SpywareQuake und Win32:Zlob-BM bzw. BN

#1 liebe leute,
ich hoffe, hier kann mir jemand helfen. ich habe mir vor kurzem spywarequake eingefangen und bin auf der suche nach infos auf diese seite gestossen. ich bin auch dabei, die schritte abzuarbeiten wie auf virus-protect.org/artikel/spyware/spywarequake.html beschrieben. hab auch schon mal angefangen und mittendrin aufgegeben, wollte es jetzt noch mal versuchen und haenge jetzt bei schritt 3 bzw. 4.

ich weiss nicht mal, welches "logfile" ihr braucht, um mir zu helfen - die von hijackthis oder von datfind? zur sicherheit stell ich mal beide hier rein:

Logfile of HijackThis v1.99.1
Scan saved at 23:59:33, on 12.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\dcomcfg.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marion\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS.0\system32\hp76A5.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



und das kommt bei datfind:


Verzeichnis von C:\WINDOWS.0\system32

12.05.2006 23:19 5.632 simpole.tlb
12.05.2006 23:19 25.088 hp76A5.tmp
12.05.2006 23:15 160 stdole3.tlb
12.05.2006 23:15 4.286 ot.ico
12.05.2006 23:15 4.286 ts.ico
12.05.2006 23:15 4.932 ncompat.tlb
12.05.2006 20:57 25.088 hp8CE7.tmp
12.05.2006 17:52 2.206 wpa.dbl
07.05.2006 21:18 16.789 dcomcfg.exe
07.05.2006 12:37 3.692 qtplugin.log
07.05.2006 12:28 3.002 CONFIG.NT
27.04.2006 19:50 597.504 aswBoot.exe
27.04.2006 19:42 90.112 AVASTSS.scr
27.03.2006 17:59 314.644 perfh009.dat
27.03.2006 17:59 40.972 perfc009.dat
27.03.2006 17:59 320.424 perfh007.dat
27.03.2006 17:59 49.378 perfc007.dat
27.03.2006 17:59 732.342 PerfStringBackup.INI
13.01.2006 19:27 7.006 jupdate-1.5.0_06-b05.log
13.01.2006 19:09 193.776 FNTCACHE.DAT
09.01.2006 23:00 251 spupdwxp.log
09.01.2006 21:36 25.065 wmpscheme.xml
09.01.2006 21:33 753 $winnt$.inf
09.01.2006 21:26 16.832 amcompat.tlb
09.01.2006 21:26 23.392 nscompat.tlb
09.01.2006 21:23 488 WindowsLogon.manifest
09.01.2006 21:23 488 logonui.exe.manifest
09.01.2006 21:22 749 wuaucpl.cpl.manifest
09.01.2006 21:22 749 sapi.cpl.manifest
09.01.2006 21:22 749 cdplayer.exe.manifest
09.01.2006 21:22 749 nwc.cpl.manifest
09.01.2006 21:22 749 ncpa.cpl.manifest
09.01.2006 21:19 21.740 emptyregdb.dat
09.01.2006 21:15 0 h323log.txt


Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

12.05.2006 23:37 70.487 KillBox.zip
12.05.2006 23:29 3.138 jusched.log
12.05.2006 23:16 16.384 ~DF164C.tmp
12.05.2006 21:01 49.152 ~DFB7A8.tmp
12.05.2006 19:14 30 StatusRx.log
12.05.2006 17:56 49.152 ~DF809A.tmp
07.05.2006 12:58 725 TWAIN.LOG
07.05.2006 12:58 156 Twunk001.MTX
07.05.2006 12:58 3 Twain001.Mtx
06.05.2006 22:45 2.048.000 Acr1.tmp
06.05.2006 21:44 426 Acr199.tmp
06.05.2006 14:34 0 Twunk002.MTX
03.05.2006 20:14 939 jupdate1.5.0.xml
03.05.2006 19:19 1.632 ~WRS0001.tmp
03.05.2006 19:19 2.566 ~WRS0000.tmp
03.05.2006 19:19 16.384 ~WRF0001.tmp
03.05.2006 19:18 78 dw.log
03.05.2006 19:14 33.280 ~WRC0000.tmp
03.05.2006 19:14 297.823 2006_05_03_MiHu_Diss.zip
19 Datei(en) 2.590.355 Bytes
0 Verzeichnis(se), 13.148.508.160 Bytes frei


