Generic.Zlob

Hallo,

Bei mir wurden folgende Viren identifiziert:
Generic.Zlob.7A98BBD4
Generic.Zlob.6C0E357C
Generic.Zlob.9405596E
Generic.Zlob.907E85FE
Generic.Zlob.505CACEA
…alle in einem „Video ActiveX Objekt“ - Ordner zB.
=>F:\Programme\Video ActiveX Object\isamonitor.exe (full dump)
=>F:\Programme\Video ActiveX Object\isamonitor.exe (memory dump)
(Habe den Ordner bei Programmzugriff gelöscht)#

Wie schwerwiegend ist der Virus?
Wie kann ich ihn löschen, wenn ich mich mit so etwas absolut nicht auskenne?

LG
Christiane

Hi,
bei dir wurden Viren identifiziert? Nicht beseitzigt u.ä?
Hast du einen Virenscanner ? Welchen Scanner hast du denn?

Egal.
Lade dir diverse kostenlose Virenscanner:
http://www.free-av.de
http://www.ewido.net

Mach sofort nach der Installation ein Update (wichtig, da oft nur der Kern bereitgestellt wurde und die neuesten Virendefinitionsdateien noch nicht implementiert sind)

Lass durch alles durchlaufen.Einen Scanner nach dem anderen. Wenn danach immer noch die Warnung auftaucht…
kannst du versuchen den Virus manuell zu entfernen…
lohnt sich aber nur wenn du noch Daten retten willst, die dir sehr wertvoll sind - da sie eventuell verseucht sind…

Ansonsten gibt es vielleicht nur noch die Möglichkeit, das System komplett neu zu installieren.
Gebe ungern diese Empfehlung, habe aber durch ExNicki gelernt

CU
BJ

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Christiane

=>F:\Programme\Video ActiveX
Object\isamonitor.exe (full dump)
=>F:\Programme\Video ActiveX
Object\isamonitor.exe (memory dump)

Wenn du alles das, was im nachfolgenden Zitat aus der Datenbank von Sophos verändert und erstellt wurde, auch gelöscht und rückgängig gemacht hast, dürfte dein System frei von bekannter Malware sein. Wie kann man auch jemanden ernsthaft glauben, eine Anwendung auf Überlichtgeschwindigkeit zu beschleunigen. Spätestens dort müsste dir ein ganzer Kronenleuchter angegangen sein.

_Troj/Zlob-QK ist ein Trojaner für die Windows-Plattform.
Der Trojaner gibt vor, ein Installer für einen Video Codec zu sein. Wenn er gestartet wird, versucht er, zusätzliche Komponenten herunterzuladen und zu installieren.

Wenn er installiert wird, werden Pop-Ups und Meldungen angezeigt, die Benutzer vor viralen Infektionen und der Präsenz von Adware/Spyware warnen. Benutzer werden aufgefordert, potentiell betrügerische Antispyware- und Antiviren-Produkte herunterzuladen oder zu kaufen.

Wenn er gestartet wird, erstellt er folgende Dateien:

\IntCodec\iesplugin.dll
\IntCodec\iesuninst.exe
\IntCodec\isaddon.dll
\IntCodec\isamini.exe
\IntCodec\isamonitor.exe
\IntCodec\isauninst.exe
\IntCodec\pmmon.exe
\IntCodec\pmsngr.exe
\IntCodec\pmuninst.exe
\IntCodec\uninst.exe
\viruxz.dll

Diese Dateien werden als Troj/Zlob-QK erkannt.

