Zlob oder Quake Trojaner , kann Smitfrautfix nicht herunterladen

#1 Hallo !

Ich bin mittlerweile völlig ratlos:
ZMist wurde von Antivir gefunden (konnte nicht richtig gelöscht werden ),
Zlob wurde von Spynomore entdeckt. Smitfrautfix kann ich nicht richtig herunterladen-Smitfrautfix.cmd ist nicht als Anwendung sichtbar, sondern nur als Datei im Explorer sichtbar und somit nicht ausführbar ( auch nicht im abgesicherten Modus). Ich vermute, dass ich mir die ganze Geschichte beim ET-Spielen gezogen habe (Quake3 -Engine)
Kaspersky findet übrigens gar nichts. obwohl es auf dem Desktop brennt und
viele Ressourcen gezogen werden.

Hier mein HijackThisfile:


Logfile of HijackThis v1.99.1
Scan saved at 09:42:42, on 01.09.06
Platform: Windows 98 SE (Win
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\SPYNOMORE\SNM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\SMARTSURFER\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SNM] C:\PROGRAMME\SPYNOMORE\SNM.EXE /startup
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [AVP] "C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0\AVP.EXE -r"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf%201: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll


Hoffentlich habe ich alles richtig gemacht. Ich bin nicht so der Profi und
wirklich für jede Hilfe dankbar.

Einen schönen Tag !

#2 Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

wenn das nicht klappt:

Bitte führe folgendes aus:
Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten
Dort fügst Du ein und speicherst:

Zitat

@echo off
cd\
cd %windir%\system
dir /a:-d /o:-d > %systemdrive%\system.txt
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\win.txt
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
exit

Ausführen!
Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina, vielen Dank!

Datentr„ger in Laufwerk C: BOOTDISC
Seriennummer des Datentr„gers: 1153-1D05
Verzeichnis von C:\WINDOWS\SYSTEM32

FOLDER HTT 13.085 06.05.03 22:09 folder.htt
DESKTOP INI 266 06.05.03 22:09 desktop.ini
2 Datei(en) 13.351 Bytes
0 Verzeichnis(se) 1.138.601.984 Bytes frei


Datentr„ger in Laufwerk C: BOOTDISC
Seriennummer des Datentr„gers: 1153-1D05
Verzeichnis von C:\WINDOWS\TEMP

SMURFVER XML 460 02.09.06 3:05 smurfver.xml
1 Datei(en) 460 Bytes
0 Verzeichnis(se) 1.138.581.504 Bytes frei


Datentr„ger in Laufwerk C: BOOTDISC
Seriennummer des Datentr„gers: 1153-1D05
Verzeichnis von C:\WINDOWS

USER DAT 839.712 02.09.06 3:37 USER.DAT
SYSTEM INI 2.278 02.09.06 3:37 SYSTEM.INI
SYSTEM DAT 5.460.000 02.09.06 3:24 SYSTEM.DAT
CONEXA~1 LOG 2.005 02.09.06 3:04 Conexant SoftK56 Data,Fax,RTAD PCI Modem.log
SCHEDLOG TXT 32.680 02.09.06 2:33 SchedLog.Txt
NDISLOG TXT 0 02.09.06 2:33 NDISLOG.TXT
SHELLI~1 1.004.849 02.09.06 2:32 ShellIconCache
SYSTEM CB 116 01.09.06 8:34 SYSTEM.CB
WINAMP INI 95 01.09.06 6:52 winamp.ini
HWINFO DAT 548.896 01.09.06 6:50 HWINFO.DAT
TTFCACHE 3.241 01.09.06 6:40 ttfCache
WIN386 SWP 0 01.09.06 6:40 WIN386.SWP
WAVEMIX INI 112 31.08.06 20:49 WAVEMIX.INI
POWERPNT INI 186 31.08.06 20:49 POWERPNT.INI
WININIT BAK 61 31.08.06 11:48 WININIT.BAK
WIN INI 9.363 30.08.06 13:13 WIN.INI
IE4ERR~1 TXT 847 29.08.06 7:07 IE4 Error Log.txt
SYSTEM BAK 2.030 28.08.06 12:54 SYSTEM.BAK
SYSTEM NEW 2.055 28.08.06 12:54 SYSTEM.NEW
TELEPHON INI 225 28.08.06 12:54 TELEPHON.INI
CONEXA~2 LOG 2.645 28.08.06 12:51 Conexant SoftK56 Data,Fax,RTAD PCI Modem #2.log
CDDABASE INI 13.139 03.06.06 23:20 cddabase.ini
AUDIOVIE INI 178 31.05.06 23:07 audiovie.ini
CDPLAYER INI 2.087 31.05.06 22:27 cdPlayer.ini
WMSETUP LOG 142.452 29.03.06 23:25 wmsetup.log



