Zlob oder Quake Trojaner , kann Smitfrautfix nicht herunterladen |
||
---|---|---|
#0
| ||
01.09.2006, 09:53
...neu hier
Beiträge: 5 |
||
|
||
01.09.2006, 12:49
Ehrenmitglied
Beiträge: 29434 |
#2
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html wenn das nicht klappt: Bitte führe folgendes aus: Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten Dort fügst Du ein und speicherst: Zitat @echo offAusführen! Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 04:37
...neu hier
Themenstarter Beiträge: 5 |
#3
Hallo Sabina, vielen Dank!
Datentr„ger in Laufwerk C: BOOTDISC Seriennummer des Datentr„gers: 1153-1D05 Verzeichnis von C:\WINDOWS\SYSTEM32 FOLDER HTT 13.085 06.05.03 22:09 folder.htt DESKTOP INI 266 06.05.03 22:09 desktop.ini 2 Datei(en) 13.351 Bytes 0 Verzeichnis(se) 1.138.601.984 Bytes frei Datentr„ger in Laufwerk C: BOOTDISC Seriennummer des Datentr„gers: 1153-1D05 Verzeichnis von C:\WINDOWS\TEMP SMURFVER XML 460 02.09.06 3:05 smurfver.xml 1 Datei(en) 460 Bytes 0 Verzeichnis(se) 1.138.581.504 Bytes frei Datentr„ger in Laufwerk C: BOOTDISC Seriennummer des Datentr„gers: 1153-1D05 Verzeichnis von C:\WINDOWS USER DAT 839.712 02.09.06 3:37 USER.DAT SYSTEM INI 2.278 02.09.06 3:37 SYSTEM.INI SYSTEM DAT 5.460.000 02.09.06 3:24 SYSTEM.DAT CONEXA~1 LOG 2.005 02.09.06 3:04 Conexant SoftK56 Data,Fax,RTAD PCI Modem.log SCHEDLOG TXT 32.680 02.09.06 2:33 SchedLog.Txt NDISLOG TXT 0 02.09.06 2:33 NDISLOG.TXT SHELLI~1 1.004.849 02.09.06 2:32 ShellIconCache SYSTEM CB 116 01.09.06 8:34 SYSTEM.CB WINAMP INI 95 01.09.06 6:52 winamp.ini HWINFO DAT 548.896 01.09.06 6:50 HWINFO.DAT TTFCACHE 3.241 01.09.06 6:40 ttfCache WIN386 SWP 0 01.09.06 6:40 WIN386.SWP WAVEMIX INI 112 31.08.06 20:49 WAVEMIX.INI POWERPNT INI 186 31.08.06 20:49 POWERPNT.INI WININIT BAK 61 31.08.06 11:48 WININIT.BAK WIN INI 9.363 30.08.06 13:13 WIN.INI IE4ERR~1 TXT 847 29.08.06 7:07 IE4 Error Log.txt SYSTEM BAK 2.030 28.08.06 12:54 SYSTEM.BAK SYSTEM NEW 2.055 28.08.06 12:54 SYSTEM.NEW TELEPHON INI 225 28.08.06 12:54 TELEPHON.INI CONEXA~2 LOG 2.645 28.08.06 12:51 Conexant SoftK56 Data,Fax,RTAD PCI Modem #2.log CDDABASE INI 13.139 03.06.06 23:20 cddabase.ini AUDIOVIE INI 178 31.05.06 23:07 audiovie.ini CDPLAYER INI 2.087 31.05.06 22:27 cdPlayer.ini WMSETUP LOG 142.452 29.03.06 23:25 wmsetup.log Datentr„ger in Laufwerk C: BOOTDISC Seriennummer des Datentr„gers: 1153-1D05 Verzeichnis von C:\ SYS TXT 0 02.09.06 3:47 sys.txt SYSTEM TXT 18.278 02.09.06 3:45 system.txt SYSTEM~1 TXT 285 02.09.06 3:41 systemtemp.txt SYSTEM32 TXT 344 02.09.06 3:37 system32.txt BOOTLOG TXT 68.925 01.09.06 11:09 BOOTLOG.TXT BOOTLOG PRV 69.175 01.09.06 10:28 BOOTLOG.PRV SMITFI~1 TXT 2.963 01.09.06 8:40 smitfiles.txt SCANDISK LOG 3.019 01.09.06 5:32 SCANDISK.LOG SETUPXLG TXT 2.918 30.08.06 15:15 SETUPXLG.TXT WIN386 SWP 536.870.912 30.08.06 11:00 WIN386.SWP 23990098 $$$ 149 10.03.05 18:41 23990098.