Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Zlob zugeschlagen (https://www.trojaner-board.de/25605-trojan-zlob-zugeschlagen.html)

Tin 09.01.2006 17:27
Trojan.Zlob zugeschlagen
 
Hallo. Ich hoffe ihr könnt mir helfen den Trojaner zu beseitigen und dass hoffentlich ohne Formatierung.
Mein AntiVirus Pogramm (Norton) hat in drei Dateien den Trojan.Zlob gefunden
In: C:\Windows\system32\hp71E4.tmp
C:\Windows\system32\hp567C.tmp
C:\Windows\system32\ld569B.tmp
Eine Isolierung und Löschung der Dateien ist fehlgeschlagen.
Vll.könnt ihr mir weiter helfen

Hier ist eine HJT-Log. Ich konnte irgenwie nicht in den sicheren Modus wechseln beim Hochfahren mit F8. Gibt es noch einen andern Weg?

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 16:29:01, on 09.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\videos\qttask.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\Cfgwiz.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Neuer Ordner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp567C.tmp
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [System] C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\videos\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49732672-D784-4CA1-9F44-4D890AF47D33}: NameServer = 139.18.25.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{49732672-D784-4CA1-9F44-4D890AF47D33}: NameServer = 139.18.25.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{49732672-D784-4CA1-9F44-4D890AF47D33}: NameServer = 139.18.25.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Ich hoffe ihr könnt mir helfen. Schonmal Danke im Vorraus.

irrlicht 09.01.2006 20:00
Hallo Tin,
erstmal schöne Grüße an die Uni in Leipzig.
Dann :laß folgende Dateien mal bei Jotti scannen und poste das Ergebnis:
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe
Letztere halte ich für hochgradig verdächtig.
Link zu Jotti:
http://virusscan.jotti.org/de/
Irrlicht

Tin 09.01.2006 21:02
hallo. also dass sind die suchergebnisse.

Zitat:
Datei: nvctrl.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/StartPage.ADH gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Zitat:
Datei: mssearchnet.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 probably a variant of Win32/TrojanDownloader.Zlob.AP gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden
Zitat:
Datei: svchost.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden
in dem verzeichnis ist auch noch eine verknüpfung namens: "reachthesky" und eine "lizenz.txt" in der steht:"License text here"
und wenn man sich die eigenschaften anschaut kommt:"C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe" /uninstall (bei reachthesky)

irrlicht 10.01.2006 14:44
Hallo Tin,
Diese hier hast du nicht scannen lassen ?
C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe
Nicht gefunden ?Exe-Dateien sind immer ausführbare Programme,welchen Inhalts auch immer.Die svchost.exe gehört eigentlich ins System 32,das sie dort ist wie bei dir ist merkwürdig.
Aber wenn du einen EScan nach dieser Anleitung machst ,wird sie sowieso "Farbe bekennen" müssen.
http://www.trojaner-board.de/showthread.php?t=17492
Halte dich genau an die Anleitung,sonst funktioniert das nicht richtig.
Irrlicht

cacatoa 10.01.2006 14:48
Hi, ich misch mich mal kurz ein:
tin sollte mal das hier abarbeiten und sich dann wieder melden.
cacatoa

irrlicht 10.01.2006 14:55
Sevus Cacatoa,
woran hast du Spyaxe erkannt ?
Ich will das auch erkennen können,menno......
Irrlicht

Tin 10.01.2006 15:26
hallo
erstmal danke, dass ihr mir helft.
werd mich heut abend gleich ran setzen und eure schritte befolgen leider hab ich gerade keine zeit(immer dieses blöde privatleben^^).

zur frage
Zitat:
Hallo Tin,
Diese hier hast du nicht scannen lassen ?
C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe
Nicht gefunden ?
hab ich gefunden und gescannt aber es wurde nix gefunden.
den e-scan führ ich dann heut abend duch. (abend heisst bei mir so ab 18uhr :))

Mfg Tin

irrlicht 10.01.2006 17:31
Hallo Tin,
Cacatoas Tip würde ich nicht unbeachtet lassen.Auch wenn ich nicht blicke warum....."Kompetenzler" haben`s aber drauf !
Irrlicht

Wildone 10.01.2006 17:38
Hallo,
@irrlicht
Die Dateien
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
sind klare Zeichen für Spyaxe, außerdem ist Trojan.Zlob nur eine andere Bezeichnung für Smitfraudfamilie.

Der C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe würde ich auch weiterhin Aufmerksamkeit zukommen lassen, die ist mit Sicherheit nicht koscher.
Vielleicht mal bei www.malwareupload.com analysieren lassen.


Grüße Wildone

cacatoa 10.01.2006 18:07
Zu der svchost könnte das hier passen.
@ wildone:
Ich habe irrlicht schon eine PN zukommen lassen ;)
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19