Trojaner-Board - Hilfe, habe Trojan Downloader Win32 Zlob.mr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe, habe Trojan Downloader Win32 Zlob.mr (https://www.trojaner-board.de/29104-hilfe-habe-trojan-downloader-win32-zlob-mr.html)

Hilfe, habe Trojan Downloader Win32 Zlob.mr

Hallo, habe mir leider einen Trojaner namens Trojan Downloader Win 32 Zlob.mr eingefangen. G Date entdeckt ihn bei jedem Neustart aufs neue, ich lösche ihn - und beim nächsten Mal ist er wieder da. Mein Internet Explorer zeigt eine fremde Startseite.

Spybot findet nichts, bei hijackthis habe ich den unter O2 stehenden Vorgang als gefährlich ausgemacht (hoffentlich stimmts), aber wenn ich ihn zu fixen versuche, taucht er beim nächsten Mal wieder auf. Ich poste mal meine hijackthis.log. Kann mir jemand helfen? Danke schon im voraus

Logfile of HijackThis v1.99.1
Scan saved at 23:48:05, on 08.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\AVK\AVKService.exe
C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\AVK\AVKWCtl.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\EzButton System V3.0\EzButton.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\Firewall\kavpf.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\Webfilter\Webfilter.exe
C:\Programme\Vodafone\VodafoneMobileConnectCard\VodafoneMobileConnectCard.exe
C:\PROGRA~1\GDATAA~1\WEBFIL~1\ADSCLE~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Bene\Desktop\prüfung.com

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpE383.tmp
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\GDATAA~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EzButton System] C:\Programme\EzButton System V3.0\EzButton.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [pbmini] "C:\Programme\pcast\PodcastbarMini\PodcastBarMiniStater.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Vodafone Mobile Connect Card.lnk = ?
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Webfilter.lnk = ?
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\GDATAA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\GDATAA~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - hxxp://207.188.7.150/10469377076b7c4...dxIE601_de.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\AVK\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\AVK\AVKWCtl.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Hallo,
lösche mal deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten vier Wochen abkopieren!

Edit
Editiere deine Links, so dass man sie nicht anklicken kann (mache aus http hxxp o.ä.)

Grüße Wildone

Danke schon mal für die Tipps. Das wäre der Verlauf der letzten vier Wochen. Das vom 4.5 dcomcfg.exe hatte hijackthis schon als schlecht ausgemacht. Aber wie bekomme ich so etwas von meinem Computer?

P.S Pardon für die Links, hatte sie übersehen:

09.05.2006 10:19 6.144 simpole.tlb
09.05.2006 10:19 31.232 hpC652.tmp
09.05.2006 10:02 188 stdole3.tlb
08.05.2006 23:02 1.158 wpa.dbl
04.05.2006 10:22 48.640 dcomcfg.exe
04.05.2006 10:22 4.286 ot.ico
04.05.2006 10:17 37.389 regperf.exe
05.04.2006 16:38 4.212 zllictbl.dat
03.04.2006 10:10 573.440 pcast.dll
28.03.2006 11:06 376.350 perfh009.dat
28.03.2006 11:06 52.148 perfc009.dat
28.03.2006 11:06 386.912 perfh007.dat
28.03.2006 11:06 62.974 perfc007.dat
28.03.2006 11:06 886.752 PerfStringBackup.INI
23.03.2006 12:10 491.520 pCastCtl.dll

Hallo,
alles zu seiner Zeit, die Datfind.bat erstellt vier Logfiles, also fehlen noch drei. Du mußt im cmd Feld mit beliebiger Taste fortfahren.
Außerdem kann ich immernoch deine Links im HijackThis Logfile anklicken, ändere das!

Grüße Wildone

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Wieso ist das SP2 nicht eingespielt? Es ist grob fahrlässig sich so lange ungepatcht im Internet zu bewegen....

Hallo,
@cosinus
Ich wäre schon noch darauf zu sprechen gekommen. Ich mache das absichtlich immer zum Schluß, da sind die User bedeutend empfänglicher für das Thema.

Grüße Wildone

An Wildone: Hier kommt die Nachlieferung. Du merkst, ich bin in diesem Thema nicht sehr versiert. Ich hoffe die Links sind jetzt bearbeitet.

