Trojan-Downloader.Win32.Zlob.ce, wo kam der her???

#1 Hi

War so ziemlich das erste Mal, dass ich mir nen Virus eingefangen hab oder hatte. Der Wurm hat sich ne Weile ganz schön gewehrt, konnte ihn aber mit Kapersky AVP im Abgesicherten Windows-Modus töten. Jedenfalls ist im Moment wieder alles beim alten.

Meine Frage: Hatte von einer Quelle, von der ich eingentlich dachte ihr vertrauen zu können, ne ini-Datei gekriegt um ein altes Spiel "Caveland" wieder zum Laufen zu bringen. Hab erst gezögert, weil ich die in meinen Windows-Ordner kopieren sollte und noch 5 System-Dateien von Windows\System in Windows\system32 verschieben sollte, mich dann aber doch durchgerungen. Zumal in der wavemix.ini nur Info über Sound und Speaker stand, so dass mein Laienauge richtig gesehen hat, jedenfalls kein Loader und keine Verweise. Und das Spiel hat dann wieder einwandfrei getan.

Naja, beim nächsten Iexp-Start war meine Startseite www.yoursystemupdate.com und der Wurm war drin, etwa 20 Dateien oder so.
Lag das jetzt an der Datei? Oder kann der Kerl, der mir das geschickt hat nur bedingt was dafür und mein Windows war einfach unsicher nachdem ich im SystemOrdner rumgepfuscht hab?

Und gibts ne Adresse zum einschicken von der ini-Datei? Obs an der lag? Danke für die Hilfe


Santa


PS:
Aso: Hier die wavemix.ini, sieht da jemand was?

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

[general]
; if ShowDevices exists and is non-zero then will display wave out
devices and other stuff
;
; ShowDevices=0 : default
; ShowDevices=1 : show output from waveOutGetDevCaps
ShowDevices=0

; if WaveOutDevice exists it should be between zero and one less num
; devices

; the default is WAVE_MAPPER
;
; WaveOutDevice=0 : use the first device (default)
; WaveOutDevice=1 : use the second device
; WaveOutDevice=-1: use WAVE_MAPPER (will use [Unknow Device] setttings)
;
;
WaveOutDevice=0

; Wavemix will detect if it is running on a 286 and not use any 386
instructions
; you can force it to use the 286 only code on a 386 by setting cmixit=1
; cmixit=0 (default)
; cmixit=1 uses only 286 code (even on a 386 or >

[default]
; Remix=1 = ResetRemix()
; Remix=2 = NoResetRemix()
; default=1
Remix=1

; GoodWavePos=0 = uses timeGetTime() (default)
; GoodWavePos=1 = uses waveOutGetPosition()
GoodWavePos=0

; WaveBlocks=# (2<=#<=6) the number of ping pong buffers to use
; default=3
WaveBlocks=3

; WaveBlockLen=# min = 512 max = 4096
; if a number is not specified Wavemix.dll will try to determine a size
;

; SamplesPerSec=11 (11.025 Khz) (default)
; =22 (22.04 KHz)
; =44 (44.1 KHz)
SamplesPerSec=11

[Windows Sound System Playback]
; Need to set do11khzmce=FALSE in system.ini->[sndsys.drv] if want to
use Remix=1 and SamplesPerSec=11
Remix=1
GoodWavePos=1
WaveBlocks=3
SamplesPerSec=22
;WaveBlockLen=

[MultiSound Wave Out]
Remix=2
GoodWavePos=1
WaveBlocks=3
;WaveBlockLen=

[SB16 Wave Out]
Remix=1
GoodWavePos=0
WaveBlocks=5
SamplesPerSec=22
;WaveBlockLen=

[SBPro Wave Out]
Remix=1
GoodWavePos=0
WaveBlocks=5
;WaveBlockLen=

[Media Vision Waveform Output]
Remix=1
GoodWavePos=0
WaveBlocks=3
;WaveBlockLen=

[not compatible]
; sound drivers that are not compatible with wavemix.dll can be added here
; (the =1 is necessary). One of the major conflicts occur with the PC
Speake
r
; drivers. The wavemix.dll will only work with devices that support
asynchronous
; operation - most of the pc speaker drivers are synchronous. The
name of the devices
; can be easily seen by setting ShowDevices=1 in the [general]
section and then running
; a program which uses the wavemixer.