$$$ Ich verstehe nicht die nächste Schritte: - Suche auf dem Desktop (oder in der Datei, die nach dem Entzippen entanden ist) die datFind.bat - doppelklick auf die bat-Datei , der Editor öffnet sich - nun kopiere zusammen mit dem Pfad ab ( Verzeichnis von C:\WINDOWS\system32) ca.3 Monate und in deinen Thread im Sicherheitsforum. (rechter Mausklick --> Text markieren --> kopieren --> einfügen) 1.Log --> Verzeichnis von C:\WINDOWS\system32 Habe ich das nicht schon alles gemacht ? Folgendesverstehe ich nicht: nun kopiere zusammen mit dem Pfad ab ( Verzeichnis von C:\WINDOWS\system32) Zur 2ten Alternative: Ich habe echo.zip rundergeladen, sonst blieb auf dem Desktop eine reine Textdatei, auch nach Umbenennung. Ich habe mehr als 4 Textdateien auf C, naja vielleicht reicht es ja aus was ich gemacht habe, ich poste das jetzt. Viele Grüsse |
|
|
||
02.09.2006, 12:56
Ehrenmitglied
Beiträge: 29434 |
#4
mojojo
* in den 4 logs finde ich nicht, was zum Zlob gehoeren koennte... * versuche mal, ob das proggie auf win98 funktioniert...falls ja, scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 14:27
...neu hier
Themenstarter Beiträge: 5 |
#5
Hallo Sabina!
1.Ich werde das Gefühl nicht los, mir diesen Trojaner bzw.Virus beim Enemy T. (ET)Spielen geholt zu haben. Vielleicht ist es nicht ZLob, sondern : Troj/Ranck-ET alias * Trojan-Proxy.Win32.Ranky.gen * Proxy-Piky * Win32/TrojanProxy.Ranky ist seit Mitte August im Umlauf und dessen Auswirkungen treffen bei mir völlig zu. Im Netzwerkmonitor sehe ich ja auch Aktivitäten, wenn ich keinen Browser gestartet habe und nicht im Internet aktiv bin. Natürlich nur eine Laienspekulation von mir, hier der Link: http://www.sophos.de/security/analyses/trojrancket.html 2. Warum kann ich die SmitfraudFix.exe nicht richtig herunterladen ? SmitfraudFix.cmd ist bei mir im Explorer nicht als Anwendung sichtbar und ausführbar, sondern nur als "neutrale" Datei zu sehen. Wer blockiert da was ? 3. Hier der Scan: UPERAntiSpyware Scan Log Generated 09/02/2006 at 02:04 PM Core Rules Database Version : 3072 Trace Rules Database Version: 1111 Memory Thread detected : 0 Registry Thread detected : 0 File Thread detected : 1 Adware.Tracking Cookie C:\WINDOWS\Cookies\müller@tripod[1].txt Mmh, C:\WINDOWS\Cookies\müller@tripod[1].txt hatte ich gestern schon gelöscht,ist auch nicht mehr im Windows-Explorer. Vielen Dank für Deine Hilfe , ich kann wahrscheinlich erst heute am späten Abend wieder online sein. Viele Grüsse und einen schönen Tag |
|
|
||
02.09.2006, 14:29
Ehrenmitglied
Beiträge: 29434 |
#6
scanne online - Kaspersky, Panda und Bitdefender und poste alle scanreporte
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 14:41
...neu hier
Themenstarter Beiträge: 5 |
#7
Was soll ich scannen, alle Partitionen ? Ich bin mit einen 56K unterwegs, und
habe keine Flat, daher kann das teuer werden. Wie lange dauert das denn ? Viele Grüsse |
|
|
||
02.09.2006, 14:50
Ehrenmitglied
Beiträge: 29434 |
#8
dann versuche es erst mal nur mit dem kaspersky, dann sehen wir weiter
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2006, 02:57
...neu hier
Themenstarter Beiträge: 5 |
#9
Hallo Sabina !
