In dieser Anleitung werden Informationen über den/die Schädlinge Trojan.Zlob,Smitfraud und Tipps zur Entfernung gezeigt. Zlob ist ein Trojaner, der meist mit in anderen Programmen verankert ist und durch das installieren des Programmes aktiv wird.
Er kann die Computertätigkeiten überwachen, speichern und an dritte weiter verschicken, außerdem kann Zlob weitere Schädlinge nachladen. Infektionsquellen können Sicherheitslücken sein oder zum Beispiel Peer to Peer (P2P) Verbindungen.
Der Trojaner Smitfraud ist Zlob sehr ähnlich und kann u.a auch die Verbindung zu bestimmten Internetseiten blockieren. So werden meist Webseiten mit Virus-Warnungen oder Sicherheitsupdates blockiert.
1.) Wie bemerke ich eine Infektion mit Zlob oder Smitfraud?
Anzeichen für eine derartige Infektion können sein:
- Niedrige Systemleistung
- Häufige Systemabstürze
- Eine langsame Internetverbindung
- Werbe-Popups
- Browser Veränderungen (z.B. neue Startseite)
- Meldungen auf dem Desktop (Your System is infected)
2.) Einträge die von Zlob und Smitfraud erstellt werden:
Die Einträge können verschieden sein, da der Schädling teilweise zufällige DLLs erstellt. Hier ist eine kleine Liste der DLL- und Registry-Dateien, die für eine Zlob und Smitfraud Infektion bekannt sind:
Zlob:
|
|
Smitfraud:
|
dtjby.dll
uimcu.dll
antzozc.dll
jrpkmgh.dll
isfmdl.dll
ictmdl.dll
nczupfw.dll
dfrep.dll
Trojan.Zlob|eulbn.dll
werbetpwg.dll
sysdivx.dll
vipextnog.dll
|
|
vtursro.dl
ssqnool.dll
wldr.dll
param32.dll
hhk.dll
oleadm.dll
oleadm32.dll
olnohdw.dll
tazth.dll
ixt2.dll
winetn32.dll
oybgrql.dll
|
Weitere Dateien die solch eine Infektion zeigen:
|
sbmntr.exe
sbsm.exe
sbun.exe
scit.exe
scm.exe
scu.exe
uninst.exe
vpncore.exe
Uninstall.exe
|
|
bsw.exe
helper.exe
hookdump.exe
intmon.exe
intmonp.exe
msmsgs.exe
ole32vbs.exe
msole32.exe
popuper.exe
|
Registry Einträge Zlob:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon\ Shell=explorer.exe
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows
CurrentVersion\ RunRegSvr32=%System%msmsgs.exe
{7C109800-A5D5-438F-9640-18D17E168B88}
{8E96D546-8096-42B2-8EBF-16AC5A119A59}
{220A105A-16EE-44C1-A4C8-AD76C709FC1D}
{34CF6660-9BD3-431A-BA32-6B511D4126DA}
{51D81DD5-55B7-497F-95DB-D356429BB54E}
{6B5CFD66-1F55-4FC2-B5AF-36B66E7CFE6A}
{E28F671C-3D83-4149-BA2F-546A67702B49}
{5c7b71bb-6d49-4bdc-b60d-f9fe0481eb5f}
{9420D9C5-E151-4D83-B9A6-27DE1A7A0E5F}
- Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\{D0D08884-DFF4-4977-88F8-E5603CCF6B0B}
- Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\{C420CF9F-D9D6-421F-958F-AA59906C2B12}
Registry Einträge Smitfraud:
- Microsoft\ WindowsNT\ CurrentVersion\Winlogon\ Notify\ vtursro
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows
CurrentVersion\ Run\ WindowsFZ
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows
CurrentVersion\ Run\ MSNmessenger
FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF
- HKEY_CURRENT_USER\ Software\ Microsoft\ InternetExplorer\ MainDefault_Page_URL=[siteaddress]
- HKEY_CURRENT_USER\ Software\ Microsoft\ InternetExplorer\ MainDefault_Search_URL=[siteaddress]
- HKEY_CURRENT_USER\ Software\ Microsoft\ Internet\ Explorer\ MainSearchBar=[siteaddress]
- HKEY_CURRENT_USER\ Software\ Microsoft\ InternetExplorer\ MainSearchPage=[siteaddress]
In Hijackthis Logfiles fällt Zlob meist durch die 02er Einträge auf, da sie sich in die BHO (Browser Helper Objects) schreiben und durch die 04er Einträge die dafür sorgen, dass der Schädling beim Start mitgeladen wird. Bei Smitfraud können im Hijackthis Logfile ab dem R1er Eintrag überall Einträge von dem Schädling sein.
Programme zur Entfernung von Zlob Infektionen:
Trojan Zlob.b Remover
F-secure Removal Tool
Programme zur Entfernung von Zlob und Smitfraud:
Smitfraudfix
Combofix (Nur für Profis!)
Malwarebytes
Dr. Web Cureit
A-squared free
Tipps zur Bereinigung:
- CCleaner herunterladen und damit Cookies,Temporäre Dateien etc. löschen
- Hijackthis Logfile anfertigen, ein neues Thema in unserem Sicherheitsforum erstellen (Betreff zum Beispiel “Zlob Infektion”) und das Logfile dort hineinkopieren.
- Smitfraudfix herunterladen und mit einem Doppelklick öffnen.
Wähle Option 1 und poste den entsprechenden Report in deinem Thread.
Boote dann in den Abgesicherten Modus und öffne nochmal Smitfraudfix, wähle diesmal Option 2!
Es wird dann folgendes kommen “Do you want to clean the registry ?” Drücke dann “y” und danach Enter.
Der Report wird nachher unter C:\rapport.txt zu finden sein.
- Installiere dann das Programm Malwarebytes und lass es nach Updates suchen -> danach einen Komplett Scan im Normal Modus machen. Die Funde löschen lassen und den Report in deinem Thread posten.
- Zur Sicherheit, zusätzlich noch A-squared free installieren. Es Updaten und einen Detail Scan machen. Die Funde löschen lassen und den Report im Thread posten.
Je nach grad der Infektionen wird man aufgefordert, das Programm Combofix anzuwenden. Dies ist nur für Experten und sollte nicht ohne Anleitung genutzt werden!