Wave driver for PC Speaker=1

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

#2 Santa1

siehe unten auf dieser Seite:
http://virus-protect.org/onlinescan.html

etwa 40 Hersteller von AntiVirus Programmen weitergeleitet, falls sie sich als schädlich herausstellen. So leistest Du einen aktiven Beitrag im Kampf gegen Malware!
http://www.malwareupload.com/
Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.


Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/de/
http://sandbox.norman.no/live_4.html

--------------------

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke, lag wohl nicht an der ini-Datei.

*hmm*, wieso haben meine Firewalls dann nicht mehr getan??

#4 kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

dann reinigen wir den PC
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ???????????????

wo ist der Pfad ? vom 1.Log....system32.... ???

18.08.2001 13:00 5.632 kbdru1.dll
18.08.2001 13:00 5.632 kbdru.dll
18.08.2001 13:00 37.342 compmgmt.msc
18.08.2001 13:00 5.632 kbdro.dll
__________
MfG Sabina

rund um die PC-Sicherheit

#6 sry

Verzeichnis von C:\WINDOWS\system32

11.12.2005 09:53 5.632 msvol.tlb
11.12.2005 09:53 368 ncompat.tlb
11.12.2005 00:26 384 DVCStateBkp-{00000002-00000000-0000000A-00001102-00000004-20021102}.dat
11.12.2005 00:26 384 DVCState-{00000002-00000000-0000000A-00001102-00000004-20021102}.dat
11.12.2005 00:26 1.080 settings.sfm
11.12.2005 00:26 1.080 settingsbkup.sfm
11.12.2005 00:26 32.088 BMXBkpCtrlState-{00000002-00000000-0000000A-00001102-00000004-20021102}.rfx
11.12.2005 00:26 33.232 BMXStateBkp-{00000002-00000000-0000000A-00001102-00000004-20021102}.rfx
11.12.2005 00:26 33.232 BMXState-{00000002-00000000-0000000A-00001102-00000004-20021102}.rfx
11.12.2005 00:26 32.088 BMXCtrlState-{00000002-00000000-0000000A-00001102-00000004-20021102}.rfx
10.12.2005 17:34 13.646 wpa.dbl
07.12.2005 18:38 14.000 nvctrl.exe
07.12.2005 17:36 4.286 ot.ico
07.12.2005 17:36 4.286 ts.ico
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
09.11.2005 19:52 125.320 FNTCACHE.DAT
04.11.2005 16:27 534.280 LegitCheckControl.DLL
04.11.2005 16:27 23.304 GWFSPidGen.DLL
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 13:11 39.992 perfc009.dat
30.10.2005 13:11 316.594 perfh007.dat
30.10.2005 13:11 48.156 perfc007.dat
30.10.2005 13:11 311.604 perfh009.dat
30.10.2005 13:11 723.744 PerfStringBackup.INI
24.10.2005 23:48 16 Chmtps.psc
24.10.2005 23:48 22.016 prospeed_bmp2jpg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
05.10.2005 01:26 3.013.120 mshtml.dll
26.09.2005 16:34 16.832 amcompat.tlb
26.09.2005 16:34 23.392 nscompat.tlb
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
09.08.2005 23:14 692.224 divxdec.ax
09.08.2005 23:13 4.276 divxsm.tlb
09.08.2005 23:13 524.288 DivXsm.exe
09.08.2005 23:13 692.736 DivX.dll
09.08.2005 23:13 688.128 divx_xx07.dll
09.08.2005 23:13 10.775 dsm_ja.qm
09.08.2005 23:13 15.351 dsm_de.qm
09.08.2005 23:13 15.153 dsm_fr.qm
09.08.2005 23:13 688.128 divx_xx0c.dll
09.08.2005 23:13 671.744 divx_xx11.dll
09.08.2005 23:13 831.488 libeay32.dll
09.08.2005 23:13 245.408 unicows.dll
09.08.2005 23:13 159.744 ssleay32.dll
09.08.2005 23:12 3.596.288 qt-dx331.dll
09.08.2005 23:12 8.523 dpude.qm
09.08.2005 23:12 86.016 dpl100.dll
09.08.2005 23:12 581.632 dpuGUI11.dll
09.08.2005 23:12 200.704 dtu100.dll
09.08.2005 23:12 303.104 dpus11.dll
09.08.2005 23:12 57.344 dpv11.dll
09.08.2005 23:12 245.760 dpu11.dll
09.08.2005 23:12 3.136 dtu_de.qm
09.08.2005 23:12 356.436 DivXMedia.ax
05.08.2005 09:05 21.840 SIntfNT.dll
05.08.2005 09:05 17.212 SIntf32.dll
05.08.2005 09:05 12.067 SIntf16.dll

