Hallo

bekommen bei einem Viruscheck mit Kaspersky immer wieder die NAchricht,d ass ein Trojan Downloader auf meinem Recher ist. Das Ding soll Win32.Zlob.sd heißen.
Ich muss zwar sagen, dass mir nichts aufgeallen wäre, dass mein Rechner anders läuft als sonst, aber besser wäre natürlich wenn ich das Teil weg hätte
Habe mal HiJack This drüberlaufen lassen...hier der Log...
für Tips bin ich mehr als dankbar, da ich ja nur Bahnhof verstehe.

P.S. Habe die Suche benutzt, da aber nur Fälle gefunden, bei denen der Rechner abstürzt, oder irgendwelche Proggis nicht funzen, was bei mir ja nicht der Fall ist.

Logfile of HijackThis v1.99.1
Scan saved at 12:52:50, on 25.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\programme\steam\steam.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\xxx\Eigene Dateien\poker\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\xxx\Eigene Dateien\poker\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe



danke erstmal
Simon

Moin

hättest du dabei geschrieben, wo (Pfad/Dateiname) der Kasper den Fund macht,
könnte dir weitergeholfen werden .

MFG

Ach so...tja...also laut Kaspersky befindet sich das Teil in dieser Datei

C:\WINDOWS\system32\regperf.exe

Hallo und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Gruß
Sunny

Also wenn ich bei eScan aktualisieren will bekomme ich immer die Nachricht "Download konnte nicht abgeschlossen werden".

Zitat:

Zitat von MellonCollie

Also wenn ich bei eScan aktualisieren will bekomme ich immer die Nachricht "Download konnte nicht abgeschlossen werden".

Merkwürdig, kann sein das der Update-Server gerade überlastet ist.

Werds in ner halben Stunde nochmal probieren

Hab jetzt grad escan laufen lassen...habe allerdings Probleme damit die zu postende Datei zu finden.

Wenn ich, ins Textfeld, das nach Start->Ausführen->cmd kommt "notepad %systemdrive%\bases_x\escan_neu.txt" eintippe bekomme ich immer die Nachricht: Die Datei konnte nicht gefunden werden. Neue Datei erstellen? Wenn ich eine neue Datei erstelle ist diese dann natürlich leer...
Was mach ich denn da bitte falsch???


Hier aber inzwischen das Ergebnis von ComboFix:

"xxx" - 2007-05-28 13:01:32 Service Pack 2
ComboFix 07-05.27.V - Running from: "C:\Dokumente und Einstellungen\xxx\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\taskmgr.com"
"C:\WINDOWS\regedit.com"
"C:\Programme\media-codec"


((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-28 ))))))))))))))))))))))))))))))))))


2007-05-28 12:39 <DIR> d-------- C:\bases_x
2007-05-25 15:44 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-05-25 15:44 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-05-25 15:44 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-05-25 15:44 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-05-25 15:44 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-05-25 15:44 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-05-25 14:44 153,600 --a------ C:\WINDOWS\R.COM
2007-05-25 14:44 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-05-13 16:06 202,240 --a------ C:\WINDOWS\system32\Homepage.scr
2007-05-13 16:06 <DIR> d-------- C:\WINDOWS\system32\Homepage dir
2007-05-13 16:03 202,240 --a------ C:\WINDOWS\system32\Little Children.scr
2007-05-13 16:03 <DIR> d-------- C:\WINDOWS\system32\Little Children dir
2007-05-13 15:52 5,835,075 --a------ C:\WINDOWS\THE fOUNTAIN_v3.SCR
2007-05-13 15:51 <DIR> d-------- C:\DOKUME~1\xxx\ANWEND~1\iScreensaver
2007-05-06 20:06 6,132,256 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-05-06 20:06 150,048 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-05-06 20:06 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-05-06 20:06 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-28 10:52:13 -------- d-----w C:\DOKUME~1\xxx\ANWEND~1\Skype
2007-05-28 10:41:26 -------- d-----w C:\Programme\Steam
2007-05-27 18:33:24 60,941 ----a-w C:\WINDOWS\system32\regperf.exe
2007-05-02 04:52:53 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-28 17:27:15 5,060 ----a-w C:\WINDOWS\mozver.dat
2007-04-28 17:27:14 -------- d-----w C:\Programme\DivX
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-13 19:30:25 -------- d-----w C:\Programme\Ubisoft
2007-03-30 16:11:55 -------- d-----w C:\Programme\LucasArts
2007-03-25 06:25:31 76,014 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-25 06:25:31 418,970 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-18 18:55:58 81,920 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-03-18 18:55:58 221,184 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2007-03-03 18:12:40 21,504 ----a-w C:\WINDOWS\jestertb.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 01:56]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2003-08-20 05:56 C:\WINDOWS\system32\VTTimer.exe]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2005-07-06 04:27]
"HPHUPD05"="C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [2005-07-06 04:27]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 09:38]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 16:41]
"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2005-07-06 04:27]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2004-06-10 14:48]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" []
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-09-12 01:58]
"SoundMan"="SOUNDMAN.EXE" []
"kav"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"@"="" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"Power2GoExpress"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2006-01-25 06:23]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-05-19 18:11]
"Spyware Doctor"="C:\Programme\Spyware Doctor\swdoctor.exe" []
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" []
"Steam"="c:\programme\steam\steam.exe" [2007-01-09 08:48]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

*Newly Created Service* -PROCEXP90


~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20060615-170957-593
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)

backup-20060615-170957-135
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

backup-20060615-170957-356
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

backup-20060615-170942-697
O4 - Global Startup: auto-bit.lnk = C:\SYSPREP\bit\bit.exe
Contents of the 'Scheduled Tasks' folder
2007-05-14 16:05:03 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-05-28 11:00:00 C:\WINDOWS\tasks\HP Usg Daily.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-28 13:06:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-28 13:07:02
C:\ComboFix-quarantined-files.txt ... 2007-05-28 13:06

--- E O F ---

Du musst statt %systemdrive% in deinem Fall

Zitat:

C:

eingebeben

Upps...wie peinlich Naja...wiewo logisch wenns auch kompliziert geht

Also habe jetzt das ganze mit C: probiert...dann erscheint ein neues Fenster, das da heißt escan_neu.txt aber drinnen steht trotzdem nichts...