Zlob Trojaner entfernen

[Markocat]

0

Hallo,

ich hab mir zwei gefährliche Trojaner vor ca. 2 Tagen namens Zlob.Downloader.bit und Zlob.DNSChanger.Rtk eingefangen.
Hab den versucht mit Spybot - Search & Destroy und Malwarebytes' Anti-Malware zu entfernen, leider ohne Erfolg.

Ich benutze WinXP Pro. und hab als Schutz Avira Premium Security Suite drauf, was den wo durchgelassen hat.
Mein System hat schon Service Pack 3.

Die Auswirkungen sind echt störend.
1. Kann ich kein Laufwerk (C-L) über dem Arbeitsplatz anklicken, da ich dort nur noch "resycled\\boot.com" ist keine zulässige Win32-Anwendung"
Wenn ich rechtsklick - öffnen mache kommt auch nur noch z.B. "D:\\ ist keine zulässige Win32-Anwendung"
Es hat also auf jedem Laufwerk eine autorun.inf erstellt, die gleich nach dem Löschen wieder kommt.

2. Komm ich nicht mehr auf meine Provisionierungseite von https://www.telecolumbus.net da kann ich z.B. E-Mail-Adressen anlegen, bekomme dort aber nur folgende Meldung.

http://www.telecolumbus.net
403 Zugriff verweigert / Forbidden
*** HINWEIS für ewt-net Kunden ***

Wenn Sie diese Seite sehen, haben Sie vermutlich versucht auf unser Provisionierungssystem zuzugreifen, das Sie hier jedoch nicht finden.

Ursache für den Aufruf dieser Seite ist in den meisten Fällen eine fehlerhafte Konfiguration Ihrer Nameservereinstellungen. Die Nameserveradressen müssen mit 172.16.20. oder 172.16.2. beginnen.

Unter Windows können Sie sich die Einstellungen mit dem Befehl "ipconfig /all" anzeigen lassen.

Die Nameservereinstellungen werden oft durch Viren oder andere Schädlinge ungewollt modifiziert. Bitte überprüfen Sie Ihr System.
Sie haben keine Zugriffsberechtigung auf diesen Server.
You don't have permission to access this server.

3. Kann ich ebenfalls meine E-Mails übers Mailprogramm die ich bei dem Anbieter angelegt habe über pop.blue-cable.de nicht mehr abrufen.

Ist es möglich die Trojaner ohne das ich mein System neu aufspielen muss, zu löschen, so das die nicht wieder kommen.

Falls es nur geht wenn ich mein System neu aufspiele, reicht es aus das ich nur das Systemlaufwerk Formatiere, da ich auf den anderen sonst mehrere 100 GB die ich sichern muss habe.

Folgendes hat mir Spybot zu den Trojanern ausgespuckt.

Tipp des Tages: Klicken Sie auf den Balken rechts, um mehr Informationen zu sehen! ()


Zlob.DNSChanger.Rtk: [SBI $2E4C4BE7] Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\System=...kdtwc.exe...

Zlob.DNSChanger.rtk: [SBI $C91FF945] File (Datei, nothing done)
C:\\WINXP\\system32\\kdtwc.exe

Zlob.Downloader.bit: [SBI $12A26DDA] Installationsprogramm (Datei, nothing done)
c:\\autorun.inf


--- Spybot - Search & Destroy version: 1.6.0 (build: 20080707) ---

2008-07-07 blindman.exe (1.0.0.
2008-07-07 SDFiles.exe (1.6.0.4)
2008-07-07 SDMain.exe (1.0.0.6)
2008-07-07 SDShred.exe (1.0.2.3)
2008-07-07 SDUpdate.exe (1.6.0.
2008-07-07 SDWinSec.exe (1.0.0.12)
2008-07-07 SpybotSD.exe (1.6.0.30)
2008-09-16 TeaTimer.exe (1.6.3.25)
2008-10-29 unins000.exe (51.49.0.0)
2008-07-07 Update.exe (1.6.0.7)
2008-07-07 advcheck.dll (1.6.1.12)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-07-07 Tools.dll (2.1.5.7)
2008-09-02 Includes\\Adware.sbi (*)
2008-10-27 Includes\\AdwareC.sbi (*)
2008-06-03 Includes\\Cookies.sbi (*)
2008-09-02 Includes\\Dialer.sbi (*)
2008-09-09 Includes\\DialerC.sbi (*)
2008-07-23 Includes\\HeavyDuty.sbi (*)
2008-09-02 Includes\\Hijackers.sbi (*)
2008-10-28 Includes\\HijackersC.sbi (*)
2008-09-09 Includes\\Keyloggers.sbi (*)
2008-10-28 Includes\\KeyloggersC.sbi (*)
2004-11-29 Includes\\LSP.sbi (*)
2008-10-28 Includes\\Malware.sbi (*)
2008-10-28 Includes\\MalwareC.sbi (*)
2008-09-02 Includes\\PUPS.sbi (*)
2008-10-28 Includes\\PUPSC.sbi (*)
2007-11-07 Includes\\Revision.sbi (*)
2008-06-18 Includes\\Security.sbi (*)
2008-10-23 Includes\\SecurityC.sbi (*)
2008-06-03 Includes\\Spybots.sbi (*)
2008-06-03 Includes\\SpybotsC.sbi (*)
2008-10-28 Includes\\Spyware.sbi (*)
2008-10-29 Includes\\SpywareC.sbi (*)
2008-06-03 Includes\\Tracks.uti
2008-10-29 Includes\\Trojans.sbi (*)
2008-10-29 Includes\\TrojansC.sbi (*)
2008-03-04 Plugins\\Chai.dll
2008-03-05 Plugins\\Fennel.dll
2008-02-26 Plugins\\Mate.dll
2007-12-24 Plugins\\TCPIPAddress.dll