---

Verzeichnis von C:\DOKUME~1\SMB\LOKALE~1\Temp

11.12.2005 09:53 73.661 jusched.log
10.12.2005 18:34 64.472 java_install_reg.log
08.12.2005 21:36 32.768 ~DF7BE8.tmp
08.12.2005 21:36 32.768 ~DF64E4.tmp
07.12.2005 22:53 32.768 ~DF3B8E.tmp
07.12.2005 22:53 32.768 ~DF2313.tmp
07.12.2005 21:44 32.768 ~DFF7FC.tmp
07.12.2005 21:42 32.768 ~DF4677.tmp
07.12.2005 21:42 4.944 MSI832d4.LOG
04.12.2005 03:26 717 control.xml
18.11.2005 14:16 0 mso4.tmp
18.11.2005 14:16 0 mso2.tmp
18.11.2005 14:16 0 mso1.tmp
09.11.2005 08:42 0 msoB.tmp
02.11.2005 20:56 30.772 AAX13.tmp
02.11.2005 20:56 30.580 AAX10.tmp
02.11.2005 20:55 30.772 AAXF.tmp
02.11.2005 20:54 30.580 AAXC.tmp
30.10.2005 12:04 1.536 ~WRS0002.tmp
28.10.2005 14:56 0 mso3.tmp
19.10.2005 14:07 73.276 ~e5.0001
13.10.2005 13:12 308 MSIbc655.LOG
13.10.2005 13:11 0 ~1A.tmp
13.10.2005 12:49 308 MSI7fdd1.LOG
13.10.2005 12:49 0 ~16.tmp
11.10.2005 11:05 797.676 IMT22.xml
11.10.2005 11:05 426 IMT21.xml
11.10.2005 11:05 2.036 IMT20.xml
11.10.2005 11:03 797.676 IMT1F.xml
11.10.2005 11:03 426 IMT1E.xml
11.10.2005 11:03 2.036 IMT1D.xml
11.10.2005 11:03 797.676 IMT1C.xml
11.10.2005 11:03 426 IMT1B.xml
11.10.2005 11:03 2.036 IMT1A.xml
11.10.2005 11:03 797.676 IMT19.xml
11.10.2005 11:03 426 IMT18.xml
11.10.2005 11:03 2.036 IMT17.xml
07.10.2005 23:00 16.384 Perflib_Perfdata_fc0.dat
03.10.2005 12:08 4.592 SIntfIcn.ani
03.10.2005 12:08 24.512 SIntfNT.dll
03.10.2005 12:08 19.924 SIntf32.dll
03.10.2005 12:08 12.067 SIntf16.dll
03.10.2005 12:08 37.376 CmdLineExt01.dll
30.09.2005 16:52 369 wecerr.txt
27.09.2005 02:12 27.282 ca81_appcompat.txt
22.09.2005 10:06 797.676 IMT3C.xml
22.09.2005 10:06 426 IMT3B.xml
22.09.2005 10:06 2.036 IMT3A.xml
19.09.2005 15:31 30.580 AAX36.tmp
19.09.2005 15:29 30.772 AAX35.tmp
19.09.2005 15:29 30.580 AAX32.tmp
19.09.2005 15:16 30.772 AAX31.tmp
19.09.2005 15:16 30.580 AAX2E.tmp
19.09.2005 15:15 158 swtmp.htm
19.09.2005 15:14 71.680 GLB29.tmp
12.09.2005 20:28 52.132 32b2_appcompat.txt
12.09.2005 11:43 222 e862_appcompat.txt
01.09.2005 13:43 594.709 gtbD.tmp.cab
01.09.2005 13:43 0 gtbD.tmp
27.08.2005 01:48 16.384 ~DF6D99.tmp
24.08.2005 11:11 304.848 Office 2000 Professional Setup (0002)_MsiExec.txt
24.08.2005 11:02 46.204 offcln9.log
24.08.2005 11:02 1.758 Office 2000 Professional Setup (0002).txt
14.08.2005 05:01 51.864 f826_appcompat.txt
13.08.2005 09:34 2.036 IMT16.xml
13.08.2005 09:33 797.676 IMT15.xml
13.08.2005 09:33 426 IMT14.xml
13.08.2005 09:33 2.036 IMT13.xml

