Trojan.Zlob.L

[Santos]

Hallo!
Seit geraumer zeit erscheinen in meiner taskleiste andauert unbekannte symbole.Es sind an der Zahl 5.Jedes blinkt und ändert sich mit jedem blinken. Drei von ihnen sind blau mit weisem fragen zeichen und werden dan zu einem roten schild was durchgestrichen ist und die andern 2 sind grüne rollstühle die zu diesem schild werden.
Und dan habe ich noch ein gelbes Dreieck mit einem Ausrufezeichen darin.
Und ich kann sie nicht anklicken.

Zudem erscheint in regelmäßigen abständen unten links ein Text mit roten Rahmen, wo drin steht das mein computer infiziert ist.Ich kann es nicht weggklickten oder sonstwas.

Zudem habe ich infizierte datein die Antivirus nicht löschen kann aber immer wieder anzeigt das es sie gibt.Diese datein heisen:

dcomcfg.exe - (Trojan.Zlob.L)
hp100.tmp ab un zu auch 101 oder 102 (Trojan.Zlob.L)
id8D7A.tmp - (Downloader)
reqperf.exe - (Trojan.Dropper)
vbsys2.dll - (Adware.Purityscan)
winccf32.dll - (Backdoor.Trojan)

Ich bin schon am verzweifeln hoffem ir kann jemand helfen.

 

[McFly]

Re: Trojan.Zlob.L

Hallo Santos, das wichtige zuerst, von jedem Programm wird ein Logfile (Protokoll) erstellt
indem steht was es finden und löschen konnte. Diese Logfiles brauchen wir zur Auswertung,
daher bitte alle Logfiles am Ende zusammen als EIN großes Textfile hier mit der > Upload starten <
Funktion posten (Texte einfach zusammenfügen mit kopieren & einfügen).

Da es einige Zeit dauern wird bis dein Rechner wieder richtig funktioniert, lass dir bitte Zeit
bei der Reinigung, dann kann auch nichts schiefgehen. Falls du Fragen dazu hast schick mir eine EMail.

#1. Vorbereitung
Lade dir das Programm

Please, Anmelden or Registrieren to view URLs content!

herrunter.
Starte es und wähle "Options" an, dort unter "Appearance" -> Choose Language -> German anwählen und bestätigen.

Jetzt den Eintrag "Unnötig" anwählen, dort sollte folgendes angewählt sein:

Boot Laufwerk C:
Normale Suche
Temporäre Ordner
Temporäre Internet Dateien

Nun klicke auf Suchen.
Nachdem Easycleaner mit dem Suchvorgang fertig ist,
wähle "Alle auswählen" und "Löschen", dann das Programm beenden.

#1a. Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

#1b. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor, kopiere diesen Code rein:

cd %windir%
attrib /s /d -h -s system32
attrib -s -h -r system32\cmd.com
attrib -s -h -r system32\bszip.dll
attrib -s -h -r system32\netstat.com
attrib -s -h -r system32\ping.com
attrib -s -h -r system32\regedit.com
attrib -s -h -r system32\taskkill.com
attrib -s -h -r system32\tasklist.com
attrib -s -h -r system32\tracert.com
del system32\cmd.com
del system32\bszip.dll
del system32\netstat.com
del system32\ping.com
del system32\regedit.com
del system32\taskkill.com
del system32\tasklist.com
del system32\tracert.com

#1c. Speichere die Datei als Fix.bat auf dem Desktop ab.
#1d. Starte die Datei Fix.bat

#2. Wurmkur
Lade dir das Programm von einem dieser Links runter: hier

Please, Anmelden or Registrieren to view URLs content!

, hier

Please, Anmelden or Registrieren to view URLs content!

oder hier

Please, Anmelden or Registrieren to view URLs content!

Entpacke in C:/Programme/BFU/BFU.exe und starte es

Folge dem blauen Pfeil und klicke auf den Netzanschluss.

#2a. Nun öffnet sich ein kleines Fenster.
In den URL-Spalt dieses Fensterchens gibst du diese URL ein:
"

Please, Anmelden or Registrieren to view URLs content!

"
Drücke auf den "ok" Button.

#2b. Drücke dann den "Execute" Button.
Warte auf das PopUp das anzeigt, dass die Ausführung des Skripts stattgefunden hat.
Drücke auf "ok" bzw. auf "exit".

