Hallo liebes Forum

ICh habe mir mal den von Euch empfohlenen HJT heruntergeladen und installiert. Das ist die Log-Datei, die er ausgegeben hat. ICh erhalte von meinem Scanner immer wieder die Meldung, daß mein System mit folgenden Trojanern infiziert sein soll. TR/Dldr.Zlob.KP; TR/Zlob.IT.3 Außerdem bekomme ich immer wieder Security Spyware Alerts aus der Windows Taskleiste.
Ich habe auch schon unter google ein paar Hinweise gefunden, aber die sind nicht sehr ergiebig. Unter Spywarequake fand ich zwar einige Infos, die viele Schritte erfordern, aber ich verstehe die nicht. Kann mir jemand von Euch helfen? Vielen Dank

Beste Grüße

Semo

Wie genau soll ich vorgehen?

Logfile of HijackThis v1.99.1
Scan saved at 21:12:43, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
E:\Programme\BOINC\boincmgr.exe
E:\Programme\BOINC\boinc.exe
E:\Programme\Mozilla\firefox.exe
E:\Programme\AntiVir PersonalEdition Premium\avguard.exe
E:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
E:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
E:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
E:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Samsung\Samsung Media Studio\SNN_MainFrameWork.exe
E:\Programme\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_4.98_windows_intelx86.exe
C:\Dokumente und Einstellungen\Bella Durmiente\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Verknüpfung mit boincmgr.lnk = E:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{83A2037D-82B8-4B80-8041-60150CA2C29D}: NameServer = 212.60.192.100 212.60.192.101
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Zitat:

C:\WINDOWS\system32\nvctrl.exe

Ist der Trojaner Zlob. Nebenbei bemerkt ist da noch was am Rumwerkeln:

Zitat:

C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Security Toolbar\Security Toolbar.dll

Mach den Rechner flach und setz Windows neu auf. Der Zlob lädt tw. neuen und unbekannten Schadcode nach.
Eine manuelle Bereinung wäre rel. aufwändig und könnte das Risiko birgen, dass nicht alle Schädlinge entfernt werden!

Hallo,

IMHO ist es nicht zwingend notwendig bei einer "Smitfraud-Infektion", das System neuaufzusetzen.

Entfernungstools wie Smitrem oder Smitfraudfix wurden auf diesem Board mehrfach empfohlen und erfolgreich angewandt.

dartus

Ok. Aber kann man mit Sicherheit sagen, dass der alles entfernt hat? Den Smitfraud-Mist bestimmt, aber woher weiß man welchen Schädlichen Code das Teil heruntergeladen und ausgeführt hat?

Hallo,

dann lies mal Deinen "Link" genauer durch:

"Troj/Zlob-BC installiert die folgenden Dateien in dem Windows-Systemordner:
mscornet.exe (erkannt als Troj/Zlob-BC)
mssearch.exe (erkannt als Troj/Zlob-BC)
nvctrl.exe (erkannt als Troj/Zlob-BC)
ld????.tmp (erkannt als Troj/Zlob-BC)
ncompat.tlb (kann gelöscht werden)
msvol.tlb (kann gelöscht werden)
hp????.tmp (kann gelöscht werden)"

dartus

Die Variante selbst kann sich doch ständig ändern ...

Ich gebe cosinus recht.
Allerdings müsste dann jeder sofort bei Virenbefall Neuaufsetzen.
Und so wäre es auch richtig - egal wie abstrakt es klingt ...

Und das hier ist eben das "nächst-richtige" was man machen kann ...

Ich möchte ja nicht bestreiten, dass es gänzlich unmöglich ist, ein System zu bereinigen. Nur gewisse Dinge erschweren eben einiges. Oftmals ist eine Bereinigung, wenn ich mir einige Anleitungen anschaue, ungleich komplexer als eine Neuinstallation von Windows inkl. vorheriger Formatierung der Systempartition. Und wenn man verlässliche Aussagen haben will, sollte man auch von einem anderen System aus die Platte auf Schädlinge prüfen, das kompromittierte kann (und wird) einen auf sich ausgeführten Virenscanner anlügen.

Da muss ich mich dann aber fragen, warum die meisten User ihren Schwerpunkt nur auf ich sag mal "Verteidigung" legen, also auf Virenscanner und evtl. PFW vertrauen, aber wenn das Kind in den Brunnen gefallen ist, kein Backup dann mehr zur Hand hat. Denn bei einem vernünftigen Backupkonzept ist ein Neuaufsetzen kein Thema. Daher ist imho das Geld in Backupsoftware wie von Acronis besser angelegt als in jede "Security Suite".

@cosinus

Das ist ein sehr interessantes Thema.
Wie wärs wenn du es im Diskussionsforum postest?
Ich hätte da sicherlich genug Fragen

Das Problem zu deiner Frage ist, dass nicht jeder alles weiß.
Manche Leute sind froh wenns mit dem Hochfahren klappt.

Eben "Hauptsache es läuft".

mfg,
Markus

Gibt es da nicht schon die Grundsatzdiskussion "Neuaufsetzen oder Bereinigen"?
Meine Gedankengänge sind bestimmt nicht neu, würde mich jedenfalls nicht wundern, wenn es in diesem ellenlangen Thread nicht schon irgendwie aufgetaucht wäre

Hallo

Vielen Dank für die zahlreichen und hilfreichen Antworten. :aplaus:

Ich wollte mich da gestern nicht mehr in die ideologische Diskussion ums Neuaufsetzen oder reparieren einmischen, weil ich mal sehen wollte, was denn die bessere Variante ist.

Das ist eine fiese Geschichte so ein blöder Trojaner. Das klingt als sollte ich statt reparieren den Atomschlag auf meine Daten machen. Das ist leicht zu kraß. Leider habe ich einige Uni-Hausaufgaben da drauf, die ich aber regelmäßig auf ein Verzeichnis einer anderen Partition verschiebe.

Dazu habe ich eine Frage, aber erstmal zu meinem System. Ich habe eine Platte mit drei Partitionen. Auf C: ist nur das System mit allen Treibern etc.. Auf E: sind sämtliche zu benutzenden Programme und das Programmarchiv. Auf F: sind alle von mir erzeugten Daten.

Jetzt zur Frage: Reicht es aus, wenn ich C: formatiere und die anderen Partitionen mit zwei unterschiedlichen Scannern durchsuche?

Danke nochmal und viele Grüße

Semo

Edit: Ich habe mir gestern noch Spyware Doctor besorgt und benutzt. Der hat außerdem nochein paar andere Trojaner und einen Exploit (Schande, was war denn da alles auf meinem System???) enttarnt. Kostet 30 Eier für ein Jahr... Happig finde ich, aber ich habe es mal sagen wir temporär freigeschalten. Hat ordentlich funktioniert und auch die Registry aufgeräumt. Wenn ich heute Abend wieder zu Hause bin, werde ich mehr wissen und dann das Proggy wirklich kaufen.

Hallo nochmal...

Also mein System hat jetzt keine mucken mehr gemacht, aber kann mir jemand auf meine Fragen antworten? Dankesehr

Grüße

Semo

Das Formatieren der Systempartition sollte reichen. Bedenke aber, dass ausführbare Dateien auf anderen Partitionen als nicht vertrauenswürdig einzustufen sind. Deine Uni-Hausaufgaben kannste und solltest Du sichern...am besten regelmäßig, vor dem Schädling W32.HDDcrash ist niemand gefeit