Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los?

Flusi · 19.01.2006, 11:29

Hi!

Ich habe ein Problem mit dem im Betreff genannten Trojaner, den Antivir bei jedem Hochfahren des Rechners meldet. Es handelt sich jedesmal um eine Tmp-Datei, der Name der Datei ist immer anders (z.B. LD3062.tmp, LDFEEF.tmp).

Die Tmp-Datei lässt sich von Antivir löschen, doch taucht sie bei jedem Start erneut auf.

Leider funktioniert der Link in folgendem Thread, Post#6(http://www.trojaner-board.de/showthread.php?t=25380) nicht.

Kann mir jemand helfen, den Trojaner loszuwerden?

Logfile von Hijack This (vielleicht kann mir jemand dazu einen Tipp geben?):

Logfile of HijackThis v1.99.1
Scan saved at 08:03:39, on 19.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LClock\LClock.exe
D:\Programme\washer\washer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXXXXXX\Desktop\hijackthis\HijackThi s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.ht m
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.ht m
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.webroot.com/php/disp0201.php?pc=4060&rc=1&ps=T&oc=11&mjv=4&mnv=7&b ld=2
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - D:\Programme\OpinionBar\MyIEMonitor.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Tau Monitor] D:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\RunServicesOnce: [washindex] D:\Programme\washer\washidx.exe "XXXXXXX"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKCU\..\Run: [Washer] D:\Programme\washer\washer.exe /0
O4 - Startup: Chaos Manager loader.lnk = D:\Programme\Chaos Manager 2\cm2.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cdesign.de
O15 - Trusted Zone: http://opst3.ciao.com
O15 - Trusted Zone: http://*.ciaosurveys.com
O15 - Trusted Zone: http://www.dan-brown.de
O15 - Trusted Zone: http://www.simgolf.ea.com
O15 - Trusted Zone: http://www.onlinetv2.de
O15 - Trusted Zone: http://www.tk-online.de
O15 - Trusted Zone: www.transfermarkt.de
O15 - Trusted Zone: www.wavelearn.de
O16 - DPF: {08EE4BCE-527E-4760-B11A-B829415E9103} (MaxisGolfTeleX Control) - http://www.simgolf.ea.com/teleport/simgolf/stories/MaxisGolfTeleX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119637018674
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - file://f:\Installations-Dateien\Setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C457B0F8-4B86-4A2B-81B9-DC7601378578}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB2E846E-B313-419D-B4EA-AFFC0CD15B85}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - D:\Programme\Apache Group\Apache\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Wildone · 19.01.2006, 11:33

Hallo,
besorge dir mal folgendes Tool, entpacke es, gehe in den abgesicherten modus (F8 beim booten) und führe die runthis.bat aus. Danach postest du den Inhalt der Datei C:\smitfiles.txt.

Grüße Wildone

Flusi · 19.01.2006, 12:12

Zitat:

Zitat von Wildone

Hallo,
besorge dir mal folgendes Tool, entpacke es, gehe in den abgesicherten modus (F8 beim booten) und führe die runthis.bat aus. Danach postest du den Inhalt der Datei C:\smitfiles.txt.

Grüße Wildone

Alles ausgeführt, wie von Dir beschrieben. Beim Hochfahren war nun keine Trojaner-Meldung von Antivir mehr.

Der Inhalt der Datei smitfiles.txt:

smitRem © log file
version 2.8

by noahdfear

Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

ncompat.tlb
mscornet.exe

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 704 'explorer.exe'
Killing PID 704 'explorer.exe'

Starting registry repairs

Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

Wildone · 19.01.2006, 12:18

Hallo,
lösche mal deine Temp Dateien mit Cleanup! und führe danach die datfind.bat wie hier beschrieben aus und poste die vier Logs, nur die Dateien der letzten drei monate abkopieren.

Grüße Wildone

Flusi · 19.01.2006, 12:55

So, hier die gewünschten log-Dateien:

Datenträger in Laufwerk C: ist WIN XP
Volumeseriennummer: CF53-9280

Verzeichnis von C:\WINDOWS\system32

11.01.2006 20:46 7.006 jupdate-1.5.0_06-b05.log
06.01.2006 14:30 324.320 FNTCACHE.DAT
06.01.2006 14:26 13.646 wpa.dbl
29.12.2005 03:54 280.064 gdi32.dll
26.12.2005 14:24 3.364 d3d9caps.dat
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
28.11.2005 22:13 3.588 getonlhttp_tmp.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
15.11.2005 08:40 262.144 wrap_oal.dll
15.11.2005 08:40 86.016 OpenAL32.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
06.11.2005 10:31 9.676 QuickTimeFavorites.qtr
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 15:48 380.684 perfh009.dat
30.10.2005 15:48 53.098 perfc009.dat
30.10.2005 15:48 391.574 perfh007.dat
30.10.2005 15:48 63.976 perfc007.dat
30.10.2005 15:48 897.954 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
_______________________________________
Datenträger in Laufwerk C: ist WIN XP
Volumeseriennummer: CF53-9280

