|
Plagegeister aller Art und deren Bekämpfung: Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.01.2006, 11:29 | #1 |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? Hi! Ich habe ein Problem mit dem im Betreff genannten Trojaner, den Antivir bei jedem Hochfahren des Rechners meldet. Es handelt sich jedesmal um eine Tmp-Datei, der Name der Datei ist immer anders (z.B. LD3062.tmp, LDFEEF.tmp). Die Tmp-Datei lässt sich von Antivir löschen, doch taucht sie bei jedem Start erneut auf. Leider funktioniert der Link in folgendem Thread, Post#6(http://www.trojaner-board.de/showthread.php?t=25380) nicht. Kann mir jemand helfen, den Trojaner loszuwerden? Logfile von Hijack This (vielleicht kann mir jemand dazu einen Tipp geben?): Logfile of HijackThis v1.99.1 Scan saved at 08:03:39, on 19.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\LClock\LClock.exe D:\Programme\washer\washer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\XXXXXXX\Desktop\hijackthis\HijackThi s.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.ht m R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.ht m R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.webroot.com/php/disp0201.php?pc=4060&rc=1&ps=T&oc=11&mjv=4&mnv=7&b ld=2 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - D:\Programme\OpinionBar\MyIEMonitor.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Tau Monitor] D:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\RunServicesOnce: [washindex] D:\Programme\washer\washidx.exe "XXXXXXX" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\LClock.exe O4 - HKCU\..\Run: [Washer] D:\Programme\washer\washer.exe /0 O4 - Startup: Chaos Manager loader.lnk = D:\Programme\Chaos Manager 2\cm2.exe O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.cdesign.de O15 - Trusted Zone: http://opst3.ciao.com O15 - Trusted Zone: http://*.ciaosurveys.com O15 - Trusted Zone: http://www.dan-brown.de O15 - Trusted Zone: http://www.simgolf.ea.com O15 - Trusted Zone: http://www.onlinetv2.de O15 - Trusted Zone: http://www.tk-online.de O15 - Trusted Zone: www.transfermarkt.de O15 - Trusted Zone: www.wavelearn.de O16 - DPF: {08EE4BCE-527E-4760-B11A-B829415E9103} (MaxisGolfTeleX Control) - http://www.simgolf.ea.com/teleport/simgolf/stories/MaxisGolfTeleX.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119637018674 O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - file://f:\Installations-Dateien\Setup.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C457B0F8-4B86-4A2B-81B9-DC7601378578}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{CB2E846E-B313-419D-B4EA-AFFC0CD15B85}: NameServer = 213.191.74.11 213.191.92.82 O20 - AppInit_DLLs: D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Apache2 - Unknown owner - D:\Programme\Apache Group\Apache\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe |
19.01.2006, 12:12 | #3 | |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los?Zitat:
Der Inhalt der Datei smitfiles.txt: smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ncompat.tlb mscornet.exe ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 704 'explorer.exe' Killing PID 704 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! |