---

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 286A-234A

Verzeichnis von C:\WINDOWS

11.12.2005 14:35 1.125 winamp.ini
11.12.2005 14:16 32 HCWBTDLG.INI
11.12.2005 09:55 1.967.418 WindowsUpdate.log
11.12.2005 09:55 2.216 HCWPNP.INI
11.12.2005 09:53 0 0.log
11.12.2005 09:53 159 wiadebug.log
11.12.2005 09:53 50 wiaservc.log
11.12.2005 09:53 2.048 bootstat.dat
11.12.2005 00:26 32.634 SchedLgU.Txt
08.12.2005 22:29 542 WIN.INI
08.12.2005 22:13 171.982 ntbtlog.txt
07.12.2005 21:37 936.722 setupapi.log
07.12.2005 15:40 1.067 IE4 Error Log.txt
07.12.2005 09:25 568 WIN.SYD
04.12.2005 03:26 43.647 wmsetup.log
09.11.2005 08:10 47.168 iis6.log
09.11.2005 08:10 116.141 comsetup.log
09.11.2005 08:10 1.374 imsins.log
09.11.2005 08:10 70.648 ntdtcsetup.log
09.11.2005 08:10 128.574 tsoc.log
09.11.2005 08:10 19.014 ocmsn.log
09.11.2005 08:10 11.799 KB896424.log
09.11.2005 08:10 16.548 msgsocm.log
09.11.2005 08:10 173.372 ocgen.log
09.11.2005 08:10 312.411 FaxSetup.log
09.11.2005 08:09 20.134 updspapi.log
05.11.2005 00:55 10.769 scunin.dat
05.11.2005 00:55 967 ScUnin.pif
05.11.2005 00:55 67.584 ScUnin.exe
24.10.2005 23:48 290 mpsettings.ini
12.10.2005 11:40 1.393 imsins.BAK
12.10.2005 11:40 22.141 KB901017.log
12.10.2005 11:40 24.516 KB902400.log
12.10.2005 11:40 16.787 KB905414.log
12.10.2005 11:40 19.159 KB896688.log
12.10.2005 11:40 13.920 KB900725.log
12.10.2005 11:39 11.334 KB904706.log
12.10.2005 11:39 11.969 KB905749.log
26.09.2005 16:35 249.856 Setup1.exe
26.09.2005 16:35 73.216 ST6UNST.EXE
24.08.2005 11:10 403 ODBC.INI
15.08.2005 07:51 28.160 ArtGalry.cag
11.08.2005 11:08 17.660 KB899587.log
11.08.2005 11:08 17.158 KB899591.log
11.08.2005 11:08 16.966 KB893756.log
11.08.2005 11:08 17.134 KB896423.log
11.08.2005 11:08 17.771 KB896727.log
11.08.2005 11:08 13.534 KB899588.log
11.08.2005 11:08 13.253 KB894391.log
07.08.2005 11:38 25 SIERRA.INI

---

Verzeichnis von C:\

11.12.2005 14:54 0 sys.txt
11.12.2005 14:54 8.878 system.txt
11.12.2005 14:53 6.311 systemtemp.txt
11.12.2005 14:50 100.269 system32.txt
11.12.2005 09:53 805.306.368 pagefile.sys
08.05.2005 20:15 13.030 PDOXUSRS.NET
04.04.2005 21:31 237.568 ffastun.ffo
04.04.2005 21:31 4.592 ffastun.ffa
04.04.2005 21:31 589.824 ffastun0.ffx
04.04.2005 21:31 155.648 ffastun.ffl
18.03.2005 09:03 0 AILog.txt
02.03.2005 16:17 93 Prodinfo.txt
02.03.2005 16:14 211 boot.ini
02.03.2005 16:09 47.564 NTDETECT.COM
02.03.2005 16:09 251.184 ntldr
02.03.2005 11:55 0 MSDOS.SYS
02.03.2005 11:55 0 IO.SYS
02.03.2005 11:55 0 AUTOEXEC.BAT
02.03.2005 11:55 0 CONFIG.SYS
18.08.2001 13:00 4.952 bootfont.bin
20 Datei(en) 806.726.492 Bytes
0 Verzeichnis(se), 1.546.817.536 Bytes frei

#7 1. Schritt
wende CleanUp an
http://virus-protect.org/cleanup.html

2. Schritt
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" oder "yes" der Registry bei

SpyAxeFix.exe
http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten


SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei hier
__________
MfG Sabina

rund um die PC-Sicherheit