Trojaner befall mit allerlei Auswirkungen

Trafo · 01.04.2006, 14:00

Guten Tag,
ich habe mir vor einiegen Tagen einen, wie es aussieht, Trojaner eingefangen.

Mit AntiVir kann ich diesen nicht löschen...nur jedesmal wenn er aktiv wird erscheint eine "gefunden" Meldung.

AdAware konnte auch nix ausrichten.

Auswirkungen sind:
Die IE-Startseite ist "about:blank" und kann auch nicht mehr geändert werden.
Auf den Desktop, im "Start"Menü und in den Favorieten sind Icons/verknüpfungen zu den Homepages "h**p://securitylist.net/ sowie h**p://testsecurityonline.com/ .
Diese Seiten sind bewust im Windows XP design gehalten bzw. ähneln stark der Microsoft Homepage.
Eine zusätliche ToolBar hat sich im IE hinzugefügt.
Seit heute kann sich mein Icq nicht mehr einloggen.
Und beim Hochfahren des Rechners öffnen sich manchmal die oben genannten Pages.

HijackThis spuckt vollgendes aus:
Logfile of HijackThis v1.99.1
Scan saved at 14:51:50, on 1.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Asmus\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp5FF2.tmp (file missing)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

laut www.Hijackthis.de ist diese Datei befallen:
C:\WINDOWS\system32\nvctrl.exe

FreeAV AntiVir hat mir MINDESTENS schon vollgende Virenfunde gemeldet:
TR/Dldr.Zlob.DC.2
TR/Zlob.IT.3
TR/Dldr.Small.ayl.0

Würde mich freuen wenn man mir helfen kann.

MfG: Trafo

BataAlexander · 01.04.2006, 14:10

Hallo,

arbeite folgende Anleitung ab.

Gruß

Schrulli

Trafo · 01.04.2006, 15:25

Hallo Schrulli,

wenn ich das richtig sehe ist das eine Anleitungssammlung von "sabrina" für verschiedene typen....aber welchen link/anleitung soll ich denn nehmen...welche syware oder so hat mich denn infiziert?

BataAlexander · 01.04.2006, 15:40

Hallo,

fang mal hier an. Du musst rausfinden, welche Dateien auf Deinem Rechner noch vorhanden sind, dardurch weißt Du welche "Version" Du hast. Benutze dazu datfind.

Bei Fragen = fragen

Gruß

Schrulli

Trafo · 01.04.2006, 15:54

Okay, habe jetzt ertmal datfind arbeiten lassen :

Verzeichnis von C:\WINDOWS\system32

01.04.2006 14:08 5.004 ncompat.tlb
31.03.2006 14:59 2.206 wpa.dbl
29.03.2006 22:01 4.286 ot.ico
29.03.2006 22:01 4.286 ts.ico
29.03.2006 21:30 17.444 nvctrl.exe
28.03.2006 23:17 16.081 dfrgsrv.exe
27.03.2006 12:26 39.992 perfc009.dat
27.03.2006 12:26 316.594 perfh007.dat
27.03.2006 12:26 48.156 perfc007.dat
27.03.2006 12:26 311.604 perfh009.dat
27.03.2006 12:26 723.744 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe
08.02.2006 17:27 2.778 qtplugin.log
01.02.2006 13:51 157.696 rmoc3260.dll
01.02.2006 13:51 6.656 pndx5016.dll
01.02.2006 13:51 5.632 pndx5032.dll
01.02.2006 13:51 25.088 prefscpl.cpl
01.02.2006 13:51 278.528 pncrt.dll
26.01.2006 01:20 1.290 lvcoinst.log
26.01.2006 01:18 633 Installer.log
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
15.12.2005 16:28 16.832 amcompat.tlb
15.12.2005 16:28 23.392 nscompat.tlb
08.12.2005 16:52 110.192 FNTCACHE.DAT
07.12.2005 19:05 716.800 divxdec.ax
07.12.2005 19:05 573.952 DivX.dll
07.12.2005 19:05 679.936 divx_xx07.dll
07.12.2005 19:05 679.936 divx_xx0c.dll
07.12.2005 19:05 663.552 divx_xx11.dll
06.12.2005 07:02 5.533.696 wmp.dll
05.12.2005 22:51 10.716 dsm_ja.qm
05.12.2005 22:51 15.331 dsm_de.qm
05.12.2005 22:51 15.172 dsm_fr.qm
01.12.2005 05:31 1.492.480 shdocvw.bak
01.12.2005 05:31 1.492.480 shdocvw.dll
30.11.2005 22:42 18.597 TVicHW32.vxd