#2c. Starte deinen Rechner neu.
Überprüfe ob Taskmanager, Regedit funktionieren.

#2d. Jetzt bitte einem Full-System-Scan des

Please, Anmelden or Registrieren to view URLs content!

machen lassen.
Bitte dafür in den Internet Explorer einstellungen ActiveX zulassen.
Der Scan kann ca 2-3 Stunden dauern.

#3. Basisschutz installation
Lade die Programme

Please, Anmelden or Registrieren to view URLs content!

,

Please, Anmelden or Registrieren to view URLs content!

und

Please, Anmelden or Registrieren to view URLs content!

wenn nicht schon vorhanden,
bitte nur updaten lassen und beenden, also NOCH NICHT Scannen lassen.

#4. Smitfraud A
Lade das

Please, Anmelden or Registrieren to view URLs content!

, das

Please, Anmelden or Registrieren to view URLs content!

und auch bitte

Please, Anmelden or Registrieren to view URLs content!

herrunter..

Falls du nach dem Gebrauch der Removal Tools Probleme bekommen solltest mit der Internet Verbindung,
kannst du das mit WinFix reparieren..
>

Please, Anmelden or Registrieren to view URLs content!

< - > bitte ausdrucken !

#5. Recherche:
Doppelklick auf smitfraudfix.cmd
wähle die Option 1
um einen Bericht über die Infektionsart zu erhalten.
Speichere das Logfile als sff-log1.txt

#6. Reinigung:
Deaktiviere die Systemwiederherstellung und boote den Rechner im abgesicherten Modus:

Please, Anmelden or Registrieren to view URLs content!

Doppelklick auf smitfraudfix.cmd
wähle die Option 2
um die, für die Infektion verantwortlichen, Files vom System zu entfernen.
Beantworte die Frage: "Voulez-vous nettoyer le registre ?" (Wollen Sie die Registry reinigen) mit O (oui -> ja).
Der Fix stoppt, wenn die "wininet.dll" infiziert ist.
Beantworte die Frage: "Corriger le fichier infecté ?" (Wollen Sie die infizierte Datei ersetzen) mit O (oui -> ja).
Speichere das Logfile als sff-log2.txt

#7. Smitfraud B
Starte das Programm smitrem

#8. entpacke es in einen eigenen Ordner unter C:\Programme\Smitrem.
Starte die runthis.bat und folge den Anweisungen.

#9. Basisschutz scan
Starte nacheinander Ewido,Spybot und Adaware und lasse den kompletten PC scannen.

#10. Starte den Rechner wieder im normalen Modus und aktiviere die Systemwiederherstellung.

#11. Auswertung
=>Poste die Logfiles sff-log1.txt, sff-log2.txt, C:\smitfiles.txt, Ewido Logdatei, Spybot Logdatei
und ein

Please, Anmelden or Registrieren to view URLs content!

bitte zusammen als EINE Textdatei (mit kopieren & einfügen) per >>Upload starten<< Funktion.

 

[Santos]

Re: Trojan.Zlob.L

Please, Anmelden or Registrieren to view URLs content!

Hoffe das ist richtig so.
Habe da mal noch ein paar Fragen.

1.Kann ich jetzt die ganzen einstellungen wieder zurück setzten?Sprich alle Ordner anzeigen usw?
2.Welche von diesen Programmen sind jetzt noch für mich nützlich und von welchen sollte ich die Finger lassen bzw. sie deinstalieren?
3.Wie oft sollte ich die restlichen Programme einsetzten damit ich sie sinnvoll nutzen kann?

Aufe jeden Fall schonmal DANKE.War eine super Hilfe.

Editiert am 22/9/2006 von Santos

Editiert am 22/9/2006 von Santos

 

[McFly]

Re: Trojan.Zlob.L

Hi Matthias,

Wichtig!! Ändere alle deine verwendeten Passworte im Internet und auf deinem Rechner.
Dein Rechner wurde ferngesteuert, von daher ist das DRINGEND.

