Zlob Downloader +FakeVir-I + System Alert und Viruswarnung

#1 Hallo!
Habe einen FakeVir-I der aber jeden Tag nach dem Sophos ihn beseitigt hat wieder neu kommt. Genauso ist es mit dem Zlob-Downloader den habe ich auch schon mit spybot entfehren aber kommt immer wieder!
Zusätzlich die Warnmeldungen System Alert: Spyware
und in rotem Kasten: Virus Infection!
Kann ich da noch was machen außer neuinstallieren?

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS\system32

06.06.2006 16:22 5.044 stdole3.tlb
06.06.2006 15:47 36.002 vsconfig.xml
06.06.2006 15:44 6.656 simpole.tlb
06.06.2006 15:44 29.184 hp100.tmp
06.06.2006 15:44 55.821 ld102.tmp
06.06.2006 14:09 8 success
06.06.2006 00:30 10.468 atmclk.exe
06.06.2006 00:30 4.286 ts.ico
06.06.2006 00:30 4.286 ot.ico
05.06.2006 22:21 48.640 dcomcfg.exe
05.06.2006 21:05 176.128 acvgxw.dll
05.06.2006 20:58 242.328 FNTCACHE.DAT
01.06.2006 15:38 63 PREDICTPlus.ini
01.06.2006 14:54 67.597 regperf.exe
01.06.2006 14:45 1.158 wpa.dbl
17.05.2006 11:38 72 FYDAT.CFG
04.05.2006 07:55 23.392 nscompat.tlb
04.05.2006 07:55 16.832 amcompat.tlb
03.05.2006 21:26 5.818.784 MRT.exe
26.04.2006 16:38 4.212 zllictbl.dat
20.04.2006 08:34 197.680 vpnapi.dll
20.04.2006 08:34 29.752 InstHelper.dll
20.04.2006 08:34 193.584 CSGina.dll
14.04.2006 17:12 57 peer.ini
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\DOKUME~1\Anton\LOKALE~1\Temp

06.06.2006 16:24 512 ~DFF247.tmp
06.06.2006 16:00 16.384 ~DF5C39.tmp
06.06.2006 15:54 412 jusched.log
06.06.2006 15:50 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11058.html
06.06.2006 15:47 16.384 ~DF28C.tmp
06.06.2006 15:47 16.384 ~DF895B.tmp
06.06.2006 15:47 512 ~DF896D.tmp
06.06.2006 15:42 16.384 ~DFD7AA.tmp
06.06.2006 15:42 16.384 ~DFB1.tmp
06.06.2006 15:13 54.272 ginstall.dll
10 Datei(en) 138.611 Bytes
0 Verzeichnis(se), 5.049.516.032 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS

06.06.2006 15:52 1.213.176 WindowsUpdate.log
06.06.2006 15:46 159 wiadebug.log
06.06.2006 15:44 0 0.log
06.06.2006 15:43 2.048 bootstat.dat
06.06.2006 15:43 25.214 SchedLgU.Txt
06.06.2006 15:43 50 wiaservc.log
06.06.2006 14:09 977.220 setupapi.log
06.06.2006 13:39 19.896 ocmsn.log
06.06.2006 13:39 128.575 comsetup.log
06.06.2006 13:39 55.156 iis6.log
06.06.2006 13:39 2.911 KB893803v2Uninst.log
06.06.2006 13:39 1.355 imsins.log
06.06.2006 13:39 141.431 tsoc.log
06.06.2006 13:39 77.169 ntdtcsetup.log
06.06.2006 13:38 18.125 msgsocm.log
06.06.2006 13:38 353.547 FaxSetup.log
06.06.2006 13:38 183.524 ocgen.log
06.06.2006 12:09 148.540 wmsetup.log
04.06.2006 13:55 82 netdet.ini
04.06.2006 13:37 651 win.ini
04.06.2006 13:35 249.856 Setup1.exe
04.06.2006 13:35 73.216 ST6UNST.EXE
04.06.2006 01:05 42 AcrobatSetupStatus.ini
01.06.2006 16:49 30.653 KB912812.log
30.05.2006 23:17 116 NeroDigital.ini
17.05.2006 11:28 0 Explorer.EXE.Z-missing.txt
15.05.2006 19:08 34 cpview2.ini
13.05.2006 00:50 12.056 KB913580.log
13.05.2006 00:50 1.374 imsins.BAK
13.05.2006 00:50 26.927 updspapi.log
26.04.2006 16:34 11.405 KB900485.log
26.04.2006 16:27 2.181 spupdsvc.log
26.04.2006 13:55 18.576 KB908531.log
26.04.2006 13:55 18.427 KB911562.log
26.04.2006 13:52 11.656 KB901190.log
26.04.2006 13:52 12.472 KB911567.log
26.04.2006 13:52 10.479 KB911565.log
26.04.2006 13:51 7.063 KB913446.log
21.04.2006 22:19 230.115 setupact.log
10.04.2006 18:44 1.280.054 Firefox Wallpaper.bmp
03.04.2006 11:54 11.029 KB911927.log
03.04.2006 11:54 9.864 KB911564.log
22.03.2006 10:41 24 mgboss_reg.ini
22.03.2006 10:27 124 ae_mini.INI
22.03.2006 09:54 461 asr.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\

06.06.2006 16:25 0 sys.txt
06.06.2006 16:25 8.102 system.txt
06.06.2006 16:25 780 systemtemp.txt
06.06.2006 16:23 102.782 system32.txt
06.06.2006 15:43 527.290.368 hiberfil.sys
06.06.2006 15:43 792.723.456 pagefile.sys
17.05.2006 11:27 818 SEZNAM.DAT
06.05.2006 18:18 177 ASWL2K.ini
10.03.2006 00:39 87.333 recorder.mp3
06.03.2006 16:25 3.116 wiederhergestelltes Dokument.txt
12.01.2006 20:52 0 DBS.TXT
30.08.2005 01:41 9.729 w.exe
24.08.2005 22:25 221 boot.ini
21.07.2005 19:48 0 BOOTLOG.TXT
20.07.2005 05:01 0 BOOTLOG.PRV
19.07.2005 18:01 9 Finish.log
19.07.2005 17:39 0 IO.SYS
19.07.2005 17:39 0 CONFIG.SYS
19.07.2005 17:39 0 AUTOEXEC.BAT
19.07.2005 17:39 0 MSDOS.SYS
06.11.2004 13:25 9 A3N_A3L_A3G.40
07.09.2004 13:21 14 XPHG_SP2.GER
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
19.02.2003 16:28 37 Store.LOG
26 Datei(en) 1.320.530.651 Bytes
0 Verzeichnis(se), 5.049.466.880 Bytes frei


Logfile of HijackThis v1.99.1
Scan saved at 16:28:31, on 06.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\Programme\Mgboss\mgboss.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Anton\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Sophos SWEEP for NT\WSWEEPNT.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.stusta.mhn.de:3130
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ??(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\simonzhongwei.ocx
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EfreeSoft Boss Key] C:\Programme\Mgboss\mgboss.exe -min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "c:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://E:\chinese\swflash.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - c:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Hoffe es kann mir jemand weiterhelfen?
Vielen Dank!
Gruß Anlai

#2 Im Grunde sollte das reichen:
http://virus-protect.org/artikel/tools/smitfrautfix.html
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php
Dein PC sieht mir aber nach einem Firmenrechner aus. In dem Fall solltest du eure Administartion unterrichten und die soll entscheiden, wie sie bei Malwarebefall reagiert.
__________
MfG Ralf
SEO-Spam Hunter