Hat jemand eine Idee und kann mir dabei Helfen.

[Doremi]

0

Original von Markocat
Ist es möglich die Trojaner ohne das ich mein System neu aufspielen muss, zu löschen, so das die nicht wieder kommen.

Ich schätze mal, das ist eine Frage.

Antwort: Weiß ich nicht genau, aber nichts geht über format c:

Original von Markocat
Falls es nur geht wenn ich mein System neu aufspiele, reicht es aus das ich nur das Systemlaufwerk Formatiere, da ich auf den anderen sonst mehrere 100 GB die ich sichern muss habe.

Da bin ich recht sicher: ja, das reicht aus, WENN Du NICHT "in eine bestehende Partition" aufspielst (also ein neues C: in eine bestehende Partition C: installierst, was kurioserweise glaube ich sogar die erste Option unter XP ist, warum auch immer), SONDERN wirklich radikal die L-Taste fürs Löschen von C: wählst und danach diese freigewordene, erste Partition formatierst.
Warum? Weil Du nur mit dem Löschen der Registry an die Gurgel gehst. Und das solltest Du meiner Meinung nach.
Bei jeder anderen Form von 'Überbügeln' setzt Du ja nur "frisch" auf "alt". Der ganze verseuchte Müll jenseits der frischen Registryeinträge bleibt davon völlig unangetastet auf Deiner Platte.
Ist so sinnvoll wie 'ne frische Windel für 'nen unabgeputzten Hintern.

[Thorium]

0

Jo, ich empfehle dir dringend die Platten leer zu fegen und Windows neu zu installieren.

Ferner solltest du dich nirgendswo einloggen, solange du den Trojaner drauf hast. Der loggt die ganzen Zugangsdaten mit und schickt die, wenn du Pech hast, nach hause.

[Markocat]

0

OK, danke euch.
Werte wo mich dann mal besser an die Arbeit machen und mein System neu drauf.
Kann da auch gleich mal die kleinen Partionen (C: - 20 GB XP, D: 49 GB und E: 32 GB) zu einer machen.

Da mir 20 GB für XP zu wenig war, werde auch dort in Zukunft wieder Anwendungsprogramme Installieren.
Die anderen Partitionen sind ja auch so um die 100GB groß.

Werde aber jetzt besser mein Online-Banking nicht mehr öffnen, ist mir zu gefährlich.

Wie verhindere ich am besten das noch mal so ein Trojaner rein rutscht.
Werde auch als nächsten Schutz Kaspersky nehmen, da Avira sowieso fast abgelaufen ist.

[Eaggra]

0

hm eine Möglichkeit wäre noch der abgesicherte Modus gewesen. Ich hab da auch schon gute Erfahrung gemacht und sol einen hartnäckigen Trojaner entfernen können. Aber ich glaube ich komme da doch zu spät.

[Markocat]

0

Original von Pedi
hm eine Möglichkeit wäre noch der abgesicherte Modus gewesen. Ich hab da auch schon gute Erfahrung gemacht und sol einen hartnäckigen Trojaner entfernen können. Aber ich glaube ich komme da doch zu spät.

Ja, hab ich auch versucht, der war auch bei der zweiten Suche im abgesicherten Modus weg, kaum war ich aber wieder im normalen Modus, warn die zwei Trojaner wieder da.

Ich hatte noch mehr Trojaner, die wurden aber alle ohne Probleme von Spybot - Search & Destroy entfernt.
Hab auch bei google nur gefunden das der Trojaner "Zlob.DNSChanger.Rtk" sich nicht ohne Probleme entfernen lässt.