Folgende Dateien werden ebenfalls erstellt, die einfach gelöscht werden können:

\Online Security Guide.url
\Security Troubleshooting.url
\Start Menu\Online Security Guide.url
\Start Menu\Security Troubleshooting.url
\Online Security Test.url
\IntCodec\ts.ico
\IntCodec\ot.ico

Folgende Registrierungseinträge werden erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
homepage.monitor.exe
\IntCodec\isamonitor.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
pmsngr.exe
\IntCodec\pmsngr.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
bestreak
(874443fe-aa33-4ebf-a6ac-73208787e62d)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
bestreak
(874443fe-aa33-4ebf-a6ac-73208787e62d)

Die Dateien iesplugin.dll, isaddon.dll und viruxz.dll werden als COM-Objekte registriert, indem Registrierungseinträge an folgenden Stellen erstellt werden:

HKCR\CLSID(a2595f37-48d0-46a1-9b51-478591a97764)
HKCR\CLSID(874443fe-aa33-4ebf-a6ac-73208787e62d)
HKCR\CLSID(1da7dbe8-c51b-4ae4-bc6e-21863349b0b4)

Die Datei iesplugin.dll wird als eine Werkzeugleiste registriert, indem Registrierungseinträge an folgenden Stellen erstellt werden:

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser(A2595F37-48D0-46A1-9B51-478591A97764)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar(a2595f37-48d0-46a1-9b51-478591a97764)

Die Datei isaddon.dll wird als ein Browser Helper Object (BHO) für den Microsoft Internet Explorer registriert, indem Registrierungseinträge an folgender Stelle erstellt werden:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects(1da7dbe8-c51b-4ae4-bc6e-21863349b0b4)

Der Trojaner verändert Einstellungen für den Microsoft Internet Explorer, indem Einträge an folgender Stelle verändert werden:

HKCU\Software\Microsoft\Internet Explorer\Main\

Der folgende Registrierungseintrag wird erstellt:

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
(01E04581-4EEE-11D0-BFE9-00AA005B4383)

Registrierungseinträge werden an folgenden Stellen erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IntCodec\
HKCU\Software\Internet Security\
HKCR\VSEnchancer.Chl\CLSID\
HKCR\AVZipEnchancer.Chl\CLSID\

Der Trojaner enthält eine Deinstallationsoption, auf die über den Dialog „Software“ in der Windows Systemsteuerung zugegriffen werden kann. Die Software wird aufgelistet als: „Public Messenger ver 2.03“, „Internet Security Add-On“, „Internet Explorer Security Plugin 2006“ und „IntCodec 6.0“._

Auf letzteres würde ich mich noch weniger verlassen. Vermutlich geht die Löschung der Startpartition und die Neuinstallation von Windows schneller und sicherer.

Apropos, ist die Frage nach deinem Backup und Image der Startpartition erlaubt?

der hinterwäldler

–
Ich kann die Argumentation einiger User nicht verstehen.
Ca. 1,5 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig natürlicher Intelligenz ein brauchbares
Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Scanner, PFWs und Removertools „En gros“
verwendet.

Hallo

Egal.

Nein, keinesfalls. Weißt du überhaupt was Zlob ist?

Lade dir diverse kostenlose Virenscanner:
http://www.free-av.de
http://www.ewido.net

Sachliche Fragen:
Ist Google bei dir defekt?
Was soll sie denn damit machen?
Lieferst du auch einen Garantieschein dazu?

Wenn der Trojaner nicht mehr im Downloadarchiv gefunden wird, kannst du davon ausgehen, das er schon längst installiert ist.

Ergebnis: Das System ist kompromittiert. Keine Datei des Systems ist vertrauenswürdig!

Musstest du mit deinem Tofu (http://de.wikipedia.org/wiki/TOFU) Christiane daran erinnern, was sie geschrieben hat. Bist du nicht auch überzeugt, das sie es eigentlich wissen sollte und falls nicht, nochmal nachlesen kann.

Ich bitte dich, zukünftig dich an die für dieses Forum geltenden FAQ zu halten oder deren Veränderung zu beantragen.

der hinterwäldler

Hallo Christiane

=>F:\Programme\Video ActiveX
Object\isamonitor.exe (full dump)
=>F:\Programme\Video ActiveX
Object\isamonitor.exe (memory dump)

Wenn du alles das, was im nachfolgenden Zitat aus der
Datenbank von Sophos verändert und erstellt wurde, auch
gelöscht und rückgängig gemacht hast, dürfte dein System frei
von bekannter Malware sein.

