Zolob Entfernung

#1 Moin, moin,

kann mir jemand mitteilen wie man ZOLOB vom Rechner entfernt? Ich habe vorher SpyFalcon mit AdAware entfernen können, doch der internet explorer ruft noch immer beim starten www.necessaryupdates.com auf. zolob wurde übrigens von allen getesteten AntiSpyware tools nur von MS Defender beta 2 gefunden.

#2 alaska

das loesen wir schnell

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8458-38B5

Verzeichnis von C:\WINDOWS\system32

24.03.2006 14:56 6.144 interf.tlb
24.03.2006 14:56 5.032 ncompat.tlb
24.03.2006 14:56 2.243 Hauke_KBD.ini
24.03.2006 14:56 33.280 hpCC51.tmp
24.03.2006 14:38 33.280 hpC375.tmp
24.03.2006 14:38 30.221 ldC2E8.tmp
23.03.2006 06:54 17.528 nvctrl.exe
22.03.2006 18:24 13.646 wpa.dbl
22.03.2006 17:08 401.418 perfh009.dat
22.03.2006 17:08 61.626 perfc009.dat
22.03.2006 17:08 75.270 perfc007.dat
22.03.2006 17:08 417.710 perfh007.dat
22.03.2006 17:08 966.294 PerfStringBackup.INI
22.03.2006 17:06 166.712 FNTCACHE.DAT
22.03.2006 09:02 2.243 Administrator_KBD.ini
21.03.2006 17:13 10.184 mssearchnet.exe
21.03.2006 17:13 4.286 ts.ico
21.03.2006 17:13 4.286 ot.ico
21.03.2006 17:07 15.493 dfrgsrv.exe
13.03.2006 11:02 191.488 hlvdd.dll
09.03.2006 16:21 4.799.320 MRT.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
17.01.2006 19:01 16.832 amcompat.tlb
17.01.2006 19:01 23.392 nscompat.tlb
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8458-38B5

Verzeichnis von C:\DOKUME~1\Hauke\LOKALE~1\Temp

24.03.2006 14:56 0 DVFEHLER.LOG
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 72.771.493.888 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8458-38B5

Verzeichnis von C:\WINDOWS

24.03.2006 14:51 20.599 setupapi.log
24.03.2006 14:46 2.097.212 WindowsUpdate.log
24.03.2006 14:37 0 0.log
24.03.2006 14:36 0 TempFile
24.03.2006 14:36 2.048 bootstat.dat
24.03.2006 13:31 32.548 SchedLgU.Txt
24.03.2006 09:24 620 ODBC.INI
24.03.2006 09:23 3.224 WBSH32.INI
22.03.2006 17:06 923 spupdsvc.log
22.03.2006 17:05 1.454 COM+.log
22.03.2006 17:04 105.186 comsetup.log
22.03.2006 17:04 14.978 tabletoc.log
22.03.2006 17:04 1.374 imsins.log
22.03.2006 17:04 62.119 ntdtcsetup.log
22.03.2006 17:04 343.025 iis6.log
22.03.2006 17:04 15.933 ocmsn.log
22.03.2006 17:04 134.311 tsoc.log
22.03.2006 17:04 29.977 KB913446.log
22.03.2006 17:04 14.467 msgsocm.log
22.03.2006 17:04 143.036 ocgen.log
22.03.2006 17:04 20.198 MedCtrOC.log
22.03.2006 17:04 50.442 netfxocm.log
22.03.2006 17:04 283.574 FaxSetup.log
22.03.2006 17:04 93.156 msmqinst.log
22.03.2006 17:04 29.289 KB911564.log
22.03.2006 17:04 29.419 wmsetup.log
22.03.2006 17:04 36.690 KB911927.log
22.03.2006 17:04 17.942 updspapi.log
22.03.2006 17:04 29.026 KB911565.log
22.03.2006 17:04 1.028.716 setupapi.log.0.old
22.03.2006 15:42 5.418 WGA.log
22.03.2006 14:53 181.277 setupact.log
22.03.2006 09:30 116 NeroDigital.ini
13.03.2006 12:53 180 DEINSTAL.INI
13.03.2006 12:27 786 win.ini
13.03.2006 12:27 547 dddwin.ini
13.03.2006 12:24 27 VIPZKA.INI
13.03.2006 11:35 512 randseed.rnd
13.03.2006 11:13 162 netop.ini
13.03.2006 11:12 65.583 SQL2000-KB884856-v8.00.0977-x86-DEU.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8458-38B5

Verzeichnis von C:\

24.03.2006 15:00 0 sys.txt
24.03.2006 14:59 8.711 system.txt
24.03.2006 14:59 293 systemtemp.txt
24.03.2006 14:57 103.856 system32.txt
24.03.2006 14:36 805.306.368 pagefile.sys
13.03.2006 11:00 25.880 B05_Err.log
20.10.2005 18:55 0 AUTOEXEC.BAT
20.10.2005 18:55 0 MSDOS.SYS
20.10.2005 18:55 0 IO.SYS
20.10.2005 18:55 0 CONFIG.SYS
20.10.2005 18:48 211 boot.ini
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
14 Datei(en) 805.749.019 Bytes
0 Verzeichnis(se), 72.771.477.504 Bytes frei

Logfile of HijackThis v1.99.1
Scan saved at 15:08:13, on 24.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\DATEV\PROGRAMM\B0000301\MP\MP.exe
C:\DATEV\PROGRAMM\B0000301\NF\NF.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe
C:\WINDOWS\system32\RZPJWTCH.EXE
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Hauke\Desktop\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpCC51.tmp
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DATEV Updateservice] "C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DATEV-Hinweis Mitteilungsdienst.lnk = C:\DATEV\PROGRAMM\A0000007\DHNC.exe
O4 - Global Startup: DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe
O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = KABSW.local
O17 - HKLM\Software\..\Telephony: DomainName = KABSW.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DD19EEE-740F-4B79-AF50-E721C65BAE6D}: NameServer = 172.16.17.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{A06604C2-17E2-4E5C-847A-ED4F902CAB0C}: NameServer = 192.168.1.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = KABSW.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = KABSW.local
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: DATEV DFÜ-System Dienst (Dcmanag) - DATEV eG - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe

#4 alaska

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\hpCC51.tmp
C:\WINDOWS\system32\hpC375.tmp
C:\WINDOWS\system32\ldC2E8.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\dfrgsrv.exe

PC neustarten

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpCC51.tmp

PC neustarten

arbeite das bitte ganz genau ab. und berichte, falls die onlinscans noch etwas finden (bfu,smitrem, smitfraud.fix + Onlinescanner)
http://virus-protect.org/artikel/bfu/spyfalcon_bfu.html
oder:
http://virus-protect.org/artikel/spyware/spyfalcon.html

'
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

erstmal vielen Dank für die Hilfe. Es hat alles funktioniert; es wurden diverse Viren, Malware entfernt. In der Überprüfung im Normalmodus hat kaspersky noch einen in den systemVolumeInformations gefunden; den habe ich dann nach Rechteänderung manuell entfernt. Ich werde das Notebook jetzt testen; sollte jetzt noch etwas auftreten werde ich es complett neu installieren. Aber ich bin ganz zuversichtlich.
Wenn ich dieses Forum betrachte gibt es ja scheinbar wirklich massive Probleme bei bestimmter Malware. Ich dachte immer man installiert nen guten Virusscanner, hält ihn Up2date und man hat Ruhe...


greetinx

Alaska