Zlob - Emotigt - Serials.ws eingefangen

  • geschlossen
  • Problem

  • jukija
  • 4641 Aufrufe 9 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Zlob - Emotigt - Serials.ws eingefangen

    Hallo,
    ich brauche sehr dringend eure Hilfe. Ich habe mir über serials.ws einen Virus, bzw. Adware eingefangen.

    Symptome:
    Alle 5 Minuten ein Fenster das mir auf English sagt ich sei verseucht und sollte scannen. Natürlich lasse ich mich nicht veleiten.
    3 Icon's auf dem Desktop verlinken zu von PcTools angeblich schädlichen Seiten.
    Im Inetexplorer wird eine Emotigt Toolbar angezeigt.
    Die Startseite ist ebenfalls verändert.

    Gegenmaßnahme:
    PcTools scann erkennt neun Infektionen alles von Adware.Agent.BN auch Zlob genannt. Alles entfernt nach Neustart alles wieder da.
    Also HijackThis hier das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:57:13, on 26.02.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\Programme\Spyware Doctor\pctsTray.exe
    C:\mousometer.exe
    C:\Programme\Spyware Doctor\pctsAuxs.exe
    C:\Programme\Spyware Doctor\pctsSvc.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    D:\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SXG Advisor - {6FFDE480-14C1-43FC-BEC1-CA97A2541FFD} - C:\WINDOWS\dmdvpnslp.dll
    O3 - Toolbar: emotigt - {54BECB1C-D4EA-47B2-9B56-C6768144FDD5} - C:\WINDOWS\emotigt.dll
    O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Mousometer.lnk = C:\mousometer.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com/get…ve/cabs/flash/swflash.cab
    O21 - SSODL: bdmanager - {81C82168-E879-4F7D-A3E5-43CC0E566444} - C:\WINDOWS\bdmanager.dll
    O21 - SSODL: admgcx - {6BAC9E6D-593D-41B7-AE22-01A6DB654983} - C:\WINDOWS\admgcx.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

    --
    End of file - 4617 bytes

    Rot die scheinbar schädlichen, würde mich über Hilfe freuen!

    jukija

  • Folgende Dateien bitte bei Online malware scan überprüfen:

    Quellcode

    1. C:\WINDOWS\emotigt.dll
    2. C:\WINDOWS\dmdvpnslp.dll
    3. C:\WINDOWS\bdmanager.dll
    4. C:\WINDOWS\admgcx.dll


    Mach bitte einen Screeny von der Meldung oder was steht drin?

    Also an sich riecht es sehr Nach Zlob, aber bitte trotzdem die oben genannten Dateien überprüfen :) Zlob kann weitere Malware nachladen - das sicherste wird wohl NeuAufsetzen sein, aber wir können es auch probieren zu bereinigen

    Lade dir SmitFraudFix
    Dazu startest du im abgesicherten Modus und startest die SmitfraudFix.exe und wählst 2.
    Alles bereinigen lassen, aber eine Anleitung indest du auchd er Homepage

    Anschließend postest du hier zusätzlich die Log Datei (C:/rapport.txt) und lässt HijackThis noch einmal durchlaufen und postest auch dessen LogFile

    mfg

  • Ein vernünftiges Virusprogramm hätte hier schon längst Abhilfe geschaffen. Ich verweise Dich auf die Internetseite "www.grisoft.de"Wenn Du diese offen hast gehe auf den Button Download und suche Dir die Testversion AVG Anti-Malware als Testversion raus. Mache einen Doppelklick auf Testversion und schon wird diese gedownloadet. Es erscheint nun die Frage, ob es gespeichert oder augeführt werden soll und Sie können Speichern anklicken. Wenn download beendet ist die Software, welche gerade gezogen wurde mit einem Doppelklckt activieren und installieren lassen. Nun den Anweisungen folgen und anschließend schannen lassen und fertig! Sie sehen wie einfach es ist, wenn man ein brauchbares Videoprogramm auf dem Rechner instaliert hat.

    MfG, rafra!

