Trojanermeldung ismini.exe und winpdc32.dll
 

Erst einmal Hallo zusammen,

ich habe leider einige probleme mit Trojanern. Es werden immer Warnmeldungen speziell bezüglich der winpdc32.dll und manchmal auch der ismini.exe (beide im System32-Verzeichniss) angezeigt. Ein Fix mit HJT bringt nichts.
Ich habe Win-XP SP2, Updates sollten alle drauf sein, Virenscanner Antivir, Zonealarm, AVG anti Spyware,
Browser Opera 9.02, IE wird nur für MS-Downloads benutzt.
Unten noch die Scans der beiden Dateien.

Hier HJT-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 10:18:11, on 21.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Programme\ScanSoft\PaperPort\PPScheduler.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SpamPal\spampal.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Mustermann\Desktop\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Programme\Copernic Desktop Search\CopernicDesktopSearchIntegration974.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPScheduler] "C:\Programme\ScanSoft\PaperPort\PPScheduler.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead Quick-Drop] "C:\Programme\Ulead Systems\Ulead FilmBrennerei 4.0 Deluxe\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: WISO Bewerbung 2007 Reminder.lnk = C:\Programme\WISO\Bewerbung 2007\KCReminder.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {50FC692B-A42C-444C-A5ED-CE38542D7A28} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {50FC692B-A42C-444C-A5ED-CE38542D7A28} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163154342609
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O20 - Winlogon Notify: winpdc32 - C:\WINDOWS\SYSTEM32\winpdc32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVSync Manager (AvSynMgr) - AVM GmbH - (no file)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WVDY - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Mustermann\LOKALE~1\Temp\WVDY.exe
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Complete scanning result of "winpdc32.dll", received in VirusTotal at 11.21.2006, 09:46:43 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.39 11.21.2006 TR/PCK.Klone.G.37
Authentium 4.93.8 11.20.2006 no virus found
Avast 4.7.892.0 11.20.2006 Win32:Klone-N
AVG 386 11.20.2006 Generic2.FE
BitDefender 7.2 11.21.2006 Trojan.Klone.H
CAT-QuickHeal 8.00 11.20.2006 Trojan.Klone.g
ClamAV devel-20060426 11.20.2006 Trojan.Klone-26
DrWeb 4.33 11.21.2006 Trojan.Mezzia
eSafe 7.0.14.0 11.20.2006 Win32.Klone.g
eTrust-InoculateIT 23.73.62 11.21.2006 no virus found
eTrust-Vet 30.3.3205 11.21.2006 Win32/Malum.KMR
Ewido 4.0 11.20.2006 Trojan.Mezzia
Fortinet 2.82.0.0 11.21.2006 W32/BDoor.G!tr.bdr
F-Prot 3.16f 11.20.2006 no virus found
F-Prot4 4.2.1.29 11.20.2006 no virus found
Ikarus 0.2.65.0 11.21.2006 no virus found
Kaspersky 4.0.2.24 11.21.2006 Packed.Win32.Klone.g
McAfee 4900 11.20.2006 BackDoor-CVT
Microsoft 1.1804 11.21.2006 no virus found
NOD32v2 1874 11.20.2006 no virus found
Norman 5.80.02 11.20.2006 W32/Klone.F
Panda 9.0.0.4 11.20.2006 Adware/SuperSpider
Prevx1 V2 11.21.2006 Polymorphic.File.Exploit
Sophos 4.11.0 11.16.2006 Troj/Nebuler-I
TheHacker 6.0.3.122 11.21.2006 Trojan/Klone
UNA 1.83 11.20.2006 no virus found
VBA32 3.11.1 11.21.2006 suspected of Trojan-PSW.LdPinch.72 (paranoid heuristics)
VirusBuster 4.3.15:9 11.20.2006 no virus found

Aditional Information
File size: 15872 bytes
MD5: 1032d79b12ae0f818a9ff26b8107c4f4
SHA1: 98730d1e42845aade0c6eebf186a031e1321aaec
packers: PecBundle, PECompact