Datentr„ger in Laufwerk C: BOOTDISC
Seriennummer des Datentr„gers: 1153-1D05
Verzeichnis von C:\

SYS TXT 0 02.09.06 3:47 sys.txt
SYSTEM TXT 18.278 02.09.06 3:45 system.txt
SYSTEM~1 TXT 285 02.09.06 3:41 systemtemp.txt
SYSTEM32 TXT 344 02.09.06 3:37 system32.txt
BOOTLOG TXT 68.925 01.09.06 11:09 BOOTLOG.TXT
BOOTLOG PRV 69.175 01.09.06 10:28 BOOTLOG.PRV
SMITFI~1 TXT 2.963 01.09.06 8:40 smitfiles.txt
SCANDISK LOG 3.019 01.09.06 5:32 SCANDISK.LOG
SETUPXLG TXT 2.918 30.08.06 15:15 SETUPXLG.TXT
WIN386 SWP 536.870.912 30.08.06 11:00 WIN386.SWP
23990098 $$$ 149 10.03.05 18:41 23990098.$$$



Ich verstehe nicht die nächste Schritte:


- Suche auf dem Desktop (oder in der Datei, die nach dem Entzippen entanden ist) die datFind.bat

- doppelklick auf die bat-Datei , der Editor öffnet sich
- nun kopiere zusammen mit dem Pfad ab ( Verzeichnis von C:\WINDOWS\system32) ca.3 Monate und in deinen Thread im Sicherheitsforum. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

1.Log --> Verzeichnis von C:\WINDOWS\system32


Habe ich das nicht schon alles gemacht ?

Folgendesverstehe ich nicht:
nun kopiere zusammen mit dem Pfad ab ( Verzeichnis von C:\WINDOWS\system32)

Zur 2ten Alternative:
Ich habe echo.zip rundergeladen, sonst blieb auf dem Desktop eine reine
Textdatei, auch nach Umbenennung.
Ich habe mehr als 4 Textdateien auf C, naja vielleicht reicht es ja aus was ich gemacht habe, ich poste das jetzt.


Viele Grüsse

#4 mojojo

*
in den 4 logs finde ich nicht, was zum Zlob gehoeren koennte...

*
versuche mal, ob das proggie auf win98 funktioniert...falls ja, scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina!

1.Ich werde das Gefühl nicht los, mir diesen Trojaner bzw.Virus beim Enemy T. (ET)Spielen geholt zu haben.
Vielleicht ist es nicht ZLob, sondern : Troj/Ranck-ET
alias
* Trojan-Proxy.Win32.Ranky.gen
* Proxy-Piky
* Win32/TrojanProxy.Ranky

ist seit Mitte August im Umlauf und dessen Auswirkungen treffen bei mir
völlig zu. Im Netzwerkmonitor sehe ich ja auch Aktivitäten, wenn ich keinen Browser gestartet habe und nicht im Internet aktiv bin. Natürlich nur eine Laienspekulation von mir, hier der Link:

http://www.sophos.de/security/analyses/trojrancket.html

2. Warum kann ich die SmitfraudFix.exe nicht richtig herunterladen ?

SmitfraudFix.cmd ist bei mir im Explorer nicht als Anwendung sichtbar und ausführbar, sondern nur als "neutrale" Datei zu sehen. Wer blockiert da was ?