Verzeichnis von C:\DOKUME~1\Asmus\LOKALE~1\Temp

01.04.2006 14:11 16.384 ~DFDF41.tmp
01.04.2006 14:11 512 ~DFDF4C.tmp
01.04.2006 14:11 9.402 LVCOMSX.LOG
31.03.2006 15:05 4 PMShared
31.03.2006 14:59 16.384 ~DFA613.tmp
31.03.2006 14:59 16.384 ~DF98AF.tmp
30.03.2006 12:55 16.384 ~DFA0E.tmp
30.03.2006 12:55 16.384 ~DF33A.tmp
29.03.2006 22:33 283 wahtmltmp00.htm
29.03.2006 11:17 289 h91746.exe
29.03.2006 11:15 14.244 panmnimd.exe
29.03.2006 11:15 14.244 mgnmnimd.exe
29.03.2006 09:05 16.384 ~DFCAD1.tmp
29.03.2006 09:05 16.384 ~DFC16C.tmp
28.03.2006 23:55 16.384 ~DF16A3.tmp
28.03.2006 23:55 16.384 ~DF7BF.tmp
28.03.2006 21:39 16.384 ~DFC11E.tmp
28.03.2006 21:39 16.384 ~DFB878.tmp
28.03.2006 21:39 512 ~DFB883.tmp
28.03.2006 18:36 16.384 ~DF6996.tmp
28.03.2006 18:36 16.384 ~DF697D.tmp
28.03.2006 18:36 16.384 ~DF6964.tmp
28.03.2006 18:36 16.384 ~DF694B.tmp
28.03.2006 18:33 16.384 ~DF8FB7.tmp
28.03.2006 18:33 16.384 ~DF8F85.tmp
28.03.2006 18:33 16.384 ~DF8F9E.tmp
28.03.2006 18:33 16.384 ~DF8F6A.tmp
28.03.2006 18:32 16.384 ~DF28B.tmp
28.03.2006 18:32 16.384 ~DF9111.tmp
28.03.2006 17:05 16.384 ~DFD99E.tmp
28.03.2006 17:05 16.384 ~DFD187.tmp
28.03.2006 08:50 16.384 ~DFB72C.tmp
28.03.2006 08:50 16.384 ~DFAE9C.tmp
27.03.2006 12:25 16.384 ~DFC3DD.tmp
27.03.2006 12:25 16.384 ~DFB355.tmp
27.03.2006 01:12 16.384 ~DF14F1.tmp
27.03.2006 01:12 16.384 ~DF14D8.tmp
27.03.2006 01:12 16.384 ~DF150A.tmp
27.03.2006 01:12 16.384 ~DF14BF.tmp
26.03.2006 22:56 16.384 ~DF80F5.tmp
26.03.2006 22:56 16.384 ~DF98FA.tmp
25.03.2006 12:17 16.384 ~DF8457.tmp
25.03.2006 12:17 16.384 ~DF7DF8.tmp
24.03.2006 16:38 16.384 ~DF8F97.tmp
24.03.2006 16:38 16.384 ~DF9C04.tmp
24.03.2006 10:53 16.384 ~DF3A34.tmp
24.03.2006 10:53 16.384 ~DF3A02.tmp
24.03.2006 10:53 16.384 ~DF39BD.tmp
24.03.2006 10:53 16.384 ~DF3A1B.tmp
24.03.2006 10:51 16.384 ~DFBD0D.tmp
24.03.2006 10:51 16.384 ~DFAC67.tmp
23.03.2006 20:01 16.384 ~DFAA93.tmp
23.03.2006 20:01 16.384 ~DFB2FE.tmp
23.03.2006 09:17 16.384 ~DFC841.tmp
23.03.2006 09:17 16.384 ~DFAEEA.tmp
23.03.2006 01:03 163.840 qc4.avi
23.03.2006 01:03 0 qc3.avi
23.03.2006 01:01 0 qc2.avi
22.03.2006 23:58 16.384 ~DF3465.tmp
22.03.2006 23:58 16.384 ~DF347E.tmp
22.03.2006 23:58 16.384 ~DF3430.tmp
22.03.2006 23:58 16.384 ~DF344C.tmp
22.03.2006 20:35 16.384 ~DF9126.tmp
22.03.2006 20:34 16.384 ~DF9744.tmp
22.03.2006 17:52 16.384 ~DF9226.tmp
22.03.2006 17:52 16.384 ~DFA071.tmp
