Problem mit Zlob-IK

#0
29.05.2006, 12:57
Member

Beiträge: 17
#1 Hallo Sabina,
da bin ich wieder. Habe das gleiche Schei... Problem wie letztes mal. Habe meinen Rechner vor 3 Tagen neu aufgesetzt und jetzt dieser Mist.

Logfile of HijackThis v1.99.1
Scan saved at 12:53:38, on 29.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\dcomcfg.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Sebastian\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp100.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 384E-6F74

Verzeichnis von C:\WINDOWS\system32

29.05.2006 12:54 5.064 stdole3.tlb
29.05.2006 12:53 7.168 simpole.tlb
29.05.2006 12:53 37.888 hp100.tmp
29.05.2006 12:19 41.485 ld101.tmp
29.05.2006 12:15 59.904 dcomcfg.exe
29.05.2006 12:15 4.286 ot.ico
29.05.2006 12:15 11.056 atmclk.exe
29.05.2006 12:15 4.286 ts.ico

27.05.2006 17:01 43.520 CmdLineExt03.dll
27.05.2006 10:57 311.740 perfh009.dat
27.05.2006 10:57 316.924 perfh007.dat
27.05.2006 10:57 40.128 perfc009.dat
27.05.2006 10:57 48.354 perfc007.dat
27.05.2006 10:57 723.744 PerfStringBackup.INI
26.05.2006 23:58 0 h323log.txt
26.05.2006 23:10 25.065 wmpscheme.xml
26.05.2006 23:10 2.184 wpa.dbl
26.05.2006 23:08 90.296 FNTCACHE.DAT
26.05.2006 23:07 261 $winnt$.inf
26.05.2006 23:06 2.951 CONFIG.NT
26.05.2006 23:06 16.832 amcompat.tlb
26.05.2006 23:06 23.392 nscompat.tlb
26.05.2006 23:05 488 WindowsLogon.manifest
26.05.2006 23:05 488 logonui.exe.manifest
26.05.2006 23:05 749 sapi.cpl.manifest
26.05.2006 23:05 749 cdplayer.exe.manifest
26.05.2006 23:05 749 ncpa.cpl.manifest
26.05.2006 23:05 749 nwc.cpl.manifest
26.05.2006 23:05 749 wuaucpl.cpl.manifest
26.05.2006 23:04 21.740 emptyregdb.dat
18.01.2006 14:06 57.344 avsda.dll

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 384E-6F74

Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp

27.05.2006 17:01 4.592 SIntfIcn.ani
27.05.2006 17:01 24.744 SIntfNT.dll
27.05.2006 17:01 12.305 SIntf16.dll
27.05.2006 17:01 20.016 SIntf32.dll
27.05.2006 12:54 283 wahtmltmp00.htm
27.05.2006 00:31 72.192 ~e5.0001
27.05.2006 00:22 0 ~169.tmp
27.05.2006 00:07 8.682 CTZapTest.txt
27.05.2006 00:06 92 VerChk.txt

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 384E-6F74

Verzeichnis von C:\WINDOWS

29.05.2006 12:52 0 0.log
29.05.2006 12:51 2.048 bootstat.dat
29.05.2006 12:50 6.520 SchedLgU.Txt
29.05.2006 12:24 13.605 ntdtcsetup.log
29.05.2006 12:24 23.416 comsetup.log
29.05.2006 12:24 97.056 iis6.log
29.05.2006 12:24 3.302 ocmsn.log
29.05.2006 12:24 24.925 tsoc.log
29.05.2006 12:24 1.917 imsins.log
29.05.2006 12:24 32.673 ocgen.log
29.05.2006 12:24 2.348 msgsocm.log
29.05.2006 12:24 33.816 FaxSetup.log
29.05.2006 12:23 22.702 msmqinst.log
29.05.2006 12:20 192 winamp.ini
28.05.2006 22:29 690.209 setupapi.log
27.05.2006 00:23 939 Active Setup Log.txt
27.05.2006 00:12 0 pOOrGUI
27.05.2006 00:12 169.670 setupact.log
27.05.2006 00:02 11.668 Windows Update.log
26.05.2006 23:57 50 wiaservc.log
26.05.2006 23:57 509 wiadebug.log
26.05.2006 23:57 0 Sti_Trace.log
26.05.2006 23:55 1.348 regopt.log
26.05.2006 23:55 231 system.ini
26.05.2006 23:31 4.566 imsins.BAK
26.05.2006 23:21 5.396 Ascd_tmp.ini
26.05.2006 23:20 75.047 DirectX.log
26.05.2006 23:18 577 win.ini
26.05.2006 23:10 820 OEWABLog.txt
26.05.2006 23:10 752.831 setuplog.txt
26.05.2006 23:08 8.192 REGLOCS.OLD
26.05.2006 23:07 622 setuperr.log
26.05.2006 23:06 0 control.ini
26.05.2006 23:06 299.552 WMSysPrx.prx
26.05.2006 23:06 4.161 ODBCINST.INI
26.05.2006 23:05 749 WindowsShell.Manifest
26.05.2006 23:04 1.060 sessmgr.setup.log
26.05.2006 23:04 36 vb.ini
26.05.2006 23:04 37 vbaddin.ini
26.05.2006 23:03 128 DtcInstall.log
17.05.2005 17:59 40.708 SETTINGS.REG
03.05.2005 19:35 20.480 P17DEF.EXE