Jetzt Räum ich eben erstmal meine Rechner auf und sichere alle Daten, damit ich dann alles Platt machen kann.

Wollte sowieso schon lange mal aufräumen.

[STiGMaTa_ch]

0

Original von Markocat
Jetzt Räum ich eben erstmal meine Rechner auf und sichere alle Daten, damit ich dann alles Platt machen kann.

Wenn du Pech hast, wird der bald wieder da sein! Leider...

Das Problem ist, dass du nicht wissen kannst, wo und wie sich der Trojaner verbreitet hat. Im dümmsten Fall kopierst du dir dann den Trojaner "weg" und installierst ihn dann unbewust nach der Neuinstallation (weil er sich z.B. an ein Wordfile gehängt hat oder was auch immer).

Im Prinzip solltest du ALLES unwiederuflich formatiern und die Daten von einem bestehenden (was es wohl aber nicht gibt ) Backup wiederherstellen. Alles andere ist... sagen wir mal... EXTREM Risikogefährdet.

Natürlich wird das wohl keine Alternative für dich sein. Daher bleibt dir wohl nur der Weg über eine Live CD mit Virenscanner darauf. Nur hier ist gewährleistet, dass der "Schädling" komplett entfernt werden kann, ohne dass eine versteckt im speicher gehaltene kopie dir danach wieder eine Version von sich selber auf das System knallt.

Eine solche Live CD wäre etwa Knoppicilin von der Ct. Das Problem ist du kannst diese Version (mit Antiviren Scanner) nur kaufen (z.B. im Heise Shop, das Heft 26/07). Wenn du aber ev. einen zweitrechner hast, kannst du dir deine Knoppicilin auch selber zusammenbauen.

Heise bietet eine Download Edition an, die alles bis auf die Virenscanner enthält. Selbige solltest du eigentlich kostenlos herunterladen können und im Google findet sich sicher eine Anleitung wie man selbigen dann auch auf das Image kriegt.

[Markocat]

0

Ich muss leider die ganzen Daten sichern, da mir sonst paar 100 GB verloren gehen, mein ganzer FTP ist ja auch auf der Platte.
Werde einfach mal hoffen der in keiner Datei ist, da die meisten Daten auch älter als der Trojaner ist.

Bis jetzt war es mir auch unmöglich durch mein Virenprogramm eine Datei zu kopieren wo auch nur ein Verdacht besteht.
Ich glaube das der mehr durchs Serven auf meinem Rechner gekommen ist las durch ein Spam Mail, da die auch allen von der Virensoft Untersucht werden.

Hab die Probleme auch erst seit 2-3 Tagen, weswegen ich nicht annehme das die an den älteren sind die ich jetzt sichere.
Dazu sind die meisten Word Dokumente auch noch selber geschrieben.

Mein Problem ist nur wie ich mich am besten gegen solche Trojaner schütze sobald ich XP neu aufgespielt habe.
Bin nicht sicher ob so eine Standard Virensoft wie Kaspersky dafür reicht.

[Homecinema]

0

Schützten kannst du dich in dem du:

GAAANNNZZZ wichtig, Prüfsummen (z.B. SHA-1) von deinen wichtigen Daten erstellst. Somit kannst du erkennen, ob diese durch einen Virus infiziert wurden. Ausserdem ist das auch für Datensicherung wichtig. Sollte auch nur eine 0 oder 1 verändert werden (z.B. weil die Daten falsch kopiert wurden, oder ein Virus sich eingenistet hat), dann ändert sich die Prüfsumme und das Prüfsummenprogramm schlägt alarm. Also alleine schon für die Datensicherung hilfreich.

Ebenfalls GAAAANNNNZZZ wichtig: Regelmäßige Backups auf externe Festplatte z.B. usw.... Auch ältere Backups (auf anderen Platten / Medien) aufbewahren, dies beugt z.B. Medienausfall vor. Du sicherst hier Softwareexoten (Oldgames eben), die evtl. unwiederbringlich verloren gehen können, daher muss du absolut sorgfältig sichern. Es ist möglich seine Daten Bombensicher zu lagern, aber man muss den inneren Schweinehund bezwingen auch Sicherungen anzulegen.

Dann einfach Virenscanner aktuell halten, E-Mail Client auf "nur im Textmodus anzeigen" stellen, dir nicht von jeder Quelle alles mögliche herunterladen oder wenn du den Download unbedingt brauchst, am besten írgendwo isoliert in einer Virtuellen Maschine Downloaden und dann mittels Virenscanner testen.