Welche Dateien von diesem Zitat sind denn überhaupt löschbar?
Die Registrierungseinträge kann ich ja nicht einfach löschen oder und wenn ja, wo? Kenn mich da überhaupt nicht aus und vermute, wenn ich irgendetwas lösche, dann mache ich noch mehr kaputt.

Der Trojaner enthält eine Deinstallationsoption, auf die über
den Dialog „Software“ in der Windows Systemsteuerung
zugegriffen werden kann. Die Software wird aufgelistet als:
„Public Messenger ver 2.03“, „Internet Security Add-On“,
„Internet Explorer Security Plugin 2006“ und „IntCodec
6.0“.

Das bedeutet, dass der Virus weg ist, wenn ich diese Dateien lösche? Einige davon habe ich bei den Programmzugriffs- und standards drin.
Und diese blöden Meldungen zum Download von Virussoftware bekomm ich auch. Hab mich schon gewundert warum das nicht einfach ne Microsoft Seite ist
Dieses Video Active X… habe ich übrigens nicht runtergeladen. Das war plötzlich da.

Dankeschön & Lg

Hi,
bei dir wurden Viren identifiziert? Nicht beseitzigt u.ä?
Hast du einen Virenscanner ? Welchen Scanner hast du denn?

Egal.
Lade dir diverse kostenlose Virenscanner:
http://www.free-av.de
http://www.ewido.net

Mach sofort nach der Installation ein Update (wichtig, da oft
nur der Kern bereitgestellt wurde und die neuesten
Virendefinitionsdateien noch nicht implementiert sind)

Klar habe ich ein AntiVirusProg (BitDefebder) - sonst wüsste ich ja nicht mal, dass ich einen Virus habe. Löschen geht nicht.

Lg

neuster Stand…

Diese Video Active X Datei hab ich heute morgen zwar bei Programmzugriffe und -standards gelöscht, aber im Explorer erschien sie noch und war auch nicht zu löschen

Ich habe jetzt diese Dateien bei Programmzugriffe und -standards gelöscht, die im Zitat gestanden sind. Waren gar nicht so klein.
Jedenfalls bekam ich die Anweisung neu zu starten, als ich sie löschen wollte. Was blieb anderes übrig - nach 6 Mal neu starten waren sie weg.
Habe gerade erneut versucht die Video Active X Datei im Explorer zu löschen und …es ging!!!

Die Meldungen zum Download der Virensoftare erschienen bis jetzt noch nicht. Allerding sind in meiner Taskleiste noch die Symbole vorhanden, dass ich einen Virus habe. Das ist „System Alert!“ und das Zeichen, dass auch für den Win Update erscheint, wobei beide mich auf seltsame VirusProg Seiten führten.

Bei Programmzugriffe und -standards sind noch 2 Dateien, die ich nicht kenne bzw. die mir seltsam vorkommen, übrig - das ist einerseits dieses System Alert Popup ohne Größenangabe und andererseits Windows Installer 3.1 mit 0 Kb.
Soll ich ersteres löschen? Zweiteres ist wohl weniger zu löschen?

Ich scann jettzt noch mal alles, sofern ich dem vertrauen kann. Ich wollte nur hinzufügen, was ich bislang gemacht habe.

Lg, Christiane

Die Meldungen zum Download der Virensoftare erschienen bis
jetzt noch nicht. Allerding sind in meiner Taskleiste noch die
Symbole vorhanden, dass ich einen Virus habe. Das ist „System
Alert!“ und das Zeichen, dass auch für den Win Update
erscheint, wobei beide mich auf seltsame VirusProg Seiten
führten.

