Hallo,

heute hat mein Antivir bei einem Suchlauf den Trojaner TR/Drop.Zlob.PU.1 gefunden, den es nicht entfernen kann. Mir ist zwar nicht ganz klar, wie ich mir diesen Trojaner eingefangen haben soll (keine Nutzung des InternetExplorers, surfen nur mit eingeschränkten Rechten etc.) - aber er scheint nun mal da zu sein.

Betroffen sind die Dateien:

C:\Programme\Miranda IM\Uninstall.exe
C:\System Volume Information\_restore{4B727B31-A168-4C89-81CB-01FB3D6ECD3F}\RP327\A0030717.exe
D:\download\miranda-im-v0.5-unicode.exe

Der Virus scheint erst heute in die Virendefinitionsdatei von AntiVir aufgenommen worden zu sein, im Netz finde ich über ihn nichts.

Mein HiJackThisLogFile sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 18:44:30, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\notepad.exe
c:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC_Escort.exe" -quietRunAs
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Verknüpfung mit MyPhoneExplorer.lnk = C:\Programme\MyPhoneExplorer\MyPhoneExplorer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Dictionary - h**p://files.db3nf.com/scripts/ie.htm
O8 - Extra context menu item: &Encyclopedia - h**p://files.db3nf.com/scripts/ie-e.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Notebook Hardware Control Service - pBUS-167 Software - h**p://www.pbus-167.com - C:\Programme\Notebook Hardware Control\nhcservice.exe

Ich habe die 04-Einträge mit der Startup Applications List geprüft, konnte aber nichts Verdächtiges finden. Das liegt vermutlich aber daran, dass ich mich nicht gut genug auskenne.

Kann mir jemand Tipps für das weitere Vorgehen geben? Muss ich Windows tatsächlich neu installieren?

Viele Grüße

Christofer.

Nachtrag: Ich habe mittlerweile die Quarantändedateien an virustotal.com geschicht - Ergebnis bei allen: "Found nothing" interessanterweise dort auch auf Antivir.

Sind Antivir solche Fehlfunktionen zuzutrauen?

Grüß dich also, versuche mal bitte dies.

Gehe in den AbgesichertenModus( Mit F8, beim Hochbooten)
Log dich bitte in das Adminkonto ein.

Dann nehme Search and Destroy und mach einen Fullscan, dann suche in der Regedit (Start/Ausführen, regedit eingeben) mit der Suchoption den
Prozessname: dfrgsrv.exe
Komplett müsste es unter wininet.dll = dfrgsrv.exe stehen. Diesen musst du löschen, da der folgende Registryschlüssel hinzugefügt wird um den Prozess nach einem Neustart des Systems erneut zu starten.

Dann bitte einen Neustart, wieder inden AB und nochmals Search and Destroyim Fullscan-Modus laufen lassen.

Und zum Ende bitte Normal einlogen, ca 10 Minuten waren und dann nochmal einen Fullscan machen, und darauf achten ob noch schädliche Prozesse aktiv sind.

Wenn ja, dann bitte hier nochmals Poasten.

Als Sofware könnte ich dir noch Prevx1 empfehlen, kann man eine ganze Weile kostenlos nutzen, und diese Software überwacht deine Taskleisten Systemprozesse.

MFG

Hallo & vielen Dank!

Also Spybot Search & Destroy findet nach Deine Anleitung außer Cookies im Firefox nichts mehr. AntiVir behauptet auch nach Update nach wie vor, bei den infizierten Dateien handele es sich um einen Tojaner...

Kann ich sie wieder aus der Quarantäne nehmen?

Gruß

Christofer.

Ok dann geh in den Abgesicherten Modus lösche alle Cookies und folge dieser Anleitung

http://www.computerhilfen.de/hilfen-17-129762-0.html

dann sollte er weg sein.

MFG

Mein Anti-Vir findet (erst) seit heute auch den Trojaner TR/Drop.Zlob.PU.1 !!!

...Und zwar in der Setup-Datei "miranda-im-v0.5.1-unicode.exe", die ich

- wie wahrscheinlich die meisten anderen auch - von der Sourceforge-Seite

heruntergeladen habe (über http.//www.miranda-im.org/download/ )...


Hab Miranda bis jetzt noch nicht installiert gehabt, aber die Setup-Datei schon seit fast einem Monat auf meiner Festplatte....

mein Anti-Vir hat aber erst heute zum ersten Mal gemekert

http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fZlob

folge dieser anleitung

und clean dann noch die infizierten dateien möglichst mit search and destroy adware usw