Complete scanning result of "ismini.exe", received in VirusTotal at 11.21.2006, 09:51:37 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.39 11.21.2006 TR/Dldr.Zlob.axt.1
Authentium 4.93.8 11.20.2006 no virus found
Avast 4.7.892.0 11.20.2006 no virus found
AVG 386 11.20.2006 Downloader.Zlob.FFK
BitDefender 7.2 11.21.2006 Trojan.Downloader.Zlob.AXT
CAT-QuickHeal 8.00 11.20.2006 no virus found
ClamAV devel-20060426 11.20.2006 no virus found
DrWeb 4.33 11.21.2006 Trojan.Popuper
eSafe 7.0.14.0 11.20.2006 no virus found
eTrust-InoculateIT 23.73.62 11.21.2006 no virus found
eTrust-Vet 30.3.3205 11.21.2006 no virus found
Ewido 4.0 11.20.2006 Downloader.Zlob.axt
Fortinet 2.82.0.0 11.21.2006 W32/Zlob.AXT!tr.dldr
F-Prot 3.16f 11.20.2006 no virus found
F-Prot4 4.2.1.29 11.20.2006 no virus found
Ikarus 0.2.65.0 11.21.2006 no virus found
Kaspersky 4.0.2.24 11.21.2006 Trojan-Downloader.Win32.Zlob.axt
McAfee 4900 11.20.2006 no virus found
Microsoft 1.1804 11.21.2006 TrojanDownloader:Win32/Zlob.gen
NOD32v2 1874 11.20.2006 probably a variant of Win32/TrojanDownloader.Zlob.AJO
Norman 5.80.02 11.20.2006 no virus found
Panda 9.0.0.4 11.20.2006 Adware/PornMagPass
Prevx1 V2 11.21.2006 SpywareQuake
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.122 11.21.2006 Trojan/Downloader.Zlob.axt
UNA 1.83 11.20.2006 TrojanDownloader.Win32.Zlob.c
VBA32 3.11.1 11.21.2006 MalwareScope.Downloader.Zlob.1
VirusBuster 4.3.15:9 11.20.2006 no virus found


Ich weiss mir nicht mehr zu helfen.
Wie kann ich die Dinger runterkriegen?
Wäre schön, wenn Ihr mir helfen könntet.
Gruss
taggi


Aditional Information
File size: 5120 bytes
MD5: 6156cfe313950b1b4e7eb53c5d02c6ed
SHA1: beb37525e95e911bd74bd00d8862f5d1e03a2935

Hallo zusammen,
kann mir denn keiner helfen?
habe schon alles versucht, was ich so finden konnte (smidrem etc)
die Trojanermeldungen kommen immer wieder. Ich weiss nicht mehr weiter.
Wäre schön wenn sich das Log mal jemand anschauen könnte.

Danke
Gruss
taggi

:(

Danke Kollegen,

habe es auch ohne eure Superhilfe geschaft.

Wäre zumindest schöngewesen, wenn Ihr zumindest mitgeteilt hättet, daß ihr kein Zeit habt.

wie hast du s geschafft hab das Zeug heut drauf bekommen (aber nur die ismini.exe)


danke
Danny

ja bitte wenn jemand so nett wäre und die anleitung für dieses Problem reintun würde. Der trojaner närft echt.
mfg

Ist es so schwierig einmal in der Suche "zlob" einzugeben? :rolleyes:

Eine weitere Möglichkeit wäre gewesen mal unter "Anleitungen" zu gucken, da steht dann nämlich dieser Thread:
anleitung zur Entfernung des Zlob, 2.Eintrag und eigentlich nicht zu übersehen. Wir haben also schon eine Anleitung reingetan.

Alles in allem, also tatsächlich auch ohne große Hilfe zu schaffen. :huepp:

Poste mal ein HiJackThis-Log, Anleitung auch unter "Anleitung" zu finden, damit man sieht, ob du dir noch mehr eingefangen hast.