  • Hallo,
    ein Virusprogramm wird's nicht taugen, wenn ich schon Spyware Doctor mit PcTools habe...
    Danke für Link zum Hijackthisforum aber ich glaube FraudFix hats erledigt, zumindest ist der PC wieder schnell, Taskmanager geht wieder und Rest auch.
    Der "Doctor" findet ebenfalls nichts mehr...

    Hier noch schnell die rapport.txt

    Quellcode

    1. SmitFraudFix v2.296
    3. Scan done at 10:38:02,60, 27.02.2008
    4. Run from C:\Dokumente und Einstellungen\Jan.WIEBERS\Eigene Dateien\SmitfraudFix
    5. OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    6. The filesystem type is NTFS
    7. Fix run in safe mode
    9. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
    10. !!!Attention, following keys are not inevitably infected!!!
    12. SrchSTS.exe by S!Ri
    13. Search SharedTaskScheduler's .dll
    15. »»»»»»»»»»»»»»»»»»»»»»»» Killing process
    18. »»»»»»»»»»»»»»»»»»»»»»»» hosts
    21. 127.0.0.1 localhost
    23. »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    25. VACFix
    26. Credits: Malware Analysis & Diagnostic
    27. Code: S!Ri
    28. C:\WINDOWS\bdmanager.dll deleted.
    29. C:\WINDOWS\admgcx.dll deleted.
    32. »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
    34. S!Ri's WS2Fix: LSP not Found.
    37. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
    39. GenericRenosFix by S!Ri
    42. »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
    44. C:\WINDOWS\fsxloqf.exe Deleted
    46. »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    48. IEDFix
    49. Credits: Malware Analysis & Diagnostic
    50. Code: S!Ri
    53. »»»»»»»»»»»»»»»»»»»»»»»» DNS
    55. HKLM\SYSTEM\CCS\Services\Tcpip\..\{32F9CAEC-9394-4958-91C2-078F6E8B5EB4}: DhcpNameServer=192.168.1.1
    56. HKLM\SYSTEM\CS1\Services\Tcpip\..\{32F9CAEC-9394-4958-91C2-078F6E8B5EB4}: DhcpNameServer=192.168.1.1
    57. HKLM\SYSTEM\CS2\Services\Tcpip\..\{32F9CAEC-9394-4958-91C2-078F6E8B5EB4}: DhcpNameServer=192.168.1.1
    58. HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    59. HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    60. HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    63. »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
    66. »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    67. !!!Attention, following keys are not inevitably infected!!!
    69. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    70. "System"=""
    73. »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
    75. Registry Cleaning done.
    77. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
    78. !!!Attention, following keys are not inevitably infected!!!
    80. SrchSTS.exe by S!Ri
    81. Search SharedTaskScheduler's .dll
    84. »»»»»»»»»»»»»»»»»»»»»»»» End
    Alles anzeigen


    Sowie ein neues Hijackthis-Logfile:

    Quellcode

    1. Logfile of Trend Micro HijackThis v2.0.2
    2. Scan saved at 11:10:41, on 27.02.2008
    3. Platform: Windows XP SP2 (WinNT 5.01.2600)
    4. MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    5. Boot mode: Normal
    7. Running processes:
    8. C:\WINDOWS\System32\smss.exe
    9. C:\WINDOWS\system32\csrss.exe
    10. C:\WINDOWS\system32\winlogon.exe
    11. C:\WINDOWS\system32\services.exe
    12. C:\WINDOWS\system32\lsass.exe
    13. C:\WINDOWS\system32\Ati2evxx.exe
    14. C:\WINDOWS\system32\svchost.exe
    15. C:\WINDOWS\system32\svchost.exe
    16. C:\WINDOWS\System32\svchost.exe
    17. C:\WINDOWS\system32\svchost.exe
    18. C:\WINDOWS\system32\svchost.exe
    19. C:\WINDOWS\system32\spoolsv.exe
    20. C:\WINDOWS\system32\Ati2evxx.exe
    21. C:\WINDOWS\Explorer.EXE
    22. C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    23. C:\Programme\Ashampoo\Ashampoo Magical Snap 2\ashsnap.exe
    24. C:\Programme\Spyware Doctor\pctsAuxs.exe
    25. C:\mousometer.exe
    26. C:\Programme\Spyware Doctor\pctsSvc.exe
    27. C:\Programme\Spyware Doctor\pctsTray.exe
    28. C:\WINDOWS\system32\tcpsvcs.exe
    29. C:\WINDOWS\system32\svchost.exe
    30. C:\WINDOWS\System32\alg.exe
    31. D:\Mozilla Firefox\firefox.exe
    32. C:\WINDOWS\system32\wbem\wmiprvse.exe
    33. C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    35. O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    36. O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
    37. O4 - HKCU\..\Run: [AshSnap] C:\Programme\Ashampoo\Ashampoo Magical Snap 2\ashsnap.exe
    38. O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    39. O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    40. O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    41. O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    42. O4 - Startup: Mousometer.lnk = C:\mousometer.exe
    43. O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    44. O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    45. O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    46. O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    47. O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    48. O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    49. O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
    50. O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
    51. O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
    52. O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    53. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    54. O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    55. O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    56. O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
    57. O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
    58. O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    60. --
    61. End of file - 3749 bytes
    Alles anzeigen