19.01.2006, 12:55 | #5 |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? So, hier die gewünschten log-Dateien: Datenträger in Laufwerk C: ist WIN XP Volumeseriennummer: CF53-9280 Verzeichnis von C:\WINDOWS\system32 11.01.2006 20:46 7.006 jupdate-1.5.0_06-b05.log 06.01.2006 14:30 324.320 FNTCACHE.DAT 06.01.2006 14:26 13.646 wpa.dbl 29.12.2005 03:54 280.064 gdi32.dll 26.12.2005 14:24 3.364 d3d9caps.dat 08.12.2005 16:25 2.723.680 MRT.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 28.11.2005 22:13 3.588 getonlhttp_tmp.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 15.11.2005 08:40 262.144 wrap_oal.dll 15.11.2005 08:40 86.016 OpenAL32.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 06.11.2005 10:31 9.676 QuickTimeFavorites.qtr 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 30.10.2005 15:48 380.684 perfh009.dat 30.10.2005 15:48 53.098 perfc009.dat 30.10.2005 15:48 391.574 perfh007.dat 30.10.2005 15:48 63.976 perfc007.dat 30.10.2005 15:48 897.954 PerfStringBackup.INI 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 152.064 cdfview.dll 21.10.2005 04:40 251.392 iepeers.dll 21.10.2005 04:40 205.312 dxtrans.dll 21.10.2005 04:40 55.808 extmgr.dll 20.10.2005 23:25 1.094.144 esent.dll _______________________________________ Datenträger in Laufwerk C: ist WIN XP Volumeseriennummer: CF53-9280 Verzeichnis von C:\DOKUME~1\xxxxxxx~1\LOKALE~1\Temp 19.01.2006 12:50 234.900 MSI583b2.LOG 19.01.2006 12:50 244 Setup Log File.log 19.01.2006 12:48 512 ~DF205D.tmp ______________________________________________________ Datenträger in Laufwerk C: ist WIN XP Volumeseriennummer: CF53-9280 Verzeichnis von C:\WINDOWS 19.01.2006 12:43 618 ODBC.INI 19.01.2006 12:43 49 transp.gif 19.01.2006 12:42 2.048 bootstat.dat 19.01.2006 12:41 120.334 WindowsUpdate.log 19.01.2006 12:08 7.168 Thumbs.db 19.01.2006 12:07 300 setupact.log 19.01.2006 12:02 308.822 ntbtlog.txt 15.01.2006 14:54 54.156 QTFont.qfn 13.01.2006 16:16 5.019 wmsetup.log 07.01.2006 20:25 904 win.ini 07.01.2006 20:21 0 Sti_Trace.log 07.01.2006 20:21 244 wiadebug.log 06.01.2006 14:29 3.941 iis6.log 06.01.2006 14:29 1.368 ocmsn.log 06.01.2006 14:29 9.436 tsoc.log 06.01.2006 14:29 4.970 ntdtcsetup.log 06.01.2006 14:29 19.545 KB912919.log 06.01.2006 14:29 1.236 msgsocm.log 06.01.2006 14:29 24.730 FaxSetup.log 06.01.2006 14:29 4.301 updspapi.log 06.01.2006 14:28 18.511 KB905915.log 06.01.2006 14:28 7.864 KB910437.log 06.01.2006 14:28 11.992 KB896424.log 06.01.2006 14:28 0 setuperr.log 22.12.2005 21:39 3.618 ModemLog_56K MDC Modem.txt 17.12.2005 13:37 3.542 messer.ini 11.12.2005 17:42 227 system.ini 09.12.2005 21:17 16.613 mozver.dat 07.12.2005 11:15 107.132 UninstallFirefox.exe 29.11.2005 21:28 1.409 QTFont.for 28.11.2005 22:13 103 DKAL.INI 14.11.2005 21:33 66 StationRipper.INI 11.10.2005 19:22 72.704 ST5UNST.EXE __________________________________________________ Datenträger in Laufwerk C: ist WIN XP Volumeseriennummer: CF53-9280 Verzeichnis von C:\ 19.01.2006 12:54 0 sys.txt 19.01.2006 12:53 7.140 system.txt 19.01.2006 12:51 394 systemtemp.txt 19.01.2006 12:48 103.217 system32.txt 19.01.2006 12:42 805.306.368 pagefile.sys 19.01.2006 12:05 1.406 smitfiles.txt 14.12.2005 13:56 62 db_editor_log.txt 11.12.2005 17:42 211 boot.ini |
19.01.2006, 13:21 | #7 |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? Der Online-Scan funktioniert bei mir leider nicht. An der Stelle, wo ein Virendaten-Update durchgeführt werden soll, erscheint bei mir links unten im Fenster "Fehler auf der Seite". Dann passiert nichts mehr. Habe die Website unter vertrauenswürdige Seiten einsortiert, so dass ich es mir nicht erklären kann. |
19.01.2006, 13:31 | #9 | |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los?Zitat:
Der Scan funktioniert jetzt aber, keine Ahnung, warum's die ersten Male nicht ging. Den Report poste ich gleich. |
