Trojaner Dldr.zlob.ea.4

#16 Hi Sabina!
Trojaner ist weg. Super.
1000000000000000000000 mal danke!

Glg
Marph

#17 Marph

falls noch etwas gefunden wurde...beschreibe es hier (welches Tool den Virus gefunden hat und den Pfad)
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Hi Sabina!
Also der zeigt bei Antivir folgendes Verzeichnis an:

"C:\SYSTEM VOLUME INFORMATION\_RESTORE{E0F24CD3-965B-4975-9AEE-E1C4234262F9}\RP166\A0019519.EXE

Ist das Trojanische Pferd TR/Small.GV"

Wie bei dem anderen Trojaner kann ich löschen und in Quarantäne schicken was ich will, der kommt immer wieder.

Danke

#19 Marph

das bekommt man ganz leicht weg, deshalb muss du nicht in Panik geraten

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

neustarten, dann wieder aktivieren
http://virus-protect.org/systemwiederherstellung.html
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hi Sabina!
Erstmal vielen Dank zum zweiten mal. Hoffe ich habe jetzt ne Zeit lang Ruhe.
Woher kennst du dich so gut mit Viren etc aus. Echt bewundernswert.

Also nochmals, danke.

Lg
Marph

#21 tadaaa... ein indirektes dankeschön ! mithilfe der anleitungen hier habe ich es dann doch noch geschafft. ein weiterer neustart und das problem war gelöst. bei der letzen ld... .tmp datei handelte es sich wohl um ein überbleibsel meiner quarantäneversuche. gewonnen. das ding ist weg von der platte.
gruß nerb.


hi sabina. ich habe diesen Thread jetzt eine weile verfolgt, und habe genua das gleich problem. bei jedem neustart ist der trojaner tr/dldr.zlob.ea.4 wieder da, jeweils mit einer tmp-datei in system32 die mit "ld" anfängt. bisher konnte ich sie imer löschen o.ä. heute geht selbst das nicht mehr. vielleicht kannst du mir helfen.
hier meine ergebnisse, nach cleanup- durchlauf.


also die reportdatreien hatte ich hier gepostet, nehmen jetzt aber nur noch platz weg.

hoffe auf schnhelle hilfe.

/edit:
habe c:\windows\system32\ncompat.tld
c:\windows\system32\mscornet.exe
c:\windows\system32\jkhob.dll
und
c:\windows\system32\amcompat.tlb
mit der killbox entfernt. leider bekomme ich immer noch die meldung.

#22 nerb

ich schau mal nach

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4C6-3ED5

Verzeichnis von C:\WINDOWS\system32

02.02.2006 12:03 29.260 nvapps.xml
19.01.2006 16:32 2.206 wpa.dbl
08.01.2006 23:53 23.392 nscompat.tlb
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
24.12.2005 18:19 98.304 CmdLineExt.dll
03.12.2005 11:54 7.006 jupdate-1.5.0_06-b05.log
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 19:13 126.112 FNTCACHE.DAT
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 17:51 311.604 perfh009.dat
30.10.2005 17:51 316.594 perfh007.dat
30.10.2005 17:51 48.156 perfc007.dat
30.10.2005 17:51 39.992 perfc009.dat
30.10.2005 17:51 723.744 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 22:20 80.896 fontsub.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4C6-3ED5

Verzeichnis von C:\DOKUME~1\BENBEW~1\LOKALE~1\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4C6-3ED5

Verzeichnis von C:\WINDOWS

02.02.2006 14:56 159 wiadebug.log
02.02.2006 14:56 50 wiaservc.log
02.02.2006 14:52 1.125 winamp.ini
02.02.2006 11:58 0 0.log
02.02.2006 11:57 1.814.027 WindowsUpdate.log
02.02.2006 11:57 2.048 bootstat.dat
02.02.2006 11:56 32.564 SchedLgU.Txt
31.01.2006 16:23 222.648 setupapi.log
31.01.2006 10:16 849 Active Setup Log.txt
30.01.2006 06:18 3.795 cdplayer.ini
21.01.2006 11:42 32 wininit.ini
16.01.2006 16:31 102.741 wmsetup.log
12.01.2006 15:55 79.504 iis6.log
12.01.2006 15:55 193.064 comsetup.log
12.01.2006 15:55 122.991 ntdtcsetup.log
12.01.2006 15:55 30.420 ocmsn.log
12.01.2006 15:55 1.374 imsins.log
12.01.2006 15:55 226.636 tsoc.log
12.01.2006 15:55 10.170 KB908519.log
12.01.2006 15:55 332.262 ocgen.log
12.01.2006 15:55 29.573 msgsocm.log
12.01.2006 15:55 537.714 FaxSetup.log
08.01.2006 23:56 377 wmsetup10.log
08.01.2006 23:49 316.640 WMSysPr9.prx
07.01.2006 18:39 1.355 imsins.BAK
07.01.2006 18:39 11.008 KB912919.log
07.01.2006 18:39 21.801 updspapi.log
14.12.2005 18:08 9.375 KB910437.log
14.12.2005 18:08 15.469 KB905915.log
02.12.2005 19:07 1.226 EventSystem.log
09.11.2005 16:02 11.866 KB896424.log
22.10.2005 09:51 20.912 KB901017.log
22.10.2005 09:51 23.417 KB902400.log
22.10.2005 09:51 14.119 KB896688.log
22.10.2005 09:50 16.506 KB905414.log
22.10.2005 09:50 13.297 KB900725.log
22.10.2005 09:50 11.693 KB904706.log
22.10.2005 09:50 15.215 KB905749.log
08.10.2005 17:21 8.396 Directx.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4C6-3ED5