Der beste Schutz sind aber einfach Sicherungen.... Dann kann der Rechner auseinanderfallen und deine Daten sind sicher.

[Markocat]

0

Danke, ist jetzt wieder alles in Ordnung, werde mir wo jetzt angewöhnen Sicherungen zu machen.

Muss mir aber jetzt erstmal einen neuen LG Brenner (GH20LS) einbauen den ich schon bestellt habe, da mein alter GSA-H55L (nicht mal ein Jahr alt), seit kurzem Probleme hat beschriebene DVD RW's einzulesen, muss die klappe 1-100 mal auf und zu machen bis der die mal annehmen will.
DVD-+R's nimmt er zwar ohne Probleme an, dass einlesen dauert aber auch etwas länger.
NaJa, der neue wird dann auch über S-ATA angeschlossen, so wie es mit meinen ganzen Festplatten ist.

Als Sicherheit hab ich jetzt übrigends Kaspersky und Spyware Doctor drauf, dass muss reichen.

[thEClaw]

0

Original von Markocat
Muss mir aber jetzt erstmal einen neuen LG Brenner (GH20LS) einbauen den ich schon bestellt habe, da mein alter GSA-H55L (nicht mal ein Jahr alt), seit kurzem Probleme hat beschriebene DVD RW's einzulesen, muss die klappe 1-100 mal auf und zu machen bis der die mal annehmen will.

Ich habe einen ähnlichen Brenner (vielleicht sogar den gleichen ), der war nach nur 2 Wochen Benutzung kaputt. Mein alter Samsung (20 Monate) war gleichzeitig kaputt - da habe ich einfach mal beide an die jeweiligen Hersteller geschickt und bekam beide Brenner relativ schnell zurück (LG eine Woche, neuer Brenner; Samsung 2 Wochen, neuestes Modell als Ersatz). Von daher wäre Neukaufen nicht zwingend nötig, wenn du ein wenig Geduld hast. Einfach auf die Seite von LG gehen, Ticket holen und einschicken. Du musst das Porto für den Hinweg zahlen (also 6,90€) und bekommst ziemlich fix deinen Ersatz (vermutlich auch ein neueres Modell). Und natürlich solltest du die Kopie der Rechnung noch haben (einem der beiden Hersteller reichte auch das Herstellungsdatum des Brenners aus, das steht ja drauf - ich weiß aber nicht mehr, welcher das war).

[Markocat]

0

Werde ich vielleicht auch noch mal Versuchen, da ich den aber schnell benötige hab ich das neuste Modell bei Amazon.de für ca. 26 Euro bestellt.
Die Teile sind ja nicht mehr Teuer, werde aber dennoch mal Versuchen das LG den alten Umtauscht, kann ich ja dann Verschenken, Verkaufen oder sonst was mit machen.

[tsampikos]

0

Ich habe auch gestern meine erste Erfahrung mit dem Zlob Trojaner gemacht, aber so wie es aussieht habe ich mehr Glueck als der liebe Markocat gehabt. Der PC ist total verrueckt geworden. Ich koennte nicht mal diie Laufwerke und HD anklicken und kamm staendig eine Nachricht von dem Firewall dass irgendwelche komische Dateien sich installieren wollten (!). Dass ist immer bei jedem Doppelcklick passiert egal ob es um eine Anwendung oder einen Laufwerk ging. Noch dazu der Floppy Laufwerk hat angefangen alle 20 Sekunden zu...blitzen als ob er eine Diskette gesucht haette.

Mit der Hilfe von dem Taskmanager, AVG 8.0 und einem Trojaner Entferner habe ich endlich geschafft den Computer wieder "zu sich" zu bringen und jetzt scheint alles wieder in Ordnung zu sein.

Ich weiss es koennte schlimmer sein und ich koennte mehrere Probleme haben, so wie es mit Markokat auch passiert ist. Zwei mal hat den Trojaner AVG entdeckt, zwei mal wurde er geloescht und dann wieder aufgetaucht. Aber mit Anwendung von Zusatzhilfe schein wieder alles in Ordnung zu sein.Der Computer benimmt sich ganz normal.

Auf alle faelle Scannt AVG den PC nochmals gerade.Weiterhin werde ich den Computer in Safe Mode mit den Entfernungsprogramen scannen.

[Markocat]

0

Die verdammten Trojaner machen schon viel Ärger, dass verrückte mit dem Floppy Laufwerk war bei mir übrigends auch vorhanden.

Werde mir wo angewöhnen wenn Kaspersky eine Seite als nicht Vertrauenswürdig meldet den Schutz nur da ich die Seite sehen möchte nicht abzustellen.
So ein Risiko kann ich da lieber über Virtual PC eingehen.