22.03.2006 14:07 16.384 ~DFC4A0.tmp
22.03.2006 14:07 16.384 ~DFB3F8.tmp
22.03.2006 10:08 16.384 ~DFCABD.tmp
22.03.2006 10:08 16.384 ~DFBB9F.tmp
21.03.2006 21:48 16.384 ~DFB080.tmp
21.03.2006 21:48 16.384 ~DFCAAC.tmp
21.03.2006 12:40 16.384 ~DFBD1E.tmp
21.03.2006 12:40 16.384 ~DFB32E.tmp
20.03.2006 18:33 16.384 ~DFB141.tmp
20.03.2006 18:33 16.384 ~DFB128.tmp
20.03.2006 18:33 16.384 ~DFB10E.tmp
20.03.2006 18:33 16.384 ~DFB0F5.tmp
20.03.2006 17:42 16.384 ~DF9100.tmp
20.03.2006 17:42 16.384 ~DFAEB8.tmp
20.03.2006 17:40 16.384 ~DF8FC1.tmp
20.03.2006 17:40 16.384 ~DFA586.tmp
19.03.2006 15:57 16.384 ~DFB2E0.tmp
19.03.2006 15:57 16.384 ~DFC3D3.tmp
18.03.2006 16:11 16.384 ~DF9225.tmp
18.03.2006 16:11 16.384 ~DF84F8.tmp
17.03.2006 18:23 16.384 ~DF8EB1.tmp
17.03.2006 18:23 16.384 ~DF82FC.tmp
17.03.2006 18:22 16.384 ~DF3CC.tmp
17.03.2006 18:22 16.384 ~DF417.tmp
17.03.2006 18:22 16.384 ~DF3FE.tmp
17.03.2006 18:22 16.384 ~DF3E5.tmp
17.03.2006 17:39 16.384 ~DFED46.tmp
17.03.2006 17:39 16.384 ~DFE5FC.tmp
17.03.2006 16:36 16.384 ~DF9331.tmp
17.03.2006 16:36 16.384 ~DF934A.tmp
17.03.2006 16:36 16.384 ~DF9318.tmp
17.03.2006 16:36 16.384 ~DF92FD.tmp
17.03.2006 16:32 16.384 ~DF8E8F.tmp
17.03.2006 16:32 16.384 ~DF9C1D.tmp
17.03.2006 11:19 16.384 ~DF8386.tmp
17.03.2006 11:19 16.384 ~DF9800.tmp
17.03.2006 11:17 16.384 ~DFCAFE.tmp
17.03.2006 11:17 16.384 ~DFBC54.tmp
16.03.2006 18:06 16.384 ~DF4C12.tmp
16.03.2006 18:06 16.384 ~DF7A88.tmp
16.03.2006 05:55 232 1F1205F7.TMP
15.03.2006 09:40 16.384 ~DFC6C4.tmp
15.03.2006 09:40 16.384 ~DFBF2E.tmp
14.03.2006 21:00 16.384 ~DF8335.tmp
14.03.2006 21:00 16.384 ~DF834E.tmp
14.03.2006 21:00 16.384 ~DF8367.tmp
14.03.2006 21:00 16.384 ~DF831C.tmp
14.03.2006 20:29 16.384 ~DFC4B0.tmp
14.03.2006 20:29 16.384 ~DFC4C9.tmp
14.03.2006 20:29 16.384 ~DFC4E2.tmp
14.03.2006 20:29 16.384 ~DFC495.tmp
14.03.2006 15:54 16.384 ~DFF345.tmp
14.03.2006 15:53 16.384 ~DF952A.tmp
14.03.2006 14:23 53.728 f56d_appcompat.txt
14.03.2006 12:24 16.384 ~DFE8E9.tmp
14.03.2006 12:24 16.384 ~DF4322.tmp
13.03.2006 17:52 16.384 ~DF7928.tmp
13.03.2006 17:52 16.384 ~DF7941.tmp
13.03.2006 17:52 16.384 ~DF78F6.tmp
13.03.2006 17:52 16.384 ~DF790F.tmp
13.03.2006 17:12 49 VGX32.tmp
13.03.2006 16:20 16.384 Perflib_Perfdata_5d0.dat
13.03.2006 15:45 16.384 ~DF6FAB.tmp
13.03.2006 15:45 16.384 ~DF81D1.tmp
13.03.2006 12:02 16.384 ~DFB839.tmp
13.03.2006 12:02 16.384 ~DFAFF4.tmp
