"Zlob.Downloader"macht abermals meinen rechner kaputt!

[jonas]

Hallo.
Irgendwie habe ich mir Zlob.Downloader eingefangen und bekomme ihn nicht mehr runter.Das gleiche Problem hatte ich mit Zlob schon vor 3 Monaten.damals benutzte ich nur Spyware Doctor weil der mir von einem Freund empfohlen wurde.Dort wa dann das muster so: 1.er fand Zlob 2.konnte Zlob nicht löschen (aber nach neustart des Computers wären die Infizierten dateien beseitigt).3.Neugestartet4.Zlob war wieder da.

Folge:der Pc wurde immer langsamer, irgendwann startete Windows gar nicht mehr und daraufhinn wurden dann alle Festplatten formatiert Windows neu rauf und fertig.

Diesesmal wurde mir anstatt Spyware Doctor Spybot empfohlen.
Damit hatte ich die gleichen Ergebnisse wie mit SD.

Ich habe sehr wohl mitbekommen das ereits ein Thread zu diesem Thema existiert ich habe aber bei mir gibt es einen Unterschied: ich weiß das Zlob noch da ist und bekomme es nicht runter. Also wierklich noch da es wierd mir andauernd ein rot ummrahmtes Kästchen eingeblendet das mein System infiziert ist.

Ich habe leider nicht besonders viel Erfahrung mit dem löschen von Viren/Spyware und würde mich deshalb sehr über leicht verständliche Hilfe freuen.
Danke

[raman]

Poste bitte ein Hijackthis log http://cidres-security.de/hijackthis.html und falls moeglich ein Spybotreport!

[jonas]

Vielen dank für deine Hilfe aber vorher hätte ich eine Frage: gehören die beiden icons "Security Troubleshooting" "Online Security Guide" und die Meldung in rot umrandeten kästchen "your system is infected"("Virus Alert!"+"System Alert:Spyware detected"unten neben der Uhrzeit)auch zum Zlob.downloader ?

Und noch einen Frage:was macht der Zlob.downloader eigentlich?
Ich würde anhand des Namens schließen das er mir dinge aus dem Internet runterlädt.Ich habe jetzt nähmlich auch noch Vcodec drauf der sich aber ohne Probleme löschen lässt.

Erstamal der Bericht von Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 16:02:38, on 28.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\AntiSpy\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\AntiSpy\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\Video\FxSvr2.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\AntiSpy\Spyware Doctor\swdoctor.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Microsoft Office\Office\FINDFAST.EXE
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\Opera\Opera.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Dokumente und Einstellungen\Jonas\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\AckobatR\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\AntiSpy\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\AntiSpy\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp100.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] D:\AntiSpy\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\AntiSpy\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: WEB.DE SmartSurfer.lnk = D:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\AntiSpy\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C92C1CA6-C792-4076-88EF-A994E721876F}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: winbug32 - C:\WINDOWS\SYSTEM32\winbug32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\AntiSpy\Spyware Doctor\sdhelp.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Der Spybotreport ist leider zu lang zum posten.
Danke.

[raman]

Ja, downloader bedeutet, das etwas aus dem Internet heruntergeladen wird. Wenn du bei google nach smitfraud suchst, wirst du viele ERgebnisse dazu bekommen.

um dieses Problem zu loesen, nutze bitte Die Anleitung und das tool, welches du hier finden kannst: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Dann mache noch folgendes:

Lade Blacklight und kopiere es in einen Extra Ordner http://www.f-secure.com/exclude/blacklight/index.shtml

starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mitr dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT datei. Den inhalt der Dateio bitte hier posten.

[jonas]

juhu!!!vielen Dank und ich dachte schon ich müsste schon wieder alle Festplatten formatieren.

Ein leben ohne Viren ist doch gleich ein schöneres Leben!
Vieleicht überlege ich mir das mit der Spende mal...

Also nochmal vielen dank und hier der gewünschte txt Inhalt:

05/29/06 18:47:38 [Info]: BlackLight Engine 1.0.36 initialized
05/29/06 18:47:38 [Info]: OS: 5.1 build 2600 (Service Pack 1)
05/29/06 18:47:38 [Note]: 7019 4
05/29/06 18:47:38 [Note]: 7005 0
05/29/06 18:47:41 [Note]: 7006 0
05/29/06 18:47:41 [Note]: 7011 576
05/29/06 18:47:41 [Note]: 7026 0
05/29/06 18:47:41 [Note]: 7026 0
05/29/06 18:47:43 [Note]: FSRAW library version 1.7.1015
05/29/06 18:52:21 [Note]: 7007 0

...na dann tschüß!
Jonas

[raman]

Nicht so schnell!

Das muss auch noch raus:
O20 - Winlogon Notify: winbug32 - C:\WINDOWS\SYSTEM32\winbug32.dll

Versuche den Eintrag im abgesicherten Modus zu fixen, bzw versuche die Datei C:\WINDOWS\SYSTEM32\winbug32.dll im abgesicherten Modus umzubenennen.

[Digit]

@jonas

mindestens genau so wichtig wäre SP2 aufzuspielen.

Geh mal hier auf die Wndows-updateseite:

http://update.microsoft.com/windowsu...ult.aspx?ln=de

Digit

[raman]

Ja, das ist wichtig, aber erst, wenn der Rechner sauber ist!

[xTeSx]

Hallo...
Ich hatte ebenfalls den Trojaner Zlob.Downloader.
Da Spybot den Eintrag in der Registry nicht entfernen konnte
( Tips in diversen Treats befolgt doch ohne Erfolg),
habe ich es in der Registry manuel löschen können.

--- Registry Eintrag ---
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run]
"wininet.dll"="regperf.exe"


---- Lösung ---
Startmenü>Ausführen>Regedit
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Policies
Explorer
run

Eintrag "wininet.dll"="regperf.exe" markieren
Im Menü Bearbeiten>Berechtigungen...
Vollzugriff Zulassen>OK

Eintrag "wininet.dll"="regperf.exe" markieren
Im Menü>Datei>Exportieren...> z.B auf dem Dektop als 123.reg

Eintrag "wininet.dll"="regperf.exe" markieren
Im Menü>Bearbeiten>Löschen und Bestätigen

Neuer Scan mit SpyBot.

Bei mir kam die Nachricht "Gratulation ... BlaBla"

Neustart...

Die Datei z.B 123.reg sollte man dann löschen.

Noch ein kleiner tip Systemwiederherstellung über
Startmenü>Ausführen>Services.msc
Eintrag "Systemwiederherstellungsdienst"
Im Menü>Aktion Beenden und erneut Starten
weil wer will schon einen Trojaner wiederherstellen ?

Tschüß...