19.01.2006, 21:25 | #10 |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? So, hier nun der Report aus dem Panda-Onlinescan: Potenziell unerwünschtes Tool:Application/Processor; Nicht desinfiziert; C:\Dokumente und Einstellungen\xxxxxxx\Desktop\smitRem.exe[Process.exe] Potenziell unerwünschtes Tool:Application/Processor; Nicht desinfiziert; C:\smitRem\Process.exe Mögliches Virus; Nicht desinfiziert; C:\WINDOWS\system32\getonlhttp_tmp.dll Adware:Adware/WinTools; Nicht desinfiziert C:\WINDOWS\system32\grwinsthlp.exe Potenziell unerwünschtes Tool:Application/KillApp.B; Nicht desinfiziert E:\My Downloads\Tools\pcwKill.z.exe[KILL.EXE] Hacktool:Hacktool/Servicekiller.A;Nicht desinfiziert E:\My Downloads\Tools\win32sec.exe |
19.01.2006, 21:47 | #11 |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? Hallo, überprüfe die Datei: C:\WINDOWS\system32\getonlhttp_tmp.dll hier und poste das Ergebnis. lösche außerdem: C:\WINDOWS\system32\grwinsthlp.exe Ich nehme mal an das das hier von pcwelt ist und somit harmlos: E:\My Downloads\Tools\pcwKill.z.exe[KILL.EXE] genauso das potenzielle Hacktool ist soweit ich ergoogelt habe ein Programm zum Dienste konfigurieren. Grüße Wildone |
19.01.2006, 21:55 | #12 |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? This is a report processed by VirusTotal on 01/19/2006 at 21:52:06 (CET) after scanning the file "getonlhttp_tmp.dll" file. Antivirus Version Update Result AntiVir 6.33.0.77 01.19.2006 no virus found Avast 4.6.695.0 01.18.2006 no virus found AVG 718 01.19.2006 no virus found Avira 6.33.0.77 01.19.2006 no virus found BitDefender 7.2 01.19.2006 no virus found CAT-QuickHeal 8.00 01.18.2006 no virus found ClamAV devel-20051123 01.18.2006 no virus found DrWeb 4.33 01.19.2006 no virus found eTrust-InoculateIT 23.71.54 01.19.2006 no virus found eTrust-Vet 12.4.2050 01.19.2006 no virus found Ewido 3.5 01.19.2006 no virus found Fortinet 2.54.0.0 01.19.2006 no virus found F-Prot 3.16c 01.19.2006 no virus found Ikarus 0.2.59.0 01.18.2006 no virus found Kaspersky 4.0.2.24 01.19.2006 no virus found McAfee 4678 01.19.2006 no virus found NOD32v2 1.1371 01.18.2006 no virus found Norman 5.70.10 01.19.2006 no virus found Panda 9.0.0.4 01.19.2006 Suspicious file Sophos 4.01.0 01.19.2006 no virus found Symantec 8.0 01.19.2006 no virus found TheHacker 5.9.2.076 01.18.2006 no virus found UNA 1.83 01.19.2006 no virus found VBA32 3.10.5 01.19.2006 no virus found ________________________________________________________ grwinsthlp.exe habe ich mit Eraser gelöscht. |
19.01.2006, 22:13 | #13 | |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? Hallo, schicke die Datei sicherheitshalber mal an www.malwareupload.com (Mist, sehe gerade das die quasi aufgehört haben). Dann mach mal folgendes: Zitat:
Ansonsten sollte es das jetzt gewesen sein, zukünftig Finger weg von Cracks, Keygens, und ähnlich unseriösen Programmen(und von Seiten, die sie anbieten) daher hattest du nämlich das ganze. Grüße Wildone |
19.01.2006, 22:24 | #14 |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? Vielen Dank für Deine Hilfe. Aber mit Cracks & Co. hab ich nun wirklich nichts zu schaffen! |
19.01.2006, 22:31 | #15 |
| Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? Hallo, dann ist mir schleierhaft wie du es dir geholt hast, aber nun gut, hauptsache es ist jetzt weg. Grüße Wildone |
Themen zu Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los? |
adobe, antivir, appinit_dlls, bho, browser, desktop, download, drivers, einstellungen, explorer, firefox, firewall, handel, helfen, hijack, hijack this, hijackthis, internet, internet explorer, löschen, monitor, mozilla, mozilla firefox, problem, programme, software, system, trojaner, windows, windows xp, windows\system32\drivers |