12.03.2006 13:15 16.384 ~DFC322.tmp
12.03.2006 13:15 16.384 ~DFB186.tmp
11.03.2006 20:00 27.282 3a18_appcompat.txt
11.03.2006 12:42 16.384 ~DFD443.tmp
11.03.2006 12:42 16.384 ~DFCBDC.tmp
10.03.2006 22:06 27.282 5322_appcompat.txt
10.03.2006 20:17 16.384 ~DF6723.tmp
10.03.2006 20:17 16.384 ~DF9343.tmp
10.03.2006 16:35 16.384 ~DF8D2A.tmp
10.03.2006 16:35 16.384 ~DF8D11.tmp
10.03.2006 16:35 16.384 ~DF8C99.tmp
10.03.2006 16:35 16.384 ~DF8C7D.tmp
10.03.2006 16:26 16.384 ~DF71EF.tmp
10.03.2006 16:26 16.384 ~DF909F.tmp
09.03.2006 17:58 27.282 d386_appcompat.txt
09.03.2006 17:57 16.384 ~DFD1A2.tmp
09.03.2006 17:57 16.384 ~DFD170.tmp
09.03.2006 17:57 16.384 ~DFD189.tmp
09.03.2006 17:57 16.384 ~DFD157.tmp
09.03.2006 17:48 16.384 ~DF3E06.tmp
09.03.2006 17:48 16.384 ~DF3E1F.tmp
09.03.2006 17:48 16.384 ~DF3E38.tmp
09.03.2006 17:48 16.384 ~DF3E51.tmp
09.03.2006 17:21 16.384 ~DF341.tmp
09.03.2006 17:21 16.384 ~DF72D8.tmp
09.03.2006 15:39 16.384 ~DFE4F9.tmp
09.03.2006 15:39 16.384 ~DFD182.tmp
09.03.2006 15:35 27.282 7fed_appcompat.txt
09.03.2006 15:17 16.384 ~DFCA62.tmp
09.03.2006 15:17 16.384 ~DFC27A.tmp
09.03.2006 13:51 27.282 715a_appcompat.txt
09.03.2006 11:46 16.384 ~DFF9B.tmp
09.03.2006 11:46 16.384 ~DFEC98.tmp
08.03.2006 17:49 27.282 3c1e_appcompat.txt
08.03.2006 10:23 16.384 ~DFD27.tmp
08.03.2006 10:23 16.384 ~DFE892.tmp
08.03.2006 02:04 27.282 11f4_appcompat.txt
07.03.2006 17:19 16.384 ~DF217.tmp
07.03.2006 17:19 16.384 ~DFD794.tmp
07.03.2006 17:13 27.282 e731_appcompat.txt
07.03.2006 16:10 16.384 ~DFF1CD.tmp
07.03.2006 16:10 16.384 ~DFBE1E.tmp
07.03.2006 13:02 16.384 ~DF1706.tmp
07.03.2006 13:02 16.384 ~DF171F.tmp
07.03.2006 13:02 16.384 ~DF1070.tmp
07.03.2006 13:02 16.384 ~DF1044.tmp
07.03.2006 13:02 16.384 ~DFEA6D.tmp
07.03.2006 13:02 16.384 ~DFE0D6.tmp
07.03.2006 01:44 27.282 482d_appcompat.txt
06.03.2006 17:24 717 control.xml
06.03.2006 17:00 16.384 ~DFECE3.tmp
06.03.2006 17:00 16.384 ~DFD915.tmp
06.03.2006 16:59 27.282 3b76_appcompat.txt
06.03.2006 12:37 16.384 ~DF6C6.tmp
06.03.2006 12:37 16.384 ~DFD9AE.tmp
04.03.2006 22:13 27.282 3425_appcompat.txt
04.03.2006 16:10 16.384 ~DFD63D.tmp
04.03.2006 16:10 16.384 ~DFB7A5.tmp
04.03.2006 01:43 27.282 17fe_appcompat.txt
03.03.2006 15:17 16.384 ~DFE5B1.tmp
03.03.2006 15:17 16.384 ~DFD520.tmp
02.03.2006 19:32 27.282 f571_appcompat.txt
02.03.2006 16:15 16.384 ~DF1E08.tmp
02.03.2006 16:15 16.384 ~DFE725.tmp
