[Marcb1219]

Hallo erstmal!
Ich brauch dringend Hilfe!
Ich habe mir irgendwo den Trojaner Zlob.K.2 eingefangen und krieg ihn nicht komplett entfernt.
Das heißt eine Datei taucht immer wieder auf.
Ich habe es bereits mit A2 und Antivir versucht, leider kein Erfolg. Wenn ich Antivir meinen PC komplett durchscannen lasse, findet er immer wieder eine Datei, welche mit dem Trojaner infiziert ist, diese kann zwar gelöscht werden, taucht nach dem Neustart aber wieder auf.

Ich hatte mir bereits Threads zum ähnlichen Trojaner durchgelesen, also zlob trojaner unterschiedlicher versionen, allerdings schreibt sich dieser wahrscheinlich unter anderem Namen in die Registry-Datei.

Bitte helft mir!

PS: Ich will das Ding am besten ohne Formatierung entfernt kriegen....


EDIT: C:\WINDOWS\system32\hp31BE.tmp <-- das ist die Datei..

Dieser Beitrag wurde von Marcb1219 bearbeitet: 10. Mai 2006 - 11:09

[Urne]

Dann prüfe mal den Autostart von Windows ab. Start -> Ausführen -> msconfig -> Registerreiter "Systemstart". In der Registry unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run kannst Du ja auch mal schauen. Eventuell auch in den Diensten.
Allerdings ist formatieren eigentlich am allerbesten.

[Koopatrooper]

Du solltest das Programm aus dem Autostart entfernen:

Start -> Ausführen -> Msconfig -> OK -> Systemstart

Dann im abgesicherten Modus starten und deinen Virenscanner drüberlaufen lassen.

Ich würde aber eine neue Formatierung empfehelen, da du nicht weißt, in welchen Ausmaß dein System befallen ist.

[linksta]

ich würde zum formatiern raten
http://www.sophos.de.../trojzlobk.html

[Marcb1219]

danke für die schnellen Antworten!

In dem genannten Registry-Pfad gibt es eigentlich nur eine Datei, bei der ich nicht weiß, ob die dahin gehört:
"tuloxFreeWBS"
Im System-Start sind zwei Elemente, die keinen Befehl enthalten und auch keine Bezeichnung haben, der Pfad ist der gleiche Registry-Pfad wie oben. kann man damit irgendwas anfangen?

[Koopatrooper]

Lade dir HijackThis runter:

www.hijackthis.de

und lade die Dateiu hier als Anhang hoch.

[Marcb1219]

im Anhang ist die hijackthis-logfile

 log.txt (5,48K)
Anzahl der Downloads: 146

[W@yne]

[edit] Fast [/edit] nichts Verdächtiges drin... an deiner Stelle würde ich mir aber Gedanken machen, wie der Trojaner überhaupt auf dein System gelangen konnte!

Links:
Windows Sicherer Machen
Kompromittierung

Dieser Beitrag wurde von W@yne bearbeitet: 10. Mai 2006 - 11:49

[ShadowHunter]

Erstmal Herzlich Willkommen im Forum!
Jetzt zu deinem Problem:

O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll

Solltest du mit Hijackthis am besten im abgesicherten Modus fixen, auch wenn das nicht wirklich viel Sinn macht eigentlich!
Hier der Link zum Rest deiner Auswertung:
http://www.hijackthis.de/logfiles/fcf50bff...0f92f7f0bc.html


Dein System wurde eindeutig kompromittiert, somit ergibt sich das:
Kompromittierung

kurz gesagt, Image aufspielen bzw. Neues System aufsetzen!!

Und in Zukunft dein System absichern, soweit möglich siehe hier:
Windows Sicherer Machen

Dazu Brain.exe verwenden
Desweiteren evtl. einen guten Router mit sinnvollem Paketfilter verwenden oder eine eigene Kiste bauen, die vor deinem Hostsystem arbeitet.

Somit schliesse ich mich größtenteils den anderen an!

Edit: Ok W@yne kam mir mit manch einem Link zuvor, bleiben der Übersichthalber aber mal drin!

Dieser Beitrag wurde von ShadowHunter bearbeitet: 10. Mai 2006 - 11:49

[Koopatrooper]

Zitat

Nichts Verdächtiges drin...

Biste sicher, das du den richtigen Anhangerwischt hast?

O8 - Extra context menu item: &Search - http://kp.bar.need2f...earch.html?p=KP böse
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} böse
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll böse

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing) böse, auch wenn die automatische Auswertung das nicht anzeigt.

Fix die genannten Einträge, starte im abgesicherten Modus und lass Antivir und Spybot mit aktuellen Definitionen drüberlaufen.

Ich rate dir aber dringend zur Neuinstallation, das zusammenflicken bei befallenen Systemen ist fraglich.

Dieser Beitrag wurde von Koopatrooper bearbeitet: 10. Mai 2006 - 11:48

[Marcb1219]

hab jetzt mal alles gemacht, was du gesagt hast @Koopatrooper ;-)

Und ich sag mal vorsichtig Vielen Dank
Scheint weg zu sein, hab jetzt nach nem weiteren Neustart auch nochmal Antivir drüberlaufen lassen und es wurde nix gefunden

[ShadowHunter]

Kannst du auch ausschließen, dass sonst nix verändert wurde am System anhand von Prüfsummen? Nur weil Antivir nix offensichtliches mehr findet, heisst es noch lang nicht, dass dein System wieder "sauber" ist.
Lege wirklich bald mal ein neues sauberes System an und mach dann ein Image, dann kannst du in so einem Fall dein System einfach zurückspielen ist schneller und durchaus sinnvoller.

Wie gesagt, eigentlich gilt der Grundsatz "PC kompromittiert -> es konnten weitere Veränderungen zustande gekommen sein -> System muss neu aufgesetzt werden"!

[Marcb1219]

hab jetzt doch formatiert, war mir dann doch zu unsicher, weil er doch immer wieder meldungen gebracht hat

Aber vielen Dank für die schnellen, vielen Antworten - so gute Hilfe gibts nich oft