Verzeichnis von C:\

02.02.2006 15:16 0 sys.txt
02.02.2006 15:16 9.633 system.txt
02.02.2006 15:15 136 systemtemp.txt
02.02.2006 15:13 93.881 system32.txt
02.02.2006 11:57 402.653.184 pagefile.sys
02.02.2006 09:47 105.097 dirdat.txt
13.04.2005 12:29 184.449 AnalysisLog.sr0
06.03.2005 14:45 1.120 INSTALL.LOG
06.02.2005 11:11 6.815 CLDMA.LOG
18.12.2004 16:46 211 boot.ini
18.12.2004 16:41 47.564 NTDETECT.COM
18.12.2004 16:41 251.184 ntldr
18.12.2004 09:34 0 CONFIG.SYS
18.12.2004 09:34 0 AUTOEXEC.BAT
18.12.2004 09:34 0 IO.SYS
18.12.2004 09:34 0 MSDOS.SYS
27.06.2002 16:10 4.952 bootfont.bin
24.05.2001 12:59 162.304 UNWISE.EXE
18 Datei(en) 403.520.530 Bytes
0 Verzeichnis(se), 16.402.083.840 Bytes frei

#24 nerb

C:\WINDOWS\system32\nscompat.tlb noch mal mit der killbox loeschen, dann:
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Logfile of HijackThis v1.99.1
Scan saved at 15:28:39, on 02.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ClockSync\Sync.exe
C:\PROGRA~1\Save\Save.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\dload\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe"
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase3401.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103381171061
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#26 nerb

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als savenow.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave]
[-HKEY_CURRENT_USER\SOFTWARE\whenu]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WUSN.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader.1\clsid]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C285D18D-43A2-4AEF-83FB-BF280E660A97}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\savenow]
[-HKEY_CLASSES_ROOT\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}]
[-HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}]
[-HKEY_CLASSES_ROOT\TypeLib\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}]
[-HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}]
[-HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}]
[-HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}]
[-HKEY_CLASSES_ROOT\WUSN.1]
[-HKEY_CLASSES_ROOT\WUSN.1 WUSN_Id]
[-HKEY_CLASSES_ROOT\AppID\ACM.DLL]
[-HKEY_CLASSES_ROOT\ACM.ACMFactory]

öffne das HijackThis-- Button "scan" -- Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe"

PC neustarten

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "savenow.reg" auf dem Desktop doppelklicken

Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software" --> whenusearch + BearShare + savenow

Loeschen:
C:\Programme\Save
http://virus-protect.org/artikel/spyware/save.html

---------------------------------------------------------------------------
SmitRem2.8 --> öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

-------------------------------------------------------------------

lade den Browser Firefox und surfe nur noch mit ihm --> der IE bleibt fuer die WindowsUpdates
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 was soll denn das bringen. habe weder proggi whenusearch noch bearshare noch sonstwat draufgehabt, und mitm nozilla firefox surf ich auch seit über nem jahr nur noch. was verbrigt sich hinter c:\programme\save ?!?!

#28 C:\Programme\Save
http://virus-protect.org/artikel/spyware/save.html

ist Malware...und steht in Verbindung mit:WhenUSave
O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe"
__________
MfG Sabina

rund um die PC-Sicherheit

#29 antivir sagt mir:

C:\AAAA\SMITREM\PROCESS.EXE

Enthält Signatur des SPR/Processor.20-Programmes

#30 ja, das stimmt... beachte es nicht. (Antivirus weiss noch nicht, dass es ein Entfernungstool von malware ist...und keine Malware an sich )
__________
MfG Sabina

rund um die PC-Sicherheit