02.03.2006 12:36 27.282 ecde_appcompat.txt
02.03.2006 11:28 16.384 ~DF4487.tmp
02.03.2006 11:28 16.384 ~DFFB67.tmp
01.03.2006 13:24 27.282 6ee6_appcompat.txt
01.03.2006 09:39 16.384 ~DFCAF.tmp
01.03.2006 09:39 16.384 ~DFE106.tmp
28.02.2006 13:00 27.282 a8c8_appcompat.txt
28.02.2006 09:11 16.384 ~DFEBC4.tmp
28.02.2006 09:11 16.384 ~DFDADF.tmp
28.02.2006 01:02 27.282 a642_appcompat.txt
27.02.2006 14:11 16.384 ~DFFA3E.tmp
27.02.2006 14:11 16.384 ~DFE968.tmp
26.02.2006 19:44 27.282 b314_appcompat.txt
26.02.2006 19:42 16.384 ~DF1776.tmp
26.02.2006 19:42 16.384 ~DF175D.tmp
26.02.2006 19:42 16.384 ~DF1744.tmp
26.02.2006 19:42 16.384 ~DF172B.tmp
26.02.2006 16:05 16.384 ~DFEA28.tmp
26.02.2006 16:04 16.384 ~DFD71C.tmp
26.02.2006 02:58 27.282 8de9_appcompat.txt
26.02.2006 01:51 16.384 ~DF1318.tmp
26.02.2006 01:51 16.384 ~DF1B0.tmp
24.02.2006 18:20 27.282 f983_appcompat.txt
24.02.2006 15:48 16.384 ~DF695.tmp
24.02.2006 15:48 16.384 ~DFF643.tmp
24.02.2006 12:42 27.282 7a56_appcompat.txt
24.02.2006 11:20 16.384 ~DFD962.tmp
24.02.2006 11:20 16.384 ~DFCD87.tmp
23.02.2006 16:24 27.282 1404_appcompat.txt
23.02.2006 11:00 16.384 ~DFE4BE.tmp
23.02.2006 11:00 16.384 ~DFD1D8.tmp
22.02.2006 10:40 16.384 ~DF3D8.tmp
22.02.2006 10:40 16.384 ~DFFC03.tmp
21.02.2006 18:03 16.384 ~DF11C0.tmp
21.02.2006 18:03 16.384 ~DFF609.tmp
21.02.2006 15:53 27.282 dfec_appcompat.txt
21.02.2006 10:20 16.384 ~DF885.tmp
21.02.2006 10:20 16.384 ~DFF823.tmp
21.02.2006 01:38 27.282 9157_appcompat.txt
20.02.2006 14:06 16.384 ~DFFE75.tmp
20.02.2006 14:06 16.384 ~DFF4B2.tmp
19.02.2006 14:55 53.738 e9d6_appcompat.txt
19.02.2006 14:31 16.384 ~DFD801.tmp
19.02.2006 14:31 16.384 ~DFC2E1.tmp
18.02.2006 15:40 16.384 ~DF105C.tmp
18.02.2006 15:40 16.384 ~DFEAA7.tmp
17.02.2006 13:40 27.282 112f_appcompat.txt
17.02.2006 12:30 16.384 ~DF11CD.tmp
17.02.2006 12:30 16.384 ~DFE4CB.tmp
16.02.2006 19:02 16.384 ~DFBC8.tmp
16.02.2006 19:02 16.384 ~DFFB64.tmp
16.02.2006 16:15 16.384 ~DF41A4.tmp
16.02.2006 16:15 16.384 ~DF4137.tmp
16.02.2006 16:15 16.384 ~DF418B.tmp
16.02.2006 16:15 16.384 ~DF416A.tmp
16.02.2006 15:57 16.384 ~DFE2C4.tmp
16.02.2006 15:57 16.384 ~DFD0FF.tmp
16.02.2006 01:54 27.282 4802_appcompat.txt
16.02.2006 00:40 16.384 ~DF5BBB.tmp
16.02.2006 00:40 16.384 ~DF5BD4.tmp
16.02.2006 00:40 16.384 ~DF5BA2.tmp
16.02.2006 00:40 16.384 ~DF5B89.tmp
15.02.2006 22:33 16.384 ~DFF10B.tmp