Bitte noch folgende Einträge mit dem Programm Hijackthis nach

Please, Anmelden or Registrieren to view URLs content!

fixen:

R3 - URLSearchHook: (no name) - {1365D261-4DD7-110E-A8AF-1743B112F59C} - C:\WINDOWS\system32\rxyom.dll (file missing)
O2 - BHO: (no name) - {1365D261-4DD7-110E-A8AF-1743B112F59C} - C:\WINDOWS\system32\rxyom.dll (file missing)
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - (no file)
O2 - BHO: (no name) - {686a161d-5bd1-4999-8832-6393f41e564c} - (no file)
O2 - BHO: (no name) - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - (no file)
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - (no file)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file:c:\ex.cab*entschärft*
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file:c:\ex.cab*entschärft*
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file:c:\ex.cab*entschärft*
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file:c:\eied_s7.cab *entschärft*
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123*entschärft*
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O20 - Winlogon Notify: winccf32 - winccf32.dll (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)

Poste bitte danach nochmal eine neue log damit ich sehen kann ob alles sauber ist.

Schau mal bitte nach ob folgende Dateien noch auf deinem Rechner vorhanden sind:
c:\ex.cab
c:\eied_s7.cab

falls ja bitte löschen.

Zu deinen Fragen:

1. Nein,musst du nicht wieder umstellen,das kannst du so lassen wenn es dich nicht stört.

2. Easycleaner,Ewido und Spybot solltest du auf dem Rechner behalten, den Rest kannst du entfernen.

3. Ewido würde ich an deiner Stelle kaufen, das ist ein Top-Programm zusammen mit Spybot.
Ich würde jede Woche mal einen Scan durchlaufen lassen (kannst du am Wochenende planen).
Wichtig sind vor allem die updates, achte darauf das die immer aktuell sind.

Wie ich sehe hast du als Antivirenprogramm Norton Antivirus gewählt, das Programm ist sehr gut
im Aufspüren von Viren, hat allerdings noch einen Nachteil, es bremst deinen Rechner etwas aus.

Wenn du mal eine Alternative suchen solltest sag bescheid.

Falls du nochmal Probleme haben solltest einfach eine Hijackthis.log hier bei uns posten,
und am besten dazuschreiben was Sache ist.

 

[Santos]

Re: Trojan.Zlob.L

Please, Anmelden or Registrieren to view URLs content!

Alle passwörter?Also auch email usw.?

Was wäre denn eine Alternative zu Norton Antivirus ?Dachte eigentlich das ist das beste?

Danke nochmal.

 

[Harry]

Re: Trojan.Zlob.L

Hallo Santos,

ich kann Dir aus jahrelanger, persönlicher Erfahrung Avira (Antivir) empfehlen.

Das Programm ist freeware und schont weitestgehend Systemressourcen.
Trotzdem bietet es einen hervorragenden Echtzeitschutz!

Zudem verträgt es sich mit dem von McFly empfohlenen Anti-Spyware-Programm "Ewido".

Please, Anmelden or Registrieren to view URLs content!

Ewido

Beide Programme zusammen bieten schon mal einen hervorragenden Schutz für Dein System.

Please, Anmelden or Registrieren to view URLs content!

Avira

L.G.
Harry

P.S.:
Solltest Du Dich für Avira oder einen anderen Virenscanner entscheiden, mußt Du natürlich vorher Dein altes Antivirenprogramm gründlich deinstallieren!

Niemals mehrere Virenscanner gleichzeitig im System laufen lassen!

 

[McFly]

Re: Trojan.Zlob.L

Gern geschehen, laut der Log ist dein Rechner jetzt sauber, Herzl. Glückwunsch !!

Alle Passwörter ändern die du mit diesem Rechner verwedest, Zugang zum Internet, Email, alle !

Dein Computer wurde bei der Masse an Schädlingen gezwungen alles Preiszugeben
(Google = Backdoor),
um schlimmeres Unheil zu verhindern ist das die einzige und beste Lösung. Du solltest mir
vertrauen, ist zwar eine Heidenarbeit aber dann kannst du sicher sein das kein anderer mehr
unter deinem Account Unruhe stiftet.

Schau dir am besten Seiten an die unabhängige Tests von Antivirenprogrammen durchführen,
z.B.

Please, Anmelden or Registrieren to view URLs content!

, da kannst du entscheiden welches Programm
für dich geeignet ist. Kaspersky und Norton sind dermassen im Speicher des Rechners aktiv das
diese den Rechner verlangsamen können. Wenn dich das nicht stören sollte lass Norton auf dem Rechner.