Trojaner Lowzones

#1 Hallo! Leider habe ich mir den Trojaner "slowzones" eingefangen.
Ich weiß bereits, dass man ihn manuell löschen kann, hierzu bin ich
edv-technisch leider nicht bewandert genug...! Wer kennt eine Anti-
Trojaner-Software (möglichst -free-) die Slowzones killt?
Viele Grüße
Stephan

#2 ich schaue erst mal nach

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

--------------------------------------------------------------
welches Antivirentool zeigt an: slowzones ???
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Oh,oh, sorry! Es ist Lowzones. Sorry!!
Bitte trotzdem um Hilfe. Danke.

Beste Grüße
Stephan

#4 Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Logfile of HijackThis v1.99.1
Scan saved at 16:54:01, on 19.01.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\FAXTALK COMMUNICATOR\FTCTRL32.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\THE CLEANER\TCA.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\THE CLEANER\TCM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\A-SQUARED\A2GUARD.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\ULTIMATEZIP\UZQKST.EXE
C:\PROGRAMME\FAXTALK COMMUNICATOR\FAPIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CallControl 4.5] C:\Programme\FaxTalk Communicator\FTCtrl32.exe /autoload
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [links] links.exe
O4 - HKLM\..\Run: [tcactive] C:\PROGRAMME\THE CLEANER\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMME\THE CLEANER\tcm.exe
O4 - HKLM\..\Run: [stnospy] C:\PROGRAMME\SINESPIAS\no-spy.exe /autorun
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab

#6 Stephannn

öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [stnospy] C:\PROGRAMME\SINESPIAS\no-spy.exe /autorun

PC neustarten

http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo!

Habe zuerst Hijack einige Male durchlaufen lassen - jetzt angeblich clean...

2 Probleme!

1.
Trotz 4 Versuchen kann Counterspy

- Neo Control Red-4.1.4 Rat

nicht removen/ oder in Quarantäne festsetzen.

Dateien siehe bitte unten.

2.
Norton Antivirus
findet in den Dateien:

FS1420.CAB
FS1421.CAB

TR.Lowzones


Hilfe...!!!

Viele Grüße
Stephan


zu 1.

Infected files detected
c:\_RESTORE\TEMP\A0083493.1
c:\_RESTORE\TEMP\A0083857.CPY
c:\_RESTORE\TEMP\A0083858.CPY
c:\_RESTORE\TEMP\A0083859.CPY
c:\_RESTORE\TEMP\A0083860.CPY
c:\_RESTORE\TEMP\A0083861.CPY
c:\_RESTORE\TEMP\A0083862.CPY
c:\_RESTORE\TEMP\A0085155.CPY
c:\_RESTORE\TEMP\A0085156.CPY
c:\_RESTORE\TEMP\A0085157.CPY
c:\_RESTORE\TEMP\A0085158.CPY
c:\_RESTORE\TEMP\A0086076.CPY
c:\_RESTORE\TEMP\A0086138.CPY

#8 Windows Me -- Systemwiederherstellung deaktivieren

Öffne dafür »Systemsteuerung | System« und wechsel zu »Systemwiederherstellung«.
Dort hake dann »Systemwiederherstellung auf allen Laufwerken deaktivieren« ab.

dann neustarten und wieder aktivieren
http://virus-protect.org/systemwiederherstellung.html

scanne mit kaspersky und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 .. Du gibst nicht so leicht auf. Gut!

Nächste Problem: Ich kann die angegeben Schritte nicht durchführen,
da wohl eine Datei zu viel removet / gelöscht wurde...

... rundll32.exe ist wohl nötig um "System" zu öffnen, ist aber nicht mehr vorhanden....

Hilft ein ME Update ?

Danke Dir im Voraus für Info und verbleibe

mit den allerbesten Grüßen
Stephan

#10 von wem wurde eine Datei geloescht????
Counterspy ????? Du hast mir den Scanreport nicht gepostet....obwohl ich dich drum gebeten hatte. Vielleicht kannst du mir das noch hier kopieren.
------------------------------------------------------------------------
o.k. mache eine Systemwiederherstellung, auf einen Tag weit zurueck, dann scanne mit Kaspersky.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 .... leider kann ich keine Windows-Dateien mehr öffnen (!!),

(also auch nicht Systemwiederherstellung etc.), da mir die Datei "rundll32.exe" fehlt.