15.02.2006 22:33 16.384 ~DFAF99.tmp
15.02.2006 22:30 16.384 ~DFCEBE.tmp
15.02.2006 22:30 16.384 ~DFA53A.tmp
15.02.2006 18:35 27.282 b48c_appcompat.txt
15.02.2006 12:37 16.384 ~DFF7B9.tmp
15.02.2006 12:37 16.384 ~DFEDF2.tmp
15.02.2006 00:37 16.384 ~DF148F.tmp
15.02.2006 00:37 16.384 ~DFE9F3.tmp
13.02.2006 02:43 27.282 5353_appcompat.txt
12.02.2006 18:15 16.384 ~DFDA65.tmp
12.02.2006 18:15 16.384 ~DFB056.tmp
11.02.2006 21:15 16.384 ~DFE54A.tmp
11.02.2006 21:15 16.384 ~DFCE53.tmp
11.02.2006 13:13 16.384 ~DF6AEE.tmp
11.02.2006 13:13 16.384 ~DF6B07.tmp
11.02.2006 13:13 16.384 ~DF6B20.tmp
11.02.2006 13:13 16.384 ~DF6B39.tmp
11.02.2006 13:12 16.384 ~DF9A6.tmp
11.02.2006 13:12 16.384 ~DFF2D5.tmp
11.02.2006 00:40 27.282 683f_appcompat.txt
10.02.2006 16:53 16.384 ~DFF668.tmp
10.02.2006 16:53 16.384 ~DFE4B7.tmp
10.02.2006 02:14 27.282 6413_appcompat.txt
09.02.2006 16:41 16.384 ~DF675E.tmp
09.02.2006 16:41 16.384 ~DF6779.tmp
09.02.2006 16:41 16.384 ~DF67AF.tmp
09.02.2006 16:41 16.384 ~DF6794.tmp
09.02.2006 16:17 16.384 ~DFC48A.tmp
09.02.2006 16:17 16.384 ~DFB70B.tmp
08.02.2006 19:04 27.282 cf13_appcompat.txt
08.02.2006 19:01 16.384 ~DF3E3F.tmp
08.02.2006 19:01 16.384 ~DF3E24.tmp
08.02.2006 19:01 16.384 ~DF3E5A.tmp
08.02.2006 19:01 16.384 ~DF3E09.tmp
08.02.2006 18:50 16.384 ~DF9AB9.tmp
08.02.2006 18:50 16.384 ~DF9A83.tmp
08.02.2006 18:50 16.384 ~DF9A9E.tmp
08.02.2006 18:50 16.384 ~DF9A68.tmp
08.02.2006 16:50 16.384 ~DFEC6B.tmp
08.02.2006 16:50 16.384 ~DFD907.tmp
07.02.2006 14:51 106.560 VVSNInst.exe
07.02.2006 12:29 16.384 ~DFF01F.tmp
07.02.2006 12:29 16.384 ~DFCBE7.tmp
06.02.2006 00:48 27.282 401a_appcompat.txt
05.02.2006 18:09 16.384 ~DFF309.tmp
05.02.2006 18:09 16.384 ~DFE922.tmp
03.02.2006 13:22 27.282 63c1_appcompat.txt
03.02.2006 10:51 16.384 ~DFD109.tmp
03.02.2006 10:51 16.384 ~DFAAEA.tmp
02.02.2006 20:55 27.282 8527_appcompat.txt
02.02.2006 16:46 16.384 ~DFD5A9.tmp
02.02.2006 16:46 16.384 ~DFC343.tmp
02.02.2006 16:01 27.282 9631_appcompat.txt
02.02.2006 12:00 16.384 ~DFEA9B.tmp
02.02.2006 12:00 16.384 ~DFD219.tmp
01.02.2006 18:46 27.282 5530_appcompat.txt
01.02.2006 13:52 2.178 superinst.log
01.02.2006 13:50 53.248 GLK7.tmp
01.02.2006 13:34 16.384 ~DF26C7.tmp
01.02.2006 13:34 16.384 ~DF1DE2.tmp
01.02.2006 01:47 27.282 e11e_appcompat.txt
01.02.2006 00:42 16.384 ~DF2435.tmp
01.02.2006 00:42 16.384 ~DF1C76.tmp
31.01.2006 16:49 27.282 93b8_appcompat.txt