Leider hat Kaspersky nicht gefunden: Betriebssystem: Microsoft Windows 98 SE Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 3/09/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 207417 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz a:\ c:\ d:\ e:\ f:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 65264 Viren gefunden 0 Infizierte Objekte gefunden 0 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 01:23:46 Name des infizierten Objekts Virusname Letzte Aktion c:\WINDOWS\SchedLog.Txt Das Objekt ist gesperrt übersprungen c:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen c:\WINDOWS\Cookies\index.dat Das Objekt ist gesperrt übersprungen c:\WINDOWS\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen c:\WINDOWS\Conexant SoftK56 Data,Fax,RTAD PCI Modem.log Das Objekt ist gesperrt übersprungen c:\WINDOWS\Local Settings\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT Das Objekt ist gesperrt übersprungen c:\WIN386.SWP Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Das bei mir etwas ist, spüre ich aber an der starken Systemauslastung. Warum kann ich die SmitfraudFix.exe nicht richtig herunterladen ? SmitfraudFix.cmd ist bei mir im Explorer nicht als Anwendung sichtbar und ausführbar, sondern nur als "neutrale" Datei zu sehen. Wer blockiert da was ? Ach so, bezüglich meiner Vermutung, das der Störfaktor etwas mit dem Spiel Enemy Territories zu tun hat. Wie oben schon gesagt hat ET dieselbe Engine wie Ouake, und es gibt seit Mitte August den Trojaner Troj/Ranck-ET . Ob das ET des Tojaners für Enemy Territories steht, weiss ich nicht. Ich hatte Et vor einigen Tagen de-und wieder neu installiert. Eben entdecke ich in der Systemsteuerung -- Software zwei (!) Einträge des Spiels. Egal wie das hier ausgeht, möchte ich mich mal ganz herzlich im Namen aller Verzweifelten bei Dir bedanken. Du machst hier im Forum einen ganz tollen Job! Viele Grüsse |
|
|
||
03.09.2006, 12:13
Ehrenmitglied
Beiträge: 29434 |
#10
1.
Kaspersky erkennt den Trojaner, wenn es ihn denn gibt. beispiel: Zitat C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ADSPUXCN\socks11[1].exe Infected: Trojan-Proxy.Win32.Ranky.ca2. du solltest nicht zwei Virenscanner installiert haben, klar, dass die Auslastung steigt, deinstalliere einen von beide. 3. Spynomore - hast du das geladen ? spynomore.com/trojan-zlob.htm Das sieht mir stark nach einem Faketool aus, deinstalliere es...oder hast du den Onlinescan gemacht ??? loesche alles - dann wirst du sehen, dass es keinen Trojaner mehr auf deinem Rechner gibt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich bin mittlerweile völlig ratlos:
ZMist wurde von Antivir gefunden (konnte nicht richtig gelöscht werden ),
Zlob wurde von Spynomore entdeckt. Smitfrautfix kann ich nicht richtig herunterladen-Smitfrautfix.cmd ist nicht als Anwendung sichtbar, sondern nur als Datei im Explorer sichtbar und somit nicht ausführbar ( auch nicht im abgesicherten Modus). Ich vermute, dass ich mir die ganze Geschichte beim ET-Spielen gezogen habe (Quake3 -Engine)
Kaspersky findet übrigens gar nichts. obwohl es auf dem Desktop brennt und
viele Ressourcen gezogen werden.
Hier mein HijackThisfile:
Logfile of HijackThis v1.99.1
Scan saved at 09:42:42, on 01.09.06
Platform: Windows 98 SE (Win
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\SPYNOMORE\SNM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\SMARTSURFER\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SNM] C:\PROGRAMME\SPYNOMORE\SNM.EXE /startup
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [AVP] "C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0\AVP.EXE -r"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf%201: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
Hoffentlich habe ich alles richtig gemacht. Ich bin nicht so der Profi und
wirklich für jede Hilfe dankbar.
Einen schönen Tag !