-
Hallo,
das Programm lässt sich nicht laden.
Bei der Überprüfung mit Spy-Bot bekomme ich immer wieder den
Zlob.Downloader
angezeigt, obwohl ich diesen immer wieder entfernen lasse.
Ich werde weiter versuchen das Programm runterzuladen und es dann ausführen.
Gruß
Wilhelm
-
Hm, Zlob? Poste eionmal das hijackthis Ergebnis( Nach dem Scan ins weisse Ergebnissfenster mit der Rechten Maustaste klicken, "Ergebnisse in die Zwischenablage Kopieren" waehlen und hier einfuegen).
Auch diese beide Downloadlings zu cureit funktionieren nicht?
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
-
An drweb komme ich nicht ran, weder mit IE noch mit Mozilla.
Hier der aktuelle log von Hijackthis. Spybot sagt ich hätte wieder den Zlob.
Logfile of HijackThis v1.99.1
Scan saved at 23:12:54, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\MSMSGS.EXE
D:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
D:\Programme\ScanWizard 5\ScannerFinder.exe
d:\programme\etex ag\speak&win\bin\ETTSengine.exe
D:\Programme\Sygate\SPF\smc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - Global Startup: ETeX Secure Client.lnk = D:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RtlWake.lnk = ?
O4 - Global Startup: Scanner Finder.lnk = D:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Sygate Personal Firewall (2).lnk = D:\Programme\Sygate\SPF\Smc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1141037022068
O20 - Winlogon Notify: winrso32 - C:\WINDOWS\SYSTEM32\winrso32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
Gruß
Wilhelm
-
Hm, die Malware Blogt das. Schau, ob du diese DAtei im abgesicherten Modus umbenennen kannst: C:\WINDOWS\SYSTEM32\winrso32.dll Sonst nutzen wir Avenger/Killbox dazu.
BTW: Ich habe mich unten verschrieben. Es muss Spybot heissen nicht Hijackthis! :(
Also:
Poste eionmal das Spybot Ergebnis( Nach dem Scan ins weisse Ergebnissfenster mit der Rechten Maustaste klicken, "Ergebnisse in die Zwischenablage Kopieren" waehlen und hier einfuegen).
-
Hallo,
hier das Ergenis von Spybot:
Zlob.Downloader: Daten (Datei, nothing done)
C:\WINDOWS\system32\stdole3.tlb
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-02-27 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-05-26 Includes\Cookies.sbi (*)
2006-05-26 Includes\Dialer.sbi (*)
2006-05-26 Includes\Hijackers.sbi (*)
2006-05-26 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-05-26 Includes\Malware.sbi (*)
2006-05-26 Includes\PUPS.sbi (*)
2006-05-26 Includes\Revision.sbi (*)
2006-05-26 Includes\Security.sbi (*)
2006-05-26 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-05-26 Includes\Trojans.sbi (*)
Gruß
Wilhelm
-
Hat das mit dem Umbenennen funktioniert?
-
Das Umbennen hat funktioniert. Aber es hat sich nichts geändert. Der Zlob ist noch da und der winc2 will auch noch immer ins Netz.
Gruß
Wilhelm
-
Noch ein Nachtrag.
Das winc2 scheint weg zu sein, ist jedenfalls nach dem letzten Start nicht mehr aufgetreten.
Aber der Zlob ist nicht wegzukriegen, auch das Löschen der bei Spybot angegebenen Datei bringt nichts. Sie taucht immer wieder auf.
Hier noch mal das Ergebnis:
Zlob.Downloader: Daten (Datei, nothing done)
C:\WINDOWS\system32\stdole3.tlb
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-02-27 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-05-26 Includes\Cookies.sbi (*)
2006-05-26 Includes\Dialer.sbi (*)
2006-05-26 Includes\Hijackers.sbi (*)
2006-05-26 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-05-26 Includes\Malware.sbi (*)
2006-05-26 Includes\PUPS.sbi (*)
2006-05-26 Includes\Revision.sbi (*)
2006-05-26 Includes\Security.sbi (*)
2006-05-26 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-05-26 Includes\Trojans.sbi (*)
Gruß
Wilhelm
-
Um den Zlob mache ich mir derzeit weniger Sorgen. Du kannst die Datei einfach umbenennen: C:\WINDOWS\system32\stdole3.tlb Es ist kein aktiver Teil der Malware.
Mache bitte noch folgendes( Drweb Download funktioniert noch immer nicht?). Erstelle ein Datfind report der letzten 4 Monate:
http://virus-protect.org/datfindbat.html
Nutze zuvor bitte CCleaner http://www.ccleaner.de . Bei der Installation bitte beachten, das man die Yahoo Toolbar nicht mit installiert.
-
gmt: 03:44
Hallo Erst mal
Also das zlob problem hatte ich auch bis vor ein paar stunden
diese stdole3.tlb und 2 registry einträge konnten von meine geupdateten 1.3 spybot erst beim automatischen Scann nach einem neustart gelöscht werden.
habe danach noch eine antiviren software installiert [ Avast v4.7 home edition mit einem 60 tage free lizenz (gratis download).] der hat noch eine andere datei gefunden mit dem zlob die nennt sich "c:\windows\system32\ld100.tmp"
kasperskys online fileanalyse hat das zwar auch erkannt aber wie mans behebt oder was des ding tut da schweigen sie sich aus Is wohl n neuer mutant von dem win32:zlob-cw trojaner und anscheinend (noch) nich reparierbar
naja habs noch Im kontainer aber seit dem is Ruhe.
Lg Monamia
Posting Permissions
- You may not post new threads
- You may not post replies
- You may not post attachments
- You may not edit your posts
-
Forum Rules