  • Ok, die LogFile sieht iO aus, aber das muss nicht unbedingt etwas bedeuten.
    Stelle bitte sicher, dass du alle Dateien und Ordner sehen kannst. Anschließend schaust du, ob du die vier (bzw drei) überprüften Dateien finden kannst - Wenn nicht, umso besser

    Dann schaltest du die Systemwiederherstellung ab, fährst deinen Computer runter - lässt ihn ein Weilchen aus (2-3 Minuten) - und startest ihn neu
    Nun dein Virenprogramm updaten und einen vollen Scan deines Systems durchführen

    mfg

  • Also ich starte gerade den Rechner, alles ganz normal, starte Firefox und zack er bringt keine Internetverbindung zusammen.
    Eingeschränkte bzw. keine Konnektivität über die Lanverbindung.
    Aber nicht nur das er ist sehr langsam, ich starte den Taskmanager:
    Keine Anwendungen
    12 Tasks, Arbeitspeicher 148MB Verbrauch
    Systemleistung 100% CPU- Auslastung die ganze Zeit, evtl hat das was damit zu tun.
    Also gehe ich in SUSE Linux Internet da 4% Auslastung.
    Hier das Testergebniss:

    Quellcode

    1. AhnLab-V3 2008.2.28.2 2008.02.28 -
    2. AntiVir 7.6.0.67 2008.02.28 ADSPY/AdSpy.Gen
    3. Authentium 4.93.8 2008.02.28 -
    4. Avast 4.7.1098.0 2008.02.27 -
    5. AVG 7.5.0.516 2008.02.28 Downloader.Zlob.VB
    6. BitDefender 7.2 2008.02.28 -
    7. CAT-QuickHeal 9.50 2008.02.28 -
    8. ClamAV 0.92.1 2008.02.28 -
    9. DrWeb 4.44.0.09170 2008.02.28 -
    10. eSafe 7.0.15.0 2008.02.28 -
    11. eTrust-Vet 31.3.5571 2008.02.28 Win32/Pripecs!generic
    12. Ewido 4.0 2008.02.28 -
    13. FileAdvisor 1 2008.02.28 -
    14. Fortinet 3.14.0.0 2008.02.28 Adware/AdClicker
    15. F-Prot 4.4.2.54 2008.02.27 -
    16. F-Secure 6.70.13260.0 2008.02.28 -
    17. Ikarus T3.1.1.20 2008.02.28 AdWare.NetAdware.CW
    18. Kaspersky 7.0.0.125 2008.02.28 not-a-virus:AdWare.Win32.Vapsup.bos
    19. McAfee 5241 2008.02.28 AdClicker-FC
    20. Microsoft 1.3301 2008.02.28 Adware:Win32/Vapsup
    21. NOD32v2 2909 2008.02.28 -
    22. Norman 5.80.02 2008.02.28 -
    23. Panda 9.0.0.4 2008.02.27 -
    24. Prevx1 V2 2008.02.28 Trojan.Zlob
    25. Rising 20.33.32.00 2008.02.28 -
    26. Sophos 4.27.0 2008.02.28 -
    27. Sunbelt 3.0.906.0 2008.02.28 -
    Alles anzeigen