Ich denke, ich habe diese Datei mit Hijack eleminiert....

Hier der letzte Counter-Scan:

Spyware Scan Details
Start Date: 20.01.2006 12:03:52
End Date: 20.01.2006 12:05:36
Total Time: 1 mins 44 secs

Detected spyware

NeoControlRed-4.1.4 RAT more information...
Status: Ignored

Infected files detected
c:\_RESTORE\TEMP\A0083493.0
c:\_RESTORE\TEMP\A0083857.CPY
c:\_RESTORE\TEMP\A0083858.CPY
c:\_RESTORE\TEMP\A0083859.CPY
c:\_RESTORE\TEMP\A0083860.CPY
c:\_RESTORE\TEMP\A0083861.CPY
c:\_RESTORE\TEMP\A0083862.CPY


Ohhhh, jeehhhh.....

Viele Grüße
Stephan

#12 es gibt eine solche Datei im HijackThis
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
aber wenn man sie fixt, wird sie dennoch nicht geloescht...und ich hatte auch nicht gesagt, dass du diesen Eintrag fixen sollst.
Nun weiss ich nicht, was du eigentlich gemacht hast.
Gibt es ein BackUp vom HijackThis ? Falls ja, fuehre es aus und berichte nach Neustart
__________
MfG Sabina

rund um die PC-Sicherheit

#13 .... so, die Datei war nicht gelöscht.
Konnte Sie aus der Backup-List von Hijack herausholen.
Leider ließ sich "System" / Systemsteuerung trotzdem nicht öffnen -
weil die Datei angeblich trotzdem fehlte...?

Bin dann über "Suchen" zur Systemwiederherstellung gelangt.

System ist jetzt wiederhergestellt!

Wahrscheinlich blöde Frage: Kann ich das System nicht so weit zurücksetzen,
bis zu einem Zeitpunkt als der Torjaner noch nicht auf meinem Rechner war?
Bzw. wäre er dann nicht evtl. verschwunden?

O.K. Jetzt Kaspersky ?


MfG
Stephan

#14 diese Dateien
c:\_RESTORE\TEMP\A0083493.0
c:\_RESTORE\TEMP\A0083857.CPY
c:\_RESTORE\TEMP\A0083858.CPY
c:\_RESTORE\TEMP\A0083859.CPY
c:\_RESTORE\TEMP\A0083860.CPY
c:\_RESTORE\TEMP\A0083861.CPY
c:\_RESTORE\TEMP\A0083862.CPY

gehoeren zur Systemwiederherstellung.

Die muesstest du nun deaktivieren (wie weiter oben erklaert)
Da nun die fehlende Datei wieder vorhanden ist, kannst du die Systemwiederherstellung deaktivieren, dann booten und wieder aktivieren.
Dann sollte alles wieder clean sein.

Dennoch kannst du noch mit Kaspersky Online scannen
+
die cab-Dateien manuell loeschen:

FS1420.CAB
FS1421.CAB
__________
MfG Sabina

rund um die PC-Sicherheit

#15 .... Ahhhhhhh

O.K., bin Deinen Vorgaben gefolgt - die Trojaner lowzones sind verschwunden! KLasse!!

Dann Kaspersky Online-Scan.

Leider negativ.


Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\WINDOWS\TEMP\

Scan Statistics:
Total number of scanned objects: 16828
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 1334 sec

Infected Object Name - Virus Name
C:\WINDOWS\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-38670071-712deb0e.class Infected: Trojan-Downloader.Java.OpenStream.y
C:\WINDOWS\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-29eb15d4-644ea10d.class Infected: Trojan-Downloader.Java.OpenStream.y

Scan process completed.


Ich habe dann eine Trail-Version von Kaspersky runtergeladen.
Hat aber alles irgendwie nicht richtig geklappt.
Wieder deinstalliert.

Aber jetzt sind aus der Systemsteuerung alle 31 Objekte verschwunden !?
Einschließlich Systemwiederherstellung - weg!

Was mache ich jetzt ?? Über den abgesicherten Modus? Wie komme ich da hinnein?

Hilfe...

MfG
Stephan