Verzeichnis von C:\WINDOWS

01.04.2006 14:11 0 0.log
01.04.2006 14:11 1.840.548 WindowsUpdate.log
01.04.2006 14:11 159 wiadebug.log
01.04.2006 14:11 50 wiaservc.log
01.04.2006 14:11 2.048 bootstat.dat
01.04.2006 14:10 32.626 SchedLgU.Txt
31.03.2006 15:05 578 win.ini
29.03.2006 11:15 710.274 setupapi.log
28.03.2006 17:12 193.143 setupact.log
14.03.2006 12:31 192 winamp.ini
06.03.2006 17:24 15.512 wmsetup.log
19.02.2006 14:31 29.856 spupdsvc.log
18.02.2006 17:36 110.096 comsetup.log
18.02.2006 17:36 382.460 iis6.log
18.02.2006 17:36 15.777 tabletoc.log
18.02.2006 17:36 142.568 tsoc.log
18.02.2006 17:36 11.329 KB911927.log
18.02.2006 17:36 16.998 ocmsn.log
18.02.2006 17:36 1.374 imsins.log
18.02.2006 17:36 66.091 ntdtcsetup.log
18.02.2006 17:36 15.343 msgsocm.log
18.02.2006 17:36 52.603 netfxocm.log
18.02.2006 17:36 158.147 ocgen.log
18.02.2006 17:36 21.970 medctroc.Log
18.02.2006 17:36 294.637 FaxSetup.log
18.02.2006 17:36 102.900 msmqinst.log
18.02.2006 17:36 18.044 updspapi.log
18.02.2006 17:36 1.374 imsins.BAK
18.02.2006 17:36 8.397 KB911564.log
18.02.2006 17:36 8.911 KB911565.log
18.02.2006 17:35 7.411 KB913446.log
01.02.2006 13:53 4.055 KB885295.log
01.02.2006 13:49 335 nsreg.dat
12.01.2006 02:49 10.061 KB908519.log
11.01.2006 20:46 73.216 cadkasdeinst01.exe
06.01.2006 20:42 10.947 KB912919.log
26.12.2005 21:48 316.640 WMSysPr9.prx

Verzeichnis von C:\

01.04.2006 16:55 0 sys.txt
01.04.2006 16:54 7.133 system.txt
01.04.2006 16:53 41.882 systemtemp.txt
01.04.2006 16:49 99.441 system32.txt
01.04.2006 14:11 1.610.612.736 pagefile.sys
29.08.2002 15:00 4.952 bootfont.bin

daraus kann man jetzt die trojanerversion erkennen ja?

Gruss Trafo

Trafo · 01.04.2006, 16:16

jotti scan schreibt zu der datei

Datei: nvctrl.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Heur.Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Generic.Malware.Ssp.06593251 gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Trojan.Popuper gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Zlob.JS!dldr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.js gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* Accesses executable file from resource section.
* File length: 17444 bytes.

[ Changes to filesystem ]
* Deletes file .
* Creates file C:\WINDOWS\SYSTEM32\hp0909.tmp.
* Creates file C:\WINDOWS\SYSTEM32\ncompat.tlb.
* Creates file C:\WINDOWS\SYSTEM32\interf.tlb.

[ Changes to registry ]
* Creates key "HKCR\CLSID\{D41D76-".
* Sets value "default"="Nothing" in key "HKCR\CLSID\{D41D76-".
* Creates key "HKCR\CLSID\{D41D76-\InprocServer32".
* Sets value "default"="C:\WINDOWS\SYSTEM32\hp0909.tmp" in key "HKCR\CLSID\{D41D76-\InprocServer32".
* Sets value "ThreadingModel"="Apartment" in key "HKCR\CLSID\{D41D76-\InprocServer32".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}".
* Sets value ""="" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}".
* Creates value "nvctrl.exe"="nvctrl.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run".

[ Changes to system settings ]
* Creates WindowsHook monitoring cbt activity.

[ Process/window information ]
* Creates an event called hpmInsuranceEventEx.
* Creates a mutex ncompat.tlb.
* Creates a mutex 0ac4f69b-6c3f-40f8-944f-979162a1f5eb.
* Creates an event called eb9ba1e0-de84-4017-b056-4cabab02e7a4.
* Will automatically restart after boot (I'll be back...). gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.Zlob.js gefunden

glaube die datei C:\WINDOWS\system32\nvctrl.exe
hat was damit zutun....

BataAlexander · 01.04.2006, 16:32

Hallo,

lösche folgende Dateien mit Killbox Option "delete on reboot":

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\dfrgsrv.exe
C:\DOKUME~1\Asmus\LOKALE~1\Temp\h91746.exe

scanne zusätzlich folgende Dateien online bei virustotal.com:
C:\DOKUME~1\Asmus\LOKALE~1\Temp\panmnimd.exe
C:\DOKUME~1\Asmus\LOKALE~1\Temp\mgnmnimd.exe

Poste das Ergebnis.

Gruß

Schrulli

Trafo · 02.04.2006, 15:35

also....Dateien sind gelöscht :-)

die beiden zu scannenden Dateien sind auch infiziert.