Verzeichnis von C:\WINDOWS.0

12.05.2006 23:26 248.597 WindowsUpdate.log
12.05.2006 23:21 157 wiadebug.log
12.05.2006 23:21 50 wiaservc.log
12.05.2006 23:20 0 0.log
12.05.2006 23:19 2.048 bootstat.dat
12.05.2006 23:18 21.624 SchedLgU.Txt
12.05.2006 18:29 778.851 setupapi.log
07.05.2006 12:48 1.064 DirectX.log
07.05.2006 12:41 53.120 wmsetup.log
07.05.2006 12:41 316.640 WMSysPr9.prx
18.03.2006 19:44 2.909 mozver.dat
18.03.2006 19:13 0 nsreg.dat
18.03.2006 19:12 107.134 UninstallFirefox.exe
14.01.2006 19:20 510 ODBC.INI
09.01.2006 23:11 1.510 OEWABLog.txt
09.01.2006 23:05 30.095 spupdsvc.log
09.01.2006 23:05 360 DtcInstall.log
09.01.2006 23:04 92.754 iis6.log
09.01.2006 23:04 25.409 comsetup.log
09.01.2006 23:04 16.154 ntdtcsetup.log
09.01.2006 23:04 21.173 tsoc.log
09.01.2006 23:04 1.061 tabletoc.log
09.01.2006 23:04 4.635 imsins.log
09.01.2006 23:04 2.292 ocmsn.log
09.01.2006 23:04 3.743 medctroc.Log
09.01.2006 23:04 30.165 ocgen.log
09.01.2006 23:04 2.006 msgsocm.log
09.01.2006 23:04 28.762 FaxSetup.log
09.01.2006 23:03 3.557 netfxocm.log
09.01.2006 23:02 21.056 msmqinst.log
09.01.2006 23:01 744.458 setuplog.txt
09.01.2006 22:57 447.565 svcpack.log
09.01.2006 22:57 1.355 imsins.BAK
09.01.2006 22:50 200 cmsetacl.log
09.01.2006 22:50 615 win.ini
09.01.2006 22:49 1.330 sessmgr.setup.log
09.01.2006 21:34 8.192 REGLOCS.OLD
09.01.2006 21:33 179.426 setupact.log
09.01.2006 21:26 0 control.ini
09.01.2006 21:26 299.552 WMSysPrx.prx
09.01.2006 21:25 4.249 ODBCINST.INI
09.01.2006 21:24 240 Windows Update.log
09.01.2006 21:22 749 WindowsShell.Manifest
09.01.2006 21:18 36 vb.ini
09.01.2006 21:18 37 vbaddin.ini
09.01.2006 21:11 0 Sti_Trace.log
09.01.2006 21:00 1.310 regopt.log
09.01.2006 21:00 231 system.ini
09.01.2006 19:49 0 setuperr.log


Verzeichnis von C:\

13.05.2006 00:02 0 sys.txt
13.05.2006 00:01 4.403 system.txt
13.05.2006 00:01 1.190 systemtemp.txt
13.05.2006 00:00 98.359 system32.txt
12.05.2006 23:19 132.698.112 hiberfil.sys
12.05.2006 23:19 201.326.592 pagefile.sys
09.01.2006 22:50 215 boot.ini
09.01.2006 22:37 47.564 NTDETECT.COM
09.01.2006 22:37 251.184 ntldr
09.01.2006 21:26 0 IO.SYS
09.01.2006 21:26 0 CONFIG.SYS
09.01.2006 21:26 0 AUTOEXEC.BAT
09.01.2006 21:26 0 MSDOS.SYS



was mach ich jetzt damit?


das naechste problem ist, dass mein virenprogramm (avast) mich staendig warnt, dass ich trojaner auf dem rechner habe, und zwar Win32:Zlob-BM bzw. Win32:Zlob-BN. haengt das mit spywarequake zusammen oder ist das schon wieder was neues? und wie krieg ich das weg? avast laesst mich die dinger zwar loeschen, aber sie kommen immer wieder.

so, das waren jetzt mal ganz viele fragen auf einmal von jemandem, der wirklich keine ahnung von computern hat - ich hoffe, hier findet sich jemand, der auch einem laien halbwegs verstaendlich erklaeren kann, was zu tun ist.

vielen, vielen dank schon mal im voraus!
a_abendstern

#2 a_abendstern

arbeite alles ab:..also smitrem laden, die reg-Datei anwenden, Systemwiederherstllung deaktivieren usw....
http://virus-protect.org/artikel/spyware/spywarequake.html

den Punkt der datfindbat musst du ueberspringen, denn ich habe schon alle Malware rausgesucht, die zu loeschen ist

Zitat

punkt HijackThis:

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS.0\system32\hp76A5.tmp


punkt Killbox:

