Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojanische Pferd TR/Drop.Zlob.PU.1

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.11.2006, 19:15   #1
deusdona
 
Trojanische Pferd TR/Drop.Zlob.PU.1 - Standard

Trojanische Pferd TR/Drop.Zlob.PU.1



Hallo,

heute hat mein Antivir bei einem Suchlauf den Trojaner TR/Drop.Zlob.PU.1 gefunden, den es nicht entfernen kann. Mir ist zwar nicht ganz klar, wie ich mir diesen Trojaner eingefangen haben soll (keine Nutzung des InternetExplorers, surfen nur mit eingeschränkten Rechten etc.) - aber er scheint nun mal da zu sein.

Betroffen sind die Dateien:

C:\Programme\Miranda IM\Uninstall.exe
C:\System Volume Information\_restore{4B727B31-A168-4C89-81CB-01FB3D6ECD3F}\RP327\A0030717.exe
D:\download\miranda-im-v0.5-unicode.exe

Der Virus scheint erst heute in die Virendefinitionsdatei von AntiVir aufgenommen worden zu sein, im Netz finde ich über ihn nichts.

Mein HiJackThisLogFile sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 18:44:30, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\notepad.exe
c:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC_Escort.exe" -quietRunAs
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Verknüpfung mit MyPhoneExplorer.lnk = C:\Programme\MyPhoneExplorer\MyPhoneExplorer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Dictionary - h**p://files.db3nf.com/scripts/ie.htm
O8 - Extra context menu item: &Encyclopedia - h**p://files.db3nf.com/scripts/ie-e.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Notebook Hardware Control Service - pBUS-167 Software - h**p://www.pbus-167.com - C:\Programme\Notebook Hardware Control\nhcservice.exe

Ich habe die 04-Einträge mit der Startup Applications List geprüft, konnte aber nichts Verdächtiges finden. Das liegt vermutlich aber daran, dass ich mich nicht gut genug auskenne.

Kann mir jemand Tipps für das weitere Vorgehen geben? Muss ich Windows tatsächlich neu installieren?

Viele Grüße

Christofer.

Alt 01.11.2006, 19:48   #2
deusdona
 
Trojanische Pferd TR/Drop.Zlob.PU.1 - Standard

Trojanische Pferd TR/Drop.Zlob.PU.1



Nachtrag: Ich habe mittlerweile die Quarantändedateien an virustotal.com geschicht - Ergebnis bei allen: "Found nothing" interessanterweise dort auch auf Antivir.

Sind Antivir solche Fehlfunktionen zuzutrauen?
__________________


Alt 02.11.2006, 02:14   #3
TRYTOHELPYOU
 
Trojanische Pferd TR/Drop.Zlob.PU.1 - Standard

Trojanische Pferd TR/Drop.Zlob.PU.1



Grüß dich also, versuche mal bitte dies.

Gehe in den AbgesichertenModus( Mit F8, beim Hochbooten)
Log dich bitte in das Adminkonto ein.

Dann nehme Search and Destroy und mach einen Fullscan, dann suche in der Regedit (Start/Ausführen, regedit eingeben) mit der Suchoption den
Prozessname: dfrgsrv.exe
Komplett müsste es unter wininet.dll = dfrgsrv.exe stehen. Diesen musst du löschen, da der folgende Registryschlüssel hinzugefügt wird um den Prozess nach einem Neustart des Systems erneut zu starten.

Dann bitte einen Neustart, wieder inden AB und nochmals Search and Destroyim Fullscan-Modus laufen lassen.

Und zum Ende bitte Normal einlogen, ca 10 Minuten waren und dann nochmal einen Fullscan machen, und darauf achten ob noch schädliche Prozesse aktiv sind.

Wenn ja, dann bitte hier nochmals Poasten.

Als Sofware könnte ich dir noch Prevx1 empfehlen, kann man eine ganze Weile kostenlos nutzen, und diese Software überwacht deine Taskleisten Systemprozesse.

MFG
__________________

Alt 02.11.2006, 08:30   #4
deusdona
 
Trojanische Pferd TR/Drop.Zlob.PU.1 - Standard

Trojanische Pferd TR/Drop.Zlob.PU.1



Hallo & vielen Dank!

Also Spybot Search & Destroy findet nach Deine Anleitung außer Cookies im Firefox nichts mehr. AntiVir behauptet auch nach Update nach wie vor, bei den infizierten Dateien handele es sich um einen Tojaner...

Kann ich sie wieder aus der Quarantäne nehmen?

Gruß

Christofer.

Alt 02.11.2006, 08:41   #5
TRYTOHELPYOU
 
Trojanische Pferd TR/Drop.Zlob.PU.1 - Standard

Trojanische Pferd TR/Drop.Zlob.PU.1



Ok dann geh in den Abgesicherten Modus lösche alle Cookies und folge dieser Anleitung

http://www.computerhilfen.de/hilfen-17-129762-0.html

dann sollte er weg sein.