This is a report processed by VirusTotal on 04/02/2006 at 16:31:00 (CET) after scanning the file "mgnmnimd.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 04.02.2006 TR/Dialer.AY.3
Avast 4.6.695.0 04.01.2006 Win32

ialer-407
AVG 386 03.31.2006 Dialer.BIB
Avira 6.34.0.54 04.02.2006 TR/Dialer.AY.3
BitDefender 7.2 04.02.2006 Trojan.Dialer.EE
CAT-QuickHeal 8.00 03.31.2006 no virus found
ClamAV devel-20060202 04.02.2006 Dialer-330
DrWeb 4.33 04.02.2006 Dialer.Member
eTrust-InoculateIT 23.71.117 04.01.2006 Win32/SilentCaller.V!Trojan
eTrust-Vet 12.4.2145 03.31.2006 Win32/SilentCaller.V
Ewido 3.5 04.02.2006 Trojan.Dialer.ay
Fortinet 2.71.0.0 04.02.2006 W32/Dialer.AY-tr
F-Prot 3.16c 03.30.2006 security risk named W32/Dialer.BTK
Ikarus 0.2.59.0 04.01.2006 Dialer
Kaspersky 4.0.2.24 04.02.2006 Trojan.Win32.Dialer.ay
McAfee 4731 03.31.2006 potentially unwanted program Dialer-257
NOD32v2 1.1467 04.02.2006 Win32/Dialer.NAD
Norman 5.70.10 03.31.2006 W32/Dialer.GEO
Panda 9.0.0.4 04.02.2006 Dialer.FGG
Sophos 4.04.0 04.02.2006 Troj/Dialer-BG
Symantec 8.0 04.02.2006 no virus found
TheHacker 5.9.7.123 04.01.2006 Trojan/Dialer.ay
UNA 1.83 03.30.2006 Trojan.Win32.Dialer
VBA32 3.10.5 04.02.2006 Trojan.Win32.Dialer.ay

This is a report processed by VirusTotal on 04/02/2006 at 16:35:53 (CET) after scanning the file "panmnimd.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 04.02.2006 TR/Dialer.AY.3
Avast 4.6.695.0 04.01.2006 Win32

ialer-407
AVG 386 03.31.2006 Dialer.BIB
Avira 6.34.0.54 04.02.2006 TR/Dialer.AY.3
BitDefender 7.2 04.02.2006 Trojan.Dialer.EE
CAT-QuickHeal 8.00 03.31.2006 no virus found
ClamAV devel-20060202 04.02.2006 Dialer-330
DrWeb 4.33 04.02.2006 Dialer.Member
eTrust-InoculateIT 23.71.117 04.01.2006 Win32/SilentCaller.V!Trojan
eTrust-Vet 12.4.2145 03.31.2006 Win32/SilentCaller.V
Ewido 3.5 04.02.2006 Trojan.Dialer.ay
Fortinet 2.71.0.0 04.02.2006 W32/Dialer.AY-tr
F-Prot 3.16c 03.30.2006 security risk named W32/Dialer.BTK
Ikarus 0.2.59.0 04.01.2006 Dialer
Kaspersky 4.0.2.24 04.02.2006 Trojan.Win32.Dialer.ay
McAfee 4731 03.31.2006 potentially unwanted program Dialer-257
NOD32v2 1.1467 04.02.2006 Win32/Dialer.NAD
Norman 5.70.10 03.31.2006 W32/Dialer.GEO
Panda 9.0.0.4 04.02.2006 Dialer.FGG
Sophos 4.04.0 04.02.2006 Troj/Dialer-BG
Symantec 8.0 04.02.2006 no virus found
TheHacker 5.9.7.123 04.01.2006 Trojan/Dialer.ay
UNA 1.83 03.30.2006 Trojan.Win32.Dialer
VBA32 3.10.5 04.02.2006 Trojan.Win32.Dialer.ay

habe die dateien auch gelöscht....

Trafo · 02.04.2006, 17:08

AAAALLLLSSSSOOOO

wie es scheint ist alles wieder IO.
IE geht wieder ebenso wie icq.

Fals doch noch was da ist meld ich mich nochmal.

THX Schrulli

01.04.2006, 14:10	#2
BataAlexander > MalwareDB	Trojaner befall mit allerlei Auswirkungen Hallo, arbeite folgende Anleitung ab. Gruß Schrulli __________________ __________________

Trojaner befall mit allerlei Auswirkungen

Plagegeister aller Art und deren Bekämpfung: Trojaner befall mit allerlei Auswirkungen