Verzeichnis von C:\DOKUME~1\xxxxxxx~1\LOKALE~1\Temp

19.01.2006 12:50 234.900 MSI583b2.LOG
19.01.2006 12:50 244 Setup Log File.log
19.01.2006 12:48 512 ~DF205D.tmp
______________________________________________________
Datenträger in Laufwerk C: ist WIN XP
Volumeseriennummer: CF53-9280

Verzeichnis von C:\WINDOWS

19.01.2006 12:43 618 ODBC.INI
19.01.2006 12:43 49 transp.gif
19.01.2006 12:42 2.048 bootstat.dat
19.01.2006 12:41 120.334 WindowsUpdate.log
19.01.2006 12:08 7.168 Thumbs.db
19.01.2006 12:07 300 setupact.log
19.01.2006 12:02 308.822 ntbtlog.txt
15.01.2006 14:54 54.156 QTFont.qfn
13.01.2006 16:16 5.019 wmsetup.log
07.01.2006 20:25 904 win.ini
07.01.2006 20:21 0 Sti_Trace.log
07.01.2006 20:21 244 wiadebug.log
06.01.2006 14:29 3.941 iis6.log
06.01.2006 14:29 1.368 ocmsn.log
06.01.2006 14:29 9.436 tsoc.log
06.01.2006 14:29 4.970 ntdtcsetup.log
06.01.2006 14:29 19.545 KB912919.log
06.01.2006 14:29 1.236 msgsocm.log
06.01.2006 14:29 24.730 FaxSetup.log
06.01.2006 14:29 4.301 updspapi.log
06.01.2006 14:28 18.511 KB905915.log
06.01.2006 14:28 7.864 KB910437.log
06.01.2006 14:28 11.992 KB896424.log
06.01.2006 14:28 0 setuperr.log
22.12.2005 21:39 3.618 ModemLog_56K MDC Modem.txt
17.12.2005 13:37 3.542 messer.ini
11.12.2005 17:42 227 system.ini
09.12.2005 21:17 16.613 mozver.dat
07.12.2005 11:15 107.132 UninstallFirefox.exe
29.11.2005 21:28 1.409 QTFont.for
28.11.2005 22:13 103 DKAL.INI
14.11.2005 21:33 66 StationRipper.INI
11.10.2005 19:22 72.704 ST5UNST.EXE
__________________________________________________
Datenträger in Laufwerk C: ist WIN XP
Volumeseriennummer: CF53-9280

Verzeichnis von C:\

19.01.2006 12:54 0 sys.txt
19.01.2006 12:53 7.140 system.txt
19.01.2006 12:51 394 systemtemp.txt
19.01.2006 12:48 103.217 system32.txt
19.01.2006 12:42 805.306.368 pagefile.sys
19.01.2006 12:05 1.406 smitfiles.txt
14.12.2005 13:56 62 db_editor_log.txt
11.12.2005 17:42 211 boot.ini

Wildone · 19.01.2006, 13:02

Hallo,
sieht soweit alles sauber aus, mach noch mal zur Kontrolle einen Onlinescan bei Panda und poste den Report.

Grüße Wildone

Flusi · 19.01.2006, 13:21

Der Online-Scan funktioniert bei mir leider nicht. An der Stelle, wo ein Virendaten-Update durchgeführt werden soll, erscheint bei mir links unten im Fenster "Fehler auf der Seite". Dann passiert nichts mehr.
Habe die Website unter vertrauenswürdige Seiten einsortiert, so dass ich es mir nicht erklären kann.

Wildone · 19.01.2006, 13:25

Hallo,
du machst das ganze mit dem IE?
Alternativ kannst du auch hier einen Onlinescan machen.

Grüße Wildone

Flusi · 19.01.2006, 13:31

Zitat:

Zitat von Wildone

Hallo,
du machst das ganze mit dem IE?
Alternativ kannst du auch hier einen Onlinescan machen.

Grüße Wildone

Eigentlich surfe ich mit Firefox. Aber dort ging ein Fenster auf, dass der Browser nicht unterstützt wird, und es wurde IE verlangt.

Der Scan funktioniert jetzt aber, keine Ahnung, warum's die ersten Male nicht ging. Den Report poste ich gleich.