C:\WINDOWS.0\system32\simpole.tlb
C:\WINDOWS.0\system32\hp76A5.tmp
C:\WINDOWS.0\system32\stdole3.tlb
C:\WINDOWS.0\system32\ot.ico
C:\WINDOWS.0\system32\ts.ico
C:\WINDOWS.0\system32\ncompat.tlb
C:\WINDOWS.0\system32\hp8CE7.tmp
C:\WINDOWS.0\system32\dcomcfg.exe

dann berichte
vielleicht postest du das Log von Superantispyware (Quarantaene bevor du sie loeschst)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 liebe sabina, danke schon mal. ich hab jetzt die dateien in die killbox kopiert - immerhin schon etwas. wie gesagt, ich bin aber eine absolute niete auf diesem gebiet und hab noch ein paar fragen, wie's weitergeht. ich hab echt angst, mir den ganzen rechner hin zu machen, wenn ich jetzt was falsches tu:

- muss ich jetzt gleich, bevor ich in den abgesicherten modus gehe, die systemwiederherstellung deaktivieren? im spywarequake-artikel steht das naemlich erst als punkt 11.

- die punkte 7 bis 9 werden alle im abgesicherten modus gemacht, hab ich das richtig verstanden?

- kannst du mir auch zu Win32:Zlob was sagen?

danke fuer die schnelle hilfe so spaet nachts!

#4 a_abendstern

nun gut..ich liste noch mal alles auf:
http://virus-protect.org/artikel/spyware/spywarequake.html

-----------------------------------------------------------------------------

speichere auf dem Desktop

1.
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

sieh auf der Seite...

http://virus-protect.org/artikel/spyware/spywarequake.html

3.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

C:\WINDOWS.0\system32\simpole.tlb
C:\WINDOWS.0\system32\hp76A5.tmp
C:\WINDOWS.0\system32\stdole3.tlb
C:\WINDOWS.0\system32\ot.ico
C:\WINDOWS.0\system32\ts.ico
C:\WINDOWS.0\system32\ncompat.tlb
C:\WINDOWS.0\system32\hp8CE7.tmp
C:\WINDOWS.0\system32\dcomcfg.exe

**
4.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

5.
Die Datei "fixme.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

**
6.
suche: C:\!KillBox und lösche alle dort befindlichen Dateien manuell, falls vorhanden

Beispiel:
C:\!KillBox\dfrgsrv.exe
C:\!KillBox\stickrep.dll

**
7.
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet.
Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.
----------------------------------------------------------------------------
8.
Datenträgerbereinigung: und Löschen der Temporary-Dateien

Start - Ausführen - cleanmgr (reinschreiben)
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

-----------------
9.
boote wieder in den Normalmodus

**
10.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann nach der Reinigung wieder aktivieren)

**
11.
Superantispyware --> alles in Quarantäne setzen ... dann löschen (das Tool ist sehr effektiv...und es ist free)
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 liebe sabina,

hab jetzt alles bis zur superantispyware durchgeackert - auf den ersten blick sind auf jeden fall mal diese links am desktop weg (zu onlinesecurityguide und security troubleshooting). aber es war tw. ein bisschen anders als in der anleitung: bei smitrem z.b. konnte ich gar nichts suchen, das lief einfach alles durch. auch einen uninstaller hab ich nicht gesehen. und in C:\\WINDOWS\Prefetch konnte ich die angegebenen dateien auch nicht finden.

superantispyware findet noch folgendes:

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\Cookies\username@m1.webstatus4u[1].txt

Malware.Spyware Quake
C:\installs\SpywareQuakeInstaller.exe

morgen lasse ich noch mcafee und kaspersky ueber den rechner laufen, dann melde ich mich noch mal mit den ergebnissen.

danke fuer die geduld mit so einem dummie wie mir.

***********************************

---------------------------------

also, kaspersky findet nix mehr, und auch avast nicht. ich krieg auch keine staendigen meldungen mehr, dass ich einen trojaner auf dem computer habe, also vermute ich, dass auch dieser win32:zlob bei meiner naechtlichen aufraeumaktion beseitigt wurde. die beiden dateien, die superantispyware gestern noch gefunden hat, habe ich mittlerweile auch noch geloescht. ist es tatsaechlich ueberstanden??
mich verwirrt ja immer noch ein bisschen, dass es mit smitrem anders gelaufen ist als in der anleitung.

was mach ich jetzt mit all den programmen, die ich heruntergeladen habe? deinstallieren?

ausserdem habe ich jetzt ja mehrere virenprogramme am computer (avast, superantispyware, kaspersky), ich habe aber gelesen, dass mehrere nebeneinander laufende nicht gut sind - welchen soll ich also behalten?

sabina - tausend dank noch mal fuer die rasche und kompetente hilfe!