Hallo liebes Forum

ICh habe mir mal den von Euch empfohlenen HJT heruntergeladen und installiert. Das ist die Log-Datei, die er ausgegeben hat. ICh erhalte von meinem Scanner immer wieder die Meldung, daß mein System mit folgenden Trojanern infiziert sein soll. TR/Dldr.Zlob.KP; TR/Zlob.IT.3 Außerdem bekomme ich immer wieder Security Spyware Alerts aus der Windows Taskleiste.
Ich habe auch schon unter google ein paar Hinweise gefunden, aber die sind nicht sehr ergiebig. Unter Spywarequake fand ich zwar einige Infos, die viele Schritte erfordern, aber ich verstehe die nicht. Kann mir jemand von Euch helfen? Vielen Dank

Beste Grüße

Semo

Wie genau soll ich vorgehen?

Logfile of HijackThis v1.99.1
Scan saved at 21:12:43, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
E:\Programme\BOINC\boincmgr.exe
E:\Programme\BOINC\boinc.exe
E:\Programme\Mozilla\firefox.exe
E:\Programme\AntiVir PersonalEdition Premium\avguard.exe
E:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
E:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
E:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
E:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Samsung\Samsung Media Studio\SNN_MainFrameWork.exe
E:\Programme\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_4.98_windows_intelx86.exe
C:\Dokumente und Einstellungen\Bella Durmiente\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Verknüpfung mit boincmgr.lnk = E:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{83A2037D-82B8-4B80-8041-60150CA2C29D}: NameServer = 212.60.192.100 212.60.192.101
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Zitat:

C:\WINDOWS\system32\nvctrl.exe

Ist der Trojaner Zlob. Nebenbei bemerkt ist da noch was am Rumwerkeln:

Zitat:

C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Security Toolbar\Security Toolbar.dll

Mach den Rechner flach und setz Windows neu auf. Der Zlob lädt tw. neuen und unbekannten Schadcode nach.
Eine manuelle Bereinung wäre rel. aufwändig und könnte das Risiko birgen, dass nicht alle Schädlinge entfernt werden!

Hallo,

IMHO ist es nicht zwingend notwendig bei einer "Smitfraud-Infektion", das System neuaufzusetzen.

Entfernungstools wie Smitrem oder Smitfraudfix wurden auf diesem Board mehrfach empfohlen und erfolgreich angewandt.

dartus

Ok. Aber kann man mit Sicherheit sagen, dass der alles entfernt hat? Den Smitfraud-Mist bestimmt, aber woher weiß man welchen Schädlichen Code das Teil heruntergeladen und ausgeführt hat?

Hallo,

dann lies mal Deinen "Link" genauer durch:

"Troj/Zlob-BC installiert die folgenden Dateien in dem Windows-Systemordner:
mscornet.exe (erkannt als Troj/Zlob-BC)
mssearch.exe (erkannt als Troj/Zlob-BC)
nvctrl.exe (erkannt als Troj/Zlob-BC)
ld????.tmp (erkannt als Troj/Zlob-BC)
ncompat.tlb (kann gelöscht werden)
msvol.tlb (kann gelöscht werden)
hp????.tmp (kann gelöscht werden)"

dartus

Die Variante selbst kann sich doch ständig ändern ...

Ich gebe cosinus recht.
Allerdings müsste dann jeder sofort bei Virenbefall Neuaufsetzen.
Und so wäre es auch richtig - egal wie abstrakt es klingt ...

Und das hier ist eben das "nächst-richtige" was man machen kann ...

Ich möchte ja nicht bestreiten, dass es gänzlich unmöglich ist, ein System zu bereinigen. Nur gewisse Dinge erschweren eben einiges. Oftmals ist eine Bereinigung, wenn ich mir einige Anleitungen anschaue, ungleich komplexer als eine Neuinstallation von Windows inkl. vorheriger Formatierung der Systempartition. Und wenn man verlässliche Aussagen haben will, sollte man auch von einem anderen System aus die Platte auf Schädlinge prüfen, das kompromittierte kann (und wird) einen auf sich ausgeführten Virenscanner anlügen.

Da muss ich mich dann aber fragen, warum die meisten User ihren Schwerpunkt nur auf ich sag mal "Verteidigung" legen, also auf Virenscanner und evtl. PFW vertrauen, aber wenn das Kind in den Brunnen gefallen ist, kein Backup dann mehr zur Hand hat. Denn bei einem vernünftigen Backupkonzept ist ein Neuaufsetzen kein Thema. Daher ist imho das Geld in Backupsoftware wie von Acronis besser angelegt als in jede "Security Suite".