
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

**
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.12.2006, 18:05
benetka
...neu hier

Beiträge: 3
#64 o.k., hab alles durch; beim Fixen mit HijackThis ist mir aufgefallen, dass es statt
O2 - BHO: (no name) - {594A5A50-8345-425A-A584-0C594045B780} - C:\WINDOWS\system32\geedd.dll (file missing)
nur
O2 - BHO: (no name) - {594A5A50-8345-425A-A584-0C594045B780} - (no file)
gab; weiß nicht ob das wichtig ist, hab es jedenfalls angehakt;
vundofix hat nichts gefunden;
smitfraudfix ist auvh gelaufen;
Report von AVG Anti-Spyware in der Anlage

Anhang: Report-Scan-20061201-175944.txt
Seitenanfang Seitenende
01.12.2006, 19:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#65 benetka

alles wieder i.o. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.12.2006, 23:25
benetka
...neu hier

Beiträge: 3
#66 Vielen Dank für die prompte und fachmännische Hilfe und die "idiotensicheren" Anleitungen. Hast mir sehr geholfen!

MfG Wolfgang
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): Erste Seite2345