Poblem mit folgendem Trojaner "Trojan.Win32.VB.zw"
 

Hallo zusammen,

Mein AV-Scanner (Kaspersky) findet in regelmäßigen Abständen folgenden Trojaner "Trojan.Win32.VB.zw" in Dateien C:\windows\mousepad7.exe .

Hab schon mit allen möglichen Programmen versucht den Plagegeist los zu werden. Google bringt zwar ein paar Treffer für den Typ, aber eigentlich nur Einträge in Trojaner/Virenlisten div. AV-Proggies

Hier mein Log file (vielleicht könnt ihr mir weiterhelfen):
Logfile of HijackThis v1.99.1
Scan saved at 06:59:37, on 03.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.000\f-bot.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.485\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.179.22/
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129057977046
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Danke
Zytec

Servus!

Hol Dir mal clearprog 1.4.1 final und bring mit der Option 'clear all' mal den Müll (temp-Dateien) vor die Tür. Anschließend lass mal die datfind.bat laufen. Poste die 4 erstellten Logfiles (die Dateien der letzten 2-3 Monate genügen)

stupormundi

hi stupormundi,

hier die logfiles

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40ED-C864

Verzeichnis von C:\WINDOWS\system32

03.04.2006 07:53 43.573 nvapps.xml
03.04.2006 07:52 239.944 FNTCACHE.DAT
02.04.2006 13:13 237.017 h42olef31h2.dll
31.03.2006 20:43 0 bin29a.log
31.03.2006 19:48 2.278 wpa.dbl
26.03.2006 19:59 383.254 perfh009.dat
26.03.2006 19:59 53.608 perfc009.dat
26.03.2006 19:59 394.500 perfh007.dat
26.03.2006 19:59 64.598 perfc007.dat
26.03.2006 19:59 906.552 PerfStringBackup.INI
16.03.2006 01:29 659.744 wodHttp.dll
09.03.2006 16:21 4.799.320 MRT.exe
05.03.2006 16:13 36.100 SpoonUninstall-dBpowerAMP Music Converter.dat
05.03.2006 16:13 131.072 SpoonUninstall.exe
05.03.2006 16:13 33.846 SpoonUninstall-dBpowerAMP Music Converter.bmp
20.02.2006 23:49 176.167 rmoc3260.dll
20.02.2006 23:49 5.632 pndx5032.dll
20.02.2006 23:49 6.656 pndx5016.dll
20.02.2006 23:49 278.528 pncrt.dll
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll
03.01.2006 19:49 7.006 jupdate-1.5.0_06-b05.log
29.12.2005 04:54 280.064 gdi32.dll
10.12.2005 05:16 180.224 nvuenet.exe
10.12.2005 05:16 180.224 nvuaudio.exe
10.12.2005 05:16 180.224 nvugart.exe
10.12.2005 05:16 180.224 nvuide.exe
10.12.2005 05:16 180.224 nvumctl.exe
10.12.2005 05:16 180.224 NVUNINST.EXE
10.12.2005 05:16 180.224 nvusmb.exe
10.12.2005 04:06 425.984 keystone.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40ED-C864

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

03.04.2006 15:45 512 ~DF3AD7.tmp
03.04.2006 15:44 96 WcesView.log
03.04.2006 15:44 720 Setup Log File.Log
03.04.2006 08:03 204 jusched.log
03.04.2006 07:53 468 WCESCOMM.LOG
03.04.2006 07:53 402 WCESLog.log
6 Datei(en) 2.402 Bytes
0 Verzeichnis(se), 5.116.153.856 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40ED-C864