3. Hier der Scan:

UPERAntiSpyware Scan Log
Generated 09/02/2006 at 02:04 PM

Core Rules Database Version : 3072
Trace Rules Database Version: 1111

Memory Thread detected : 0
Registry Thread detected : 0
File Thread detected : 1

Adware.Tracking Cookie
C:\WINDOWS\Cookies\müller@tripod[1].txt


Mmh, C:\WINDOWS\Cookies\müller@tripod[1].txt hatte ich gestern schon gelöscht,ist auch nicht mehr im Windows-Explorer.

Vielen Dank für Deine Hilfe , ich kann wahrscheinlich erst heute am späten Abend wieder online sein.

Viele Grüsse und einen schönen Tag

#6 scanne online - Kaspersky, Panda und Bitdefender und poste alle scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Was soll ich scannen, alle Partitionen ? Ich bin mit einen 56K unterwegs, und
habe keine Flat, daher kann das teuer werden. Wie lange dauert das denn ?

Viele Grüsse

#8 dann versuche es erst mal nur mit dem kaspersky, dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina !

Leider hat Kaspersky nicht gefunden:


Betriebssystem: Microsoft Windows 98 SE
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 3/09/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 207417
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
a:\
c:\
d:\
e:\
f:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 65264
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:23:46

Name des infizierten Objekts Virusname Letzte Aktion
c:\WINDOWS\SchedLog.Txt Das Objekt ist gesperrt übersprungen
c:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
c:\WINDOWS\Cookies\index.dat Das Objekt ist gesperrt übersprungen
c:\WINDOWS\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
c:\WINDOWS\Conexant SoftK56 Data,Fax,RTAD PCI Modem.log Das Objekt ist gesperrt übersprungen
c:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT Das Objekt ist gesperrt übersprungen
c:\WIN386.SWP Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.


Das bei mir etwas ist, spüre ich aber an der starken Systemauslastung.

Warum kann ich die SmitfraudFix.exe nicht richtig herunterladen ?
SmitfraudFix.cmd ist bei mir im Explorer nicht als Anwendung sichtbar und ausführbar, sondern nur als "neutrale" Datei zu sehen. Wer blockiert da was ?

Ach so, bezüglich meiner Vermutung, das der Störfaktor etwas mit dem
Spiel Enemy Territories zu tun hat. Wie oben schon gesagt hat ET dieselbe Engine wie Ouake, und es gibt seit Mitte August den Trojaner Troj/Ranck-ET .
Ob das ET des Tojaners für Enemy Territories steht, weiss ich nicht.

Ich hatte Et vor einigen Tagen de-und wieder neu installiert. Eben entdecke
ich in der Systemsteuerung -- Software zwei (!) Einträge des Spiels.

Egal wie das hier ausgeht, möchte ich mich mal ganz herzlich im Namen aller
Verzweifelten bei Dir bedanken. Du machst hier im Forum einen ganz tollen Job!

Viele Grüsse

#10 1.
Kaspersky erkennt den Trojaner, wenn es ihn denn gibt.
beispiel:

Zitat

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ADSPUXCN\socks11[1].exe Infected: Trojan-Proxy.Win32.Ranky.ca

2.
du solltest nicht zwei Virenscanner installiert haben, klar, dass die Auslastung steigt, deinstalliere einen von beide.

3.
Spynomore - hast du das geladen ?
spynomore.com/trojan-zlob.htm
Das sieht mir stark nach einem Faketool aus, deinstalliere es...oder hast du den Onlinescan gemacht ??? loesche alles - dann wirst du sehen, dass es keinen Trojaner mehr auf deinem Rechner gibt
__________
MfG Sabina

rund um die PC-Sicherheit