An Cosinus: SP2 hat an meinem Medion-Computer nicht funktioniert, das AOL funktionierte nicht (An der Medion-Hotline sagten sie, sie hätten Probleme mit SP2 und ich musste meinen Computer auf den vorhergehenden Zustand wieder herstellen). Ich gehe hauptsächlich über AOL ins Internet, und benutze den Explorer nur gelegentlich über eine Vodafone-Funkkarte mobil zu sein. Versuche schon seit längerem Firefox bei mir zum Laufen zu bringen. Es funktioniert aus einem unerfindlichen Grund nicht.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2CFA-B7F8

Verzeichnis von C:\DOKUME~1\Bene\LOKALE~1\Temp

09.05.2006 10:36 4 PMShared
09.05.2006 10:19 0 BCG131.tmp
2 Datei(en) 4 Bytes
0 Verzeichnis(se), 13.460.467.712 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2CFA-B7F8

Verzeichnis von C:\WINDOWS

09.05.2006 10:35 674 win.ini
09.05.2006 10:18 1.993.824 WindowsUpdate.log
09.05.2006 09:34 0 0.log
09.05.2006 09:33 3.834 ModemLog_Agere Systems AC'97 Modem.txt
09.05.2006 09:33 159 wiadebug.log
09.05.2006 09:33 50 wiaservc.log
09.05.2006 09:33 2.048 bootstat.dat
09.05.2006 00:46 32.540 SchedLgU.Txt
09.05.2006 00:37 121.800 ntbtlog.txt
04.05.2006 11:47 99.965 UninstallFirefox.exe
04.05.2006 11:47 4.004 mozver.dat
07.04.2006 16:48 335 mozregistry.dat
01.04.2006 11:34 11.154 ModemLog_WCM Modem [GSM].txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2CFA-B7F8

Verzeichnis von C:\

09.05.2006 10:42 0 sys.txt
09.05.2006 10:41 4.198 system.txt
09.05.2006 10:40 327 systemtemp.txt
09.05.2006 10:39 99.007 system32.txt
09.05.2006 09:33 501.731.328 hiberfil.sys
09.05.2006 09:33 754.974.720 pagefile.sys
17.04.2006 19:52 186 Trece.txt

Hallo,
besorge dir killbox und lösche folgende Dateien on reboot:

C:\Windows\System32\simpole.tlb
C:\Windows\System32\hpC652.tmp
C:\Windows\System32\stdole3.tlb
C:\Windows\System32\dcomcfg.exe
C:\Windows\System32\ot.ico
C:\Windows\System32\regperf.exe

Dann fixt(Haken davor und auf "fix checked") du folgende Einträge mit HijackThis:
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpE383.tmp

Berichte danach ob der Spuk vorbei ist, dann kommen wir nochmal auf SP2 zu sprechen.

Grüße Wildone

Es ist vorbei. Sensationell, vielen herzlichen Dank dafür. Du hast ermöglicht, dass ich heute ohne Stress von unterwegs arbeiten kann.

PS. Wir können jetzt auf SP2 zu sprechen kommen...

Hallo,
also, wann hast du da bei Medion nachgefragt? Hast du die neuste Version der AOL Software?
Für ein sicheres System ist SP2 unerläßlich, ohne ist es nur eine Zeitfrage wann du dich wieder infizierst. Falls die Medionhotline auf ihren Standpunkt beharrt tritt ihnen mal mehr auf die Füße, es ist ihre verdammt Pflicht ihre Rechner und Treiber so zu konfigurieren das SP2 läuft.

Warum kannst du Firefox nicht installieren? Welche Fehlermeldungen kommen? Ich bin jetzt kein großer FF Spezielist, ev. kann man dir auch hier weiter helfen, gerade bei deinem veralteten System wäre ein halbwegs sicherer Browser schonmal ein Fortschritt.
Falls das alles nichtr funktioniert wäre Opera die nächste Alternative.

Außer über Browserlücken könntest du dir diese Malware auch über unseriöse Dateien (z.B. von Crackseiten oder P2P) gefangen haben, diese haben nichts auf einem sicheren system zu suchen.

Hier auch noch ein Link zu allgemeinen Sicherheitsempfehlungen.

Grüße Wildone