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 384E-6F74

Verzeichnis von C:\

29.05.2006 12:57 0 sys.txt
29.05.2006 12:56 4.081 system.txt
29.05.2006 12:56 917 systemtemp.txt
29.05.2006 12:55 89.033 system32.txt
29.05.2006 12:51 1.610.612.736 pagefile.sys
27.05.2006 12:31 0 itouch_config_crash_info.txt
27.05.2006 00:12 0 itouch_crash_info.txt
26.05.2006 23:06 0 CONFIG.SYS
26.05.2006 23:06 0 MSDOS.SYS
26.05.2006 23:06 0 IO.SYS
26.05.2006 23:06 0 AUTOEXEC.BAT
26.05.2006 22:58 194 boot.ini
Seitenanfang Seitenende
29.05.2006, 13:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Beowulf2

Laden und alles auf dem Desktop entpacken:

1.
BFU (Brute Force Uninstaller) kann man hier herunterladen: --> http://www.merijn.org/files/bfu.zip

2.
spyfalcon.zip : http://virus-protect.org/artikel/bfu/spyfalcon.zip --> entzippe--> Datei spyfalcon.bfu

3. SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

4. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg

-------------------------------------------------------------------------
5.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

Zitat

C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ts.ico
6.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

7.
Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

8.
suche: C:\!KillBox
und lösche alle dort eventuell befindlichen Dateien manuell

-------------------------------------------------------
9.
Öffne den Brute Force Uninstaller
* - klicke auf --> --> und suche die spyfalcon.bfu (unter Desktop) --> öffnen
* show log after script ends (anhaken)
* Execute klicken

-------------------------------------------------------
10.
* öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

------------------
11.
boote wieder in den Normalmodus

-----------------
12.
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

13.
scanne
http://virus-protect.org/artikel/tools/superantispyware.html

-------------------------------------------------------------------------------------------

es scheint auch ein Apropos auf dem Rechner zu sein:

aproposfix
http://swandog46.geekstogo.com/aproposfix.exe

boote unbedingt in den abgesicherten Modus

lade aproposfix.exe --> klicke RunThis.bat
klicke "enter" und warte, bis sich das Fenster schliesst.
boote wieder in den normalmodus
dann kopiere die log.txt hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2006, 13:40
Moderator
Avatar joschi

Beiträge: 6466
#3 Kennst Du die Ursache ? Ich denke das ist essentiell, ansonsten ist er bei nächster Gelegenheit wieder drauf... ? ;)
Leider geht aus http://www.sophos.com/virusinfo/analyses/trojzlobik.html nichts weiters hervor.

Mein Vorschlag: Du patchts Windows XP (!!) und verwendest speziell keinen InternetExplorer. Opera, Firefox- alles ausgereifte Browser, kostenlos erhältlich. Damit hast Du einen Großteil potentieller Gefahren ausgeschlossen.

Sabina, weißt Du mehr, außer wie man ihn entfernt ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
29.05.2006, 14:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ja..ich weiss, wo/wie man sich das holt, mit oder ohne SP2... mit IE und mit Firefox..man laedt sich (ohne es zu ahnen) verseuchte Media-Codecs runter, um sich bestimmte Filmchen ansehen zu koennen ..

http://virus-protect.org/artikel/spyware/spyfalcon.html
http://virus-protect.org/artikel/spyware/spywarequake.html

Zitat

Kommt als angeblicher Codec für den Windows Media Player auf den PC, den man installieren soll, um einen bestimmten Trailer abzuspielen

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2006, 15:05
Member

Themenstarter

Beiträge: 17
#5 Log of AproposFix v1.1

************

Running from directory:
C:\Dokumente und Einstellungen\Sebastian\Desktop\aproposfix

************



Registry entries found:


************

No service found!

Removing hidden folder:
No folder found!

Deleting files:


Backing up files:
Done!

Removing registry entries:

REGEDIT4


Done!

Finished!

Machst du dies eigentlich beruflich und wirst du dafür bezahlt? Du bist ja ständig on und hilfst wo du nur kannst.
Seitenanfang Seitenende
29.05.2006, 16:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 bist du ganz gewiss im abgesicherten Modus gewesen und hast AproposFix v1.1 dort angewendet?
kommen noch popUps ?

das ist der Hinweis auf Apropos.............
«
27.05.2006 00:12 0 pOOrGUI

-------------------------------------------------------------

RootkitRevealer - poste bitte dieses Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2006, 21:23
Member

Themenstarter

Beiträge: 17
#7 Ja ich war im abgesicherten Modus und nein es kommen imo keine Pop-Ups. Vllt ist alles weg, würde mich sehr freuen.
der revealer findet nichts.
Dieser Beitrag wurde am 29.05.2006 um 21:28 Uhr von Beowulf2 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: