Hallo. Ich hoffe ihr könnt mir helfen den Trojaner zu beseitigen und dass hoffentlich ohne Formatierung.
Mein AntiVirus Pogramm (Norton) hat in drei Dateien den Trojan.Zlob gefunden
In: C:\Windows\system32\hp71E4.tmp
C:\Windows\system32\hp567C.tmp
C:\Windows\system32\ld569B.tmp
Eine Isolierung und Löschung der Dateien ist fehlgeschlagen.
Vll.könnt ihr mir weiter helfen

Hier ist eine HJT-Log. Ich konnte irgenwie nicht in den sicheren Modus wechseln beim Hochfahren mit F8. Gibt es noch einen andern Weg?

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 16:29:01, on 09.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\videos\qttask.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\Cfgwiz.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Neuer Ordner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp567C.tmp
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [System] C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\videos\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49732672-D784-4CA1-9F44-4D890AF47D33}: NameServer = 139.18.25.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{49732672-D784-4CA1-9F44-4D890AF47D33}: NameServer = 139.18.25.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{49732672-D784-4CA1-9F44-4D890AF47D33}: NameServer = 139.18.25.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Ich hoffe ihr könnt mir helfen. Schonmal Danke im Vorraus.

Hallo Tin,
erstmal schöne Grüße an die Uni in Leipzig.
Dann :laß folgende Dateien mal bei Jotti scannen und poste das Ergebnis:
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe
Letztere halte ich für hochgradig verdächtig.
Link zu Jotti:
http://virusscan.jotti.org/de/
Irrlicht

hallo. also dass sind die suchergebnisse.

Zitat:

Datei: nvctrl.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/StartPage.ADH gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Zitat:

Datei: mssearchnet.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 probably a variant of Win32/TrojanDownloader.Zlob.AP gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Zitat:

Datei: svchost.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

in dem verzeichnis ist auch noch eine verknüpfung namens: "reachthesky" und eine "lizenz.txt" in der steht:"License text here"
und wenn man sich die eigenschaften anschaut kommt:"C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe" /uninstall (bei reachthesky)

Hallo Tin,
Diese hier hast du nicht scannen lassen ?
C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe
Nicht gefunden ?Exe-Dateien sind immer ausführbare Programme,welchen Inhalts auch immer.Die svchost.exe gehört eigentlich ins System 32,das sie dort ist wie bei dir ist merkwürdig.
Aber wenn du einen EScan nach dieser Anleitung machst ,wird sie sowieso "Farbe bekennen" müssen.
http://www.trojaner-board.de/showthread.php?t=17492
Halte dich genau an die Anleitung,sonst funktioniert das nicht richtig.
Irrlicht

Hi, ich misch mich mal kurz ein:
tin sollte mal das hier abarbeiten und sich dann wieder melden.
cacatoa

Sevus Cacatoa,
woran hast du Spyaxe erkannt ?
Ich will das auch erkennen können,menno......
Irrlicht

hallo
erstmal danke, dass ihr mir helft.
werd mich heut abend gleich ran setzen und eure schritte befolgen leider hab ich gerade keine zeit(immer dieses blöde privatleben^^).

zur frage

Zitat:

Hallo Tin,
Diese hier hast du nicht scannen lassen ?
C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe
Nicht gefunden ?

hab ich gefunden und gescannt aber es wurde nix gefunden.
den e-scan führ ich dann heut abend duch. (abend heisst bei mir so ab 18uhr )

Mfg Tin

Hallo Tin,
Cacatoas Tip würde ich nicht unbeachtet lassen.Auch wenn ich nicht blicke warum....."Kompetenzler" haben`s aber drauf !
Irrlicht

Hallo,
@irrlicht
Die Dateien
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
sind klare Zeichen für Spyaxe, außerdem ist Trojan.Zlob nur eine andere Bezeichnung für Smitfraudfamilie.

Der C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe würde ich auch weiterhin Aufmerksamkeit zukommen lassen, die ist mit Sicherheit nicht koscher.
Vielleicht mal bei www.malwareupload.com analysieren lassen.


Grüße Wildone

Zu der svchost könnte das hier passen.
@ wildone:
Ich habe irrlicht schon eine PN zukommen lassen
cacatoa