Glaubst du ernstlich, das da eine Meldung kommt:
„Ich bin ein PÖSES Trojanisches Pferdchen und möchte eine noch schlimmerere Malware auf deinem System installieren, die zudem noch kein Mensch und kein Scanner kennt, darf ich dies tun?“

Bist du so Naiv oder tust du nur so. Wenn du den Text von Sophos gelesen hast wirst du feststellen, das die Neuinstallationen des Systems grundsätzlich die erste Wahl ist. Ich benutze zwar keine Kristallkugel, aber ich verspreche dir, das du anders das Zeugs nicht los wirst. Wenn du gleich angefangen hättest, wärst du vermutlich jetzt schon fertig. Wie lange willst du noch mit deinem Virenzoo experimentieren?

der hinterwäldler

–
Falls aus bestimmten Gründen ein Windows-System unverzichtbar ist,
sollte es wenigstens vom OP so organisiert sein, das es unverzüglich
platt gemacht werden kann und binnen weniger Minuten ohne Datenverlust
wieder verfügbar ist.
Wenn uns B.G. in seinem Play schon zum Don Quichotte vorgesehen
hat, dann sollten wir wenigstens die wirksamsten Waffen wählen dürfen.
Eine von ihnen heißt „Backup der Startpartition“.

Klar habe ich ein AntiVirusProg (BitDefebder) - sonst wüsste
ich ja nicht mal, dass ich einen Virus habe. Löschen geht
nicht.

Und was hat es genützt? Die gültige FAQ (Antworten auf oft gestellte Fragen) findest du hier: http://faq.jors.net/virus.html

der hinterwäldler

Glaubst du ernstlich, das da eine Meldung kommt:
„Ich bin ein PÖSES Trojanisches Pferdchen und möchte eine noch
schlimmerere Malware auf deinem System installieren, die zudem
noch kein Mensch und kein Scanner kennt, darf ich dies tun?“

Wann hab ich das denn behauptet? Ich versteh gar nichts mehr!

Bist du so Naiv oder tust du nur so. Wenn du den Text von
Sophos gelesen hast wirst du feststellen, das die
Neuinstallationen des Systems grundsätzlich die erste Wahl
ist. Ich benutze zwar keine Kristallkugel, aber ich verspreche
dir, das du anders das Zeugs nicht los wirst. Wenn du gleich
angefangen hättest, wärst du vermutlich jetzt schon fertig.
Wie lange willst du noch mit deinem Virenzoo experimentieren?

Vielleicht gibts Menschen, die sich damit nicht so auskennen? Das hat nichts mit Naivität zu tun. Ich habe einerseits bis morgen keine Zeit dafür alles neu zu installieren und andererseits kenne ich mich nicht allzu gut aus. Der Versuch diese „Programme“ zu löschen war demnach der kürzeste und einfachste Weg.
Ich habe nach dem Löschen noch einmal alles gescannt, wie ich geschrieben habe, und der Virus wurde nicht gefunden?? Das was mich wundert ist, dass mein Pc nach den Neustarts, die ich mittlerweile alle gemacht habe, noch einwandfrei funktioniert? Bei meinem letzten (und ersten) Virus ging da gar nichts mehr.
Ich werde alles neu installieren - ist so oder so mal sinnvoll, aber ich habe es mit der einfachsten Alternative versucht.

Solltest aber bitte zwischen Naivität und Kenntnis differenzieren. Du hast sicher in einigen Bereichen auch weniger Kenntnis, was nicht bedeutet, dass du deshalb naiv bist

Dankeschön für deine Hilfe!
Lg, Christiane

Hallo Christiane !

Das ist auch die beste Lösung.Und wenn du alles schön neu installiert hast, kannst du mit einem von Hinterwäldler sehr oft und kostenlos empfohlenen Programm(True Image, Paragon usw.)das sichern.

Damit hast du dann zukünftig dein System in ein paar Minuten wieder hergestellt.Der Vorteil dabei ist, das du jeglichem Virenangriff zukünftig locker begegnen kannst.
Und denke auch daran, nicht nur Viren sondern auch die F-Platte kann ohne große Vorwarnung einfach so mal hopps gehen.
Dann die neue rein, Image zurückspielen und weitergehts

Ein solches sauberes Image, lässt sich durch solche Programme sehr einfach auch recht aktuell in Bezug auf Sicherheits Patches halten.

Schönen Sonntag

I.

Hallo

Wann hab ich das denn behauptet? Ich versteh gar nichts mehr!

Das glaube ich dir. Hier habe ich gelesen:

Die Meldungen zum Download der Virensoftare erschienen
bis jetzt noch nicht. Allerding sind in meiner Taskleiste
noch die Symbole vorhanden, dass ich einen Virus habe.