Verzeichnis von C:\WINDOWS

03.04.2006 07:53 0 0.log
03.04.2006 07:53 894.203 WindowsUpdate.log
03.04.2006 07:53 51 iTouch.ini
03.04.2006 07:52 2.048 bootstat.dat
03.04.2006 07:31 1.312.218 F-Bot.log
03.04.2006 05:44 78 WINDOWS.rar
02.04.2006 18:55 642.562 setupapi.log
02.04.2006 18:33 568 nsw.log
02.04.2006 14:21 205.389 setupact.log
02.04.2006 13:14 0 keyboard71.dat
01.04.2006 03:10 923 spupdsvc.log
01.04.2006 03:02 20.735 MedCtrOC.log
01.04.2006 03:02 16.762 ehOCGen.log
01.04.2006 03:02 344.637 iis6.log
01.04.2006 03:02 105.801 comsetup.log
01.04.2006 03:02 62.569 ntdtcsetup.log
01.04.2006 03:02 15.587 tabletoc.log
01.04.2006 03:02 15.889 ocmsn.log
01.04.2006 03:02 137.197 tsoc.log
01.04.2006 03:02 1.355 imsins.log
01.04.2006 03:02 145.816 ocgen.log
01.04.2006 03:02 36.939 plusoc.log
01.04.2006 03:02 51.212 netfxocm.log
01.04.2006 03:02 51.672 KB899587.log
01.04.2006 03:02 14.415 msgsocm.log
01.04.2006 03:02 289.807 FaxSetup.log
01.04.2006 03:02 94.202 msmqinst.log
01.04.2006 03:02 17.160 updspapi.log
01.04.2006 03:02 50.829 KB911927.log
01.04.2006 03:02 50.332 KB901017.log
01.04.2006 03:02 50.653 KB899591.log
01.04.2006 03:02 50.838 KB896424.log
01.04.2006 03:02 50.833 KB893756.log
01.04.2006 03:02 49.024 KB896423.log
01.04.2006 03:02 44.325 KB910437.log
01.04.2006 03:02 53.084 KB905915.log
01.04.2006 03:02 52.066 KB902400.log
01.04.2006 03:01 36.959 KB911565.log
01.04.2006 03:01 44.569 wmsetup.log
01.04.2006 03:01 42.536 KB899589.log
01.04.2006 03:01 42.855 KB905414.log
01.04.2006 03:01 43.389 KB900725.log
01.04.2006 03:01 40.480 KB912919.log
01.04.2006 03:01 39.716 KB904706.log
01.04.2006 03:00 40.285 KB905749.log
01.04.2006 03:00 39.754 KB894391.log
01.04.2006 03:00 37.458 KB908519.log
01.04.2006 03:00 33.576 KB913446.log
01.04.2006 03:00 40.136 KB890859.log
31.03.2006 21:07 54.156 QTFont.qfn
31.03.2006 20:40 0 uniq
25.03.2006 14:52 6.060 KB909394.log
25.03.2006 14:50 5.206 KB894476.log
24.03.2006 18:23 116 NeroDigital.ini
20.03.2006 18:06 643 win.ini
27.02.2006 11:53 23.027 DirectX.log
19.02.2006 13:25 216 wiadebug.log
19.02.2006 10:44 50 wiaservc.log
02.02.2006 22:07 1.409 QTFont.for
13.01.2006 08:44 4.495 mozver.dat
08.12.2005 01:39 107.132 UninstallFirefox.exe
19.11.2005 00:32 0 OpPrintServer.INI
02.11.2005 06:16 619 wmsetup10.log
02.11.2005 06:15 316.640 WMSysPr9.prx
02.11.2005 06:09 37.027 atmoUn.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40ED-C864

Verzeichnis von C:\

03.04.2006 15:51 0 sys.txt
03.04.2006 15:50 7.912 system.txt
03.04.2006 15:49 549 systemtemp.txt
03.04.2006 15:47 100.814 system32.txt
03.04.2006 15:45 337.265.664 Outlook.pst
03.04.2006 07:52 536.399.872 hiberfil.sys
03.04.2006 07:52 805.306.368 pagefile.sys
28.03.2006 17:39 4.096 VSNAP.IDX
20.03.2006 22:41 1.275 voxFcoldrv.log
10.01.2006 21:19 0 itouch_config_crash_info.txt
11.10.2005 22:18 3.373 LGSInst.Log
11.10.2005 21:28 0 itouch_crash_info.txt
08.10.2005 13:22 0 CONFIG.SYS
08.10.2005 13:22 0 IO.SYS
08.10.2005 13:22 0 AUTOEXEC.BAT
08.10.2005 13:22 0 MSDOS.SYS
08.10.2005 13:15 211 boot.ini
11.11.2004 14:00 4.952 bootfont.bin
11.11.2004 14:00 47.564 NTDETECT.COM
11.11.2004 14:00 251.184 ntldr
20 Datei(en) 1.679.393.834 Bytes
0 Verzeichnis(se), 5.116.133.376 Bytes frei


Ich hoffe die log-Files sind so io.

clearprog hab ich schon laufen lassen.
regseeker auch.

Seit diesen Aktionen (heute vormittags gabs auch keine virenmeldung mehr)

Danke,
Zytec