Flusi · 19.01.2006, 21:25

So, hier nun der Report aus dem Panda-Onlinescan:

Potenziell unerwünschtes Tool:Application/Processor; Nicht desinfiziert; C:\Dokumente und Einstellungen\xxxxxxx\Desktop\smitRem.exe[Process.exe]

Potenziell unerwünschtes Tool:Application/Processor; Nicht desinfiziert; C:\smitRem\Process.exe

Mögliches Virus; Nicht desinfiziert; C:\WINDOWS\system32\getonlhttp_tmp.dll

Adware:Adware/WinTools; Nicht desinfiziert C:\WINDOWS\system32\grwinsthlp.exe

Potenziell unerwünschtes Tool:Application/KillApp.B; Nicht desinfiziert E:\My Downloads\Tools\pcwKill.z.exe[KILL.EXE]

Hacktool:Hacktool/Servicekiller.A;Nicht desinfiziert
E:\My Downloads\Tools\win32sec.exe

Wildone · 19.01.2006, 21:47

Hallo,
überprüfe die Datei:
C:\WINDOWS\system32\getonlhttp_tmp.dll

hier und poste das Ergebnis.
lösche außerdem:
C:\WINDOWS\system32\grwinsthlp.exe

Ich nehme mal an das das hier von pcwelt ist und somit harmlos:
E:\My Downloads\Tools\pcwKill.z.exe[KILL.EXE]
genauso das potenzielle Hacktool ist soweit ich ergoogelt habe ein Programm zum Dienste konfigurieren.

Grüße Wildone

Flusi · 19.01.2006, 21:55

This is a report processed by VirusTotal on 01/19/2006 at 21:52:06 (CET) after scanning the file "getonlhttp_tmp.dll" file.

Antivirus Version Update Result
AntiVir 6.33.0.77 01.19.2006 no virus found
Avast 4.6.695.0 01.18.2006 no virus found
AVG 718 01.19.2006 no virus found
Avira 6.33.0.77 01.19.2006 no virus found
BitDefender 7.2 01.19.2006 no virus found
CAT-QuickHeal 8.00 01.18.2006 no virus found
ClamAV devel-20051123 01.18.2006 no virus found
DrWeb 4.33 01.19.2006 no virus found
eTrust-InoculateIT 23.71.54 01.19.2006 no virus found
eTrust-Vet 12.4.2050 01.19.2006 no virus found
Ewido 3.5 01.19.2006 no virus found
Fortinet 2.54.0.0 01.19.2006 no virus found
F-Prot 3.16c 01.19.2006 no virus found
Ikarus 0.2.59.0 01.18.2006 no virus found
Kaspersky 4.0.2.24 01.19.2006 no virus found
McAfee 4678 01.19.2006 no virus found
NOD32v2 1.1371 01.18.2006 no virus found
Norman 5.70.10 01.19.2006 no virus found
Panda 9.0.0.4 01.19.2006 Suspicious file
Sophos 4.01.0 01.19.2006 no virus found
Symantec 8.0 01.19.2006 no virus found
TheHacker 5.9.2.076 01.18.2006 no virus found
UNA 1.83 01.19.2006 no virus found
VBA32 3.10.5 01.19.2006 no virus found
________________________________________________________

grwinsthlp.exe habe ich mit Eraser gelöscht.

Wildone · 19.01.2006, 22:13

Hallo,
schicke die Datei sicherheitshalber mal an www.malwareupload.com (Mist, sehe gerade das die quasi aufgehört haben).
Dann mach mal folgendes:

Zitat:

Die verdächtige Datei sollte zunächst mit Hilfe eines Packprogrammes, wie z.B. WinRar in ein Archiv gepackt und mit einem Passwort versehen werden. Die eMail sollte eine kurze Problembeschreibung, das erwähnte Passwort und logischerweise den Anhang beinhalten.

und schicke sie an newvirus@kaspersky.com

Ansonsten sollte es das jetzt gewesen sein, zukünftig Finger weg von Cracks, Keygens, und ähnlich unseriösen Programmen(und von Seiten, die sie anbieten) daher hattest du nämlich das ganze.

Grüße Wildone

Flusi · 19.01.2006, 22:24

Vielen Dank für Deine Hilfe.

Aber mit Cracks & Co. hab ich nun wirklich nichts zu schaffen!

Wildone · 19.01.2006, 22:31

Hallo,
dann ist mir schleierhaft wie du es dir geholt hast, aber nun gut, hauptsache es ist jetzt weg.

Grüße Wildone

Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los?

Plagegeister aller Art und deren Bekämpfung: Trojaner "TR/Dldr.zlob.ea.4". Wie werde ich ihn los?