Wie soll ich das deuten. Für mich ist dies ein eindeutiges Indiz dafür, das die Malware deinen Scanner abgeschaltet hat, und zwar dauerhaft. Peng, meine Kristallkugel hat einen Sprung!

Wie lange willst du noch mit deinem Virenzoo experimentieren?

Vielleicht gibts Menschen, die sich damit nicht so auskennen?
Das hat nichts mit Naivität zu tun. Ich habe einerseits bis
morgen keine Zeit dafür alles neu zu installieren und
andererseits kenne ich mich nicht allzu gut aus. Der Versuch
diese „Programme“ zu löschen war demnach der kürzeste und
einfachste Weg.

Definitiv: Nein
Der schnellste und sicherste Weg ist die Sicherung aller von dir selbst erstellten Dateien auf einer Disk und danach die Löschung der Startpartition und die Neuinstallation von Windows. Dies dauert aus meiner Sicht und bei etwas Vorbereitung maximal 120 Minuten. Wenn du dazu noch eines der vielen Imagingtools verwendest, höchstens 10 Minuten. Falls du keine Zeit zur Pflege deines System hast, dann trenne es wenigstens zu deiner und zur Sicherheit aller Teilnehmer des Internets vom Netz.

Ich habe nach dem Löschen noch einmal alles gescannt, wie ich
geschrieben habe, und der Virus wurde nicht gefunden??

Dein Scanner kann nur das finden, wovon er Signaturen in seiner Datenbank besitzt.

sinnvoll, aber ich habe es mit der einfachsten Alternative
versucht.

Zähle mal zusammen, wie lange du jetzt schon mit dem Problem beschäftigt bist. Es ist die von der einschlägigen Softwarebranche oft propagierte Möglichkeit, jedoch nicht die Schnellste und Sicherste. Das sollte dir spätestens in diesem Moment bewusst sein.
Nochmal: Ich benötige zur Lösung dieses Problems maximal 10 Minuten. Das reicht nicht einmal zu einer Tasse Kaffee. Du kannst es auch!

Solltest aber bitte zwischen Naivität und Kenntnis
differenzieren. Du hast sicher in einigen Bereichen auch
weniger Kenntnis, was nicht bedeutet, dass du deshalb naiv
bist

Ich gehe davon aus, das du mindestens 5 Semester hinter dir hast. Kenntnisse solltest du da schon haben. Naivität ist Leichtgläubigkeit und wird von den bunt Bebilderten am Kiosk gefördert. Hier im Forum können wir uns das nicht leisten und würden sofort an Glaubwürdigkeit verlieren. Ich kenne genügend Foren, in denen dir gesagt wird, welche Software du unbedingt sofort kaufen musst. Hier wird exaktes Wissen vermittelt und das sieht oft anders als am Kiosk oder dem Forum des Softwareverkäufers aus. Du solltest also ein paar Entscheidungen fürs weitere Leben treffen.

In diesem Zusammenhang drei Links:
http://www.microsoft.com/technet/community/columns/s…
http://www.heise.de/ct/07/02/076/
http://malte-wetz.de.vu/index.php?viewPage=sec-remov…
Das müsste reichen, bei Bedarf gibt es mehr.

der hinterwäldler

–
Ich kann die Argumentation einiger User nicht verstehen.
Ca. 1,5 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig natürlicher Intelligenz ein brauchbares
Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Scanner, PFWs und Removertools „En gros“
verwendet.

Daten sichern?
Hallo,

Ich habe nur noch eine Frage, bevor ich eurem Rat schwermütig folge
Ich möcht meine Dokumente, Mp3s, die sogar gekauft sind , und Bilder noch sichern… es wird doch alles gelöscht oder? (Das nennt man Naivität *kicher* Ich weiß es nämlich nicht!!)… Wie stell ich das am besten an? Ich mein…das hat ja ne Größe… ???

Greift der Virus eigentlich auch auf mein zweites Betriebssystem zu?

Lg & Thx im Voraus