MFG


Alt 02.11.2006, 14:30   #6
gregi
 
Trojanische Pferd TR/Drop.Zlob.PU.1 - Standard

Trojanische Pferd TR/Drop.Zlob.PU.1



Mein Anti-Vir findet (erst) seit heute auch den Trojaner TR/Drop.Zlob.PU.1 !!!

...Und zwar in der Setup-Datei "miranda-im-v0.5.1-unicode.exe", die ich

- wie wahrscheinlich die meisten anderen auch - von der Sourceforge-Seite

heruntergeladen habe (über http.//www.miranda-im.org/download/ )...


Hab Miranda bis jetzt noch nicht installiert gehabt, aber die Setup-Datei schon seit fast einem Monat auf meiner Festplatte....

mein Anti-Vir hat aber erst heute zum ersten Mal gemekert

Alt 02.11.2006, 14:38   #7
TRYTOHELPYOU
 
Trojanische Pferd TR/Drop.Zlob.PU.1 - Standard

Trojanische Pferd TR/Drop.Zlob.PU.1



http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fZlob

folge dieser anleitung

und clean dann noch die infizierten dateien möglichst mit search and destroy adware usw

Antwort

Themen zu Trojanische Pferd TR/Drop.Zlob.PU.1
adobe, antivir, application, avg, avira, bho, cyberlink, download, entfernen, explorers, firefox, helper, hijack, icqtoolbar, internet explorer, launch, microsoft, monitor, mozilla, mozilla firefox, mozilla thunderbird, neu, notebook, pdf, programme, software, suchlauf, surfen, system, trojaner, trojaner eingefangen, träge, urlsearchhook, virus, windows, windows xp




Ähnliche Themen: Trojanische Pferd TR/Drop.Zlob.PU.1


  1. Trojanische Pferd TR/Drop.Sirefef.but in Qurantäne gesetzt kann ich mein laptop wieder nutzen?
    Log-Analyse und Auswertung - 18.04.2012 (21)
  2. Trojanische Pferd
    Log-Analyse und Auswertung - 20.06.2010 (3)
  3. Trojanische Pferd TR/Zlob.54528
    Log-Analyse und Auswertung - 27.05.2009 (31)
  4. Trojaner eingefangen - Trojanische Pferd TR/Drop.Frauddr.E.2
    Plagegeister aller Art und deren Bekämpfung - 06.08.2008 (2)
  5. Trojanische Pferd TR/Drop.Mudrop.CY.503
    Log-Analyse und Auswertung - 27.07.2008 (5)
  6. Infiziert mit: Trojanisches Pferd: TR/Drop.Zlob.AEB - Noob
    Plagegeister aller Art und deren Bekämpfung - 11.08.2007 (3)
  7. Antivir-Fund: das Trojanische Pferd TR/Dldr.Zlob.AADO.5
    Log-Analyse und Auswertung - 25.07.2007 (2)
  8. Trojanische Pferd TR/Agent.anq.5 Trojanische Pferd TR/Crypt.FKM.Gen Trojanische Pfe
    Log-Analyse und Auswertung - 18.06.2007 (1)
  9. Trojanische Pferd TR/Dldr.Zlob.DQ
    Plagegeister aller Art und deren Bekämpfung - 01.02.2006 (6)
  10. Trojanische Pferd TR/Drop.Small.bke.2
    Plagegeister aller Art und deren Bekämpfung - 27.01.2006 (2)
  11. Problem: Trojanische Pferd TR/Dldr.Zlob.BZ.2 Keine Ahnung wie ich ihn los werde!
    Plagegeister aller Art und deren Bekämpfung - 24.01.2006 (27)
  12. Das Trojanische Pferd TR/Drop.Small.bke.2!
    Log-Analyse und Auswertung - 13.11.2005 (3)
  13. Trojanische Pferd TR/Drop.Agent.CP!
    Log-Analyse und Auswertung - 07.05.2005 (8)
  14. Trojanische Pferd TR/Drop.Small.TY.2
    Plagegeister aller Art und deren Bekämpfung - 07.05.2005 (2)
  15. Trojanische Pferd TR/Drop.Delf.DJ.3
    Plagegeister aller Art und deren Bekämpfung - 05.11.2004 (1)
  16. Trojanische Pferd TR/Drop.Delf.DJ.3
    Plagegeister aller Art und deren Bekämpfung - 05.11.2004 (2)
  17. Trojanische Pferd TR/Dia ??
    Plagegeister aller Art und deren Bekämpfung - 12.01.2004 (2)

Zum Thema Trojanische Pferd TR/Drop.Zlob.PU.1 - Hallo, heute hat mein Antivir bei einem Suchlauf den Trojaner TR/Drop.Zlob.PU.1 gefunden, den es nicht entfernen kann. Mir ist zwar nicht ganz klar, wie ich mir diesen Trojaner eingefangen haben - Trojanische Pferd TR/Drop.Zlob.PU.1...
Archiv
Du betrachtest: Trojanische Pferd TR/Drop.Zlob.PU.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.