zlob, myzor und konsorten...

Christian Weinzierl · 20.10.2006, 20:24

Hallo,
vorgestern wurde meine Startseite gekapert von
h**p://www.iehomepages.com/
Gleichzeitig poppt ein Fenster auf und sagt mir, ich hätte mir den Virus
w32.myzor.fk@yf
eingefangen.
Von anderen Usern habe ich erfahren, "fast alle gefundenen Schädlinge stehen offensichtlich mit dem Trojan-Downloader Zlob in Zusammenhang." ("mmk" von CHIP online-Forum)
Das kann ich bestätigen, denn AntiVir hat Zlob gestern entdeckt und hoffentlich den Garaus gemacht.
Die anderen Biester sind aber noch da. Als Bestandteile von Malware habe ich identifiziert:

C:\WINDOWS\System32\issearch.exe
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll

Habe versucht, sie zu fixen, aber ohne Erfolg. Vielleicht kann jemand mal das ganze Log ansehen und mir sagen, ob da noch mehr ist? Wäre sehr freundlich!

Gruß, C.

Logfile of HijackThis v1.99.1
Scan saved at 21:18:50, on 20.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\soundman.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ClamWin\bin\ClamTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ClamWin] "D:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zwsxs.exe] C:\WINDOWS\System32\zwsxs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - h**p://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - h**p://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\Autodesk Architectural Desktop 3 Deu\InstFred.ocx
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - h**p://www.sis.com/download/SISTransfer.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://D:\Programme\Autodesk Architectural Desktop 3 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\Autodesk Architectural Desktop 3 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\Autodesk Architectural Desktop 3 Deu\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{55CDD14E-81E3-4507-BA8D-613E1514992D}: NameServer = 85.255.116.163,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\..\{99BE49A4-5CF7-4F81-B8DE-F5252CF4C164}: NameServer = 85.255.116.163,85.255.112.102
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.163 85.255.112.102
O17 - HKLM\System\CS1\Services\Tcpip\..\{55CDD14E-81E3-4507-BA8D-613E1514992D}: NameServer = 85.255.116.163,85.255.112.102
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.163 85.255.112.102
O17 - HKLM\System\CS2\Services\Tcpip\..\{55CDD14E-81E3-4507-BA8D-613E1514992D}: NameServer = 85.255.116.163,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.163 85.255.112.102
O21 - SSODL: gaonic - {f31aee4a-1530-4fef-8537-79c6973bff9a} - C:\WINDOWS\System32\tazth.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

cosinus · 20.10.2006, 20:42

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Du gehst mit einem so jungfräulichen System ins Internet und wunderst dich über Schädlingsbefall?

Du solltest die Kiste umgehend flachmachen, neu aufsetzen und VOR der ersten Internetverbindung absichern. Außerdem ist noch mehr Mist auf deinem Rechner:

Zitat:

O4 - HKLM\..\Run: [zwsxs.exe] C:\WINDOWS\System32\zwsxs.exe

Die Vorgehensweise/Checkliste beim Neuaufsetzen findest Du in meiner Signatur.

Christian Weinzierl · 20.10.2006, 20:54

Äh, danke cosinus...

was muss ich beachten, wenn ich mir Kopien meiner Daten ziehe?
Kann z.B. ein Stick dabei auch befallen werden?

Gruß, C.

irrlicht · 20.10.2006, 20:58

Hallo,
dem Stick wird nix passieren ,wenn du dich daran hältst keine ausführbaren Dateien mitzunehmen.Das heißt im Umkehrschluß,nur Bilder,MP3-Files und Word-Dateien sind unbedenklich,sollten aber vor dem Überspielen auf jeden Fall mit einem aktuellen geupdateten Virenscanner überprüft werden.
Irrlicht

cosinus · 20.10.2006, 20:59

Sichere keine ausführbaren Dateien (*.exe, *.com), nur Dokumente, die keinen ausführbaren Code enthalten. Bilder, Worddokumente, Musik und Videos kannst du imho problemlos sichern und auf das neue System übertragen.

Christian Weinzierl · 20.10.2006, 21:03

Danke, ihr habt mir sehr geholfen

Dann werd ich mal ans Werk gehen...
Tschüs, C.

20.10.2006, 20:59	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	zlob, myzor und konsorten... Sichere keine ausführbaren Dateien (.exe, .com), nur Dokumente, die keinen ausführbaren Code enthalten. Bilder, Worddokumente, Musik und Videos kannst du imho problemlos sichern und auf das neue System übertragen. __________________ Logfiles bitte immer in CODE-Tags posten

zlob, myzor und konsorten...

Log-Analyse und Auswertung: zlob, myzor und konsorten...