Trojaner www.win32.zlob.cs auf WinXP Pro Rechner!
2 Beiträge • Seite 1 von 1
Trojaner www.win32.zlob.cs auf WinXP Pro Rechner!
von Timmäää am 17.12.2005, 14:36
Moinsen,
am 13.12 Virus entdeckt durch F-Secure Internet Security,
F-Secure konnte den Trojaner nicht isolieren, desinfizieren oder löschen!!
Habe dann den Virus manuell umbenannt und gelöscht (es handelte sich um eine Verknüpfung)
[WidowsSystem 32 msvol.tlb] Problem besteht weiter!!!
--> Trojaner www.win32.zlob.cs auf WinXP Pro Rechner! <--
PROBLEM: Internetverbindungsaufbau klappt nur direkt nach neustart Starseite wird nicht erreicht geht auf www.yoursystemupdate.com
[Vorsicht!]
Beim 2ten Einwahlversuch, kann keine Verbindung hergestellt werden!
Habe schon versucht mit Hi jack This die Sache mit der Startseite zu lösen, jedoch hatte das leider keinen erfolg!
Ich poste hier mal die HiJack This Files und DatFind Files, in der Hoffnung einer von euch kann mir weiterhelfen!
Vielen Dank im Voraus
Logfile of HijackThis v1.99.1
Scan saved at 19:24:13, on 16.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\System32\UAService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Dokumente und Einstellungen\THOMAS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 12 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.f-secure.com/estore/renewals/fsis.html
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\System32\hp996C.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [AWMON] "C:\Programme\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\System32\UAService.exe
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A846-0F98
Verzeichnis von C:\WINDOWS\system32
16.12.2005 18:44 344 ncompat.tlb
16.12.2005 17:14 2.206 wpa.dbl
14.12.2005 12:16 9.938 hp996C.tmp
13.12.2005 13:34 4.286 ot.ico
13.12.2005 13:34 4.286 ts.ico
13.12.2005 13:34 9.780 MSSEARCHNET.0XE
13.12.2005 13:34 15.504 NVCTRL.0XE
13.12.2005 13:32 24.064 ldCB20.tmp
09.12.2005 15:45 14.456 MSCORNET.0XE
30.10.2005 19:16 37.896 perfc009.dat
30.10.2005 19:16 305.454 perfh009.dat
30.10.2005 19:16 310.140 perfh007.dat
30.10.2005 19:16 45.870 perfc007.dat
30.10.2005 19:16 705.468 PerfStringBackup.INI
04.08.2005 18:13 552 d3d8caps.dat
04.08.2005 17:37 126.976 UAService.exe
04.08.2005 17:37 90.112 CmdLineExt.dll
03.08.2005 14:09 13.312 svrapi.dll
22.07.2005 16:26 8 ntP2.trk
17.06.2005 21:20 176.167 rmoc3260.dll
17.06.2005 21:20 5.632 pndx5032.dll
17.06.2005 21:20 6.656 pndx5016.dll
17.06.2005 21:20 278.528 pncrt.dll
03.04.2005 11:52 231.984 FNTCACHE.DAT
02.04.2005 19:05 1.155.072 winsflt.dll
02.04.2005 12:33 0 .exe
02.04.2005 12:28 0 h323log.txt
02.04.2005 12:14 25.065 wmpscheme.xml
02.04.2005 12:11 261 $winnt$.inf
02.04.2005 12:08 2.951 CONFIG.NT
02.04.2005 12:08 16.832 amcompat.tlb
02.04.2005 12:08 23.392 nscompat.tlb
02.04.2005 12:06 488 WindowsLogon.manifest
02.04.2005 12:06 488 logonui.exe.manifest
02.04.2005 12:06 749 wuaucpl.cpl.manifest
02.04.2005 12:06 749 nwc.cpl.manifest
02.04.2005 12:06 749 sapi.cpl.manifest
02.04.2005 12:06 749 ncpa.cpl.manifest
02.04.2005 12:06 749 cdplayer.exe.manifest
02.04.2005 12:04 21.740 emptyregdb.dat
27.02.2005 20:48 356.352 RealMediaSplitter.ax
21.11.2004 13:51 53.248 SanCpl.cpl
27.09.2004 15:30 1.691.648 winsflte.dll
27.09.2004 15:30 1.216.512 cfgmig32.dll
am 13.12 Virus entdeckt durch F-Secure Internet Security,
F-Secure konnte den Trojaner nicht isolieren, desinfizieren oder löschen!!
Habe dann den Virus manuell umbenannt und gelöscht (es handelte sich um eine Verknüpfung)
[WidowsSystem 32 msvol.tlb] Problem besteht weiter!!!
--> Trojaner www.win32.zlob.cs auf WinXP Pro Rechner! <--
PROBLEM: Internetverbindungsaufbau klappt nur direkt nach neustart Starseite wird nicht erreicht geht auf www.yoursystemupdate.com
[Vorsicht!]
Beim 2ten Einwahlversuch, kann keine Verbindung hergestellt werden!
Habe schon versucht mit Hi jack This die Sache mit der Startseite zu lösen, jedoch hatte das leider keinen erfolg!
Ich poste hier mal die HiJack This Files und DatFind Files, in der Hoffnung einer von euch kann mir weiterhelfen!
Vielen Dank im Voraus
Logfile of HijackThis v1.99.1
Scan saved at 19:24:13, on 16.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\System32\UAService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Dokumente und Einstellungen\THOMAS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 12 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.f-secure.com/estore/renewals/fsis.html
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\System32\hp996C.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [AWMON] "C:\Programme\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\System32\UAService.exe
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A846-0F98
Verzeichnis von C:\WINDOWS\system32
16.12.2005 18:44 344 ncompat.tlb
16.12.2005 17:14 2.206 wpa.dbl
14.12.2005 12:16 9.938 hp996C.tmp
13.12.2005 13:34 4.286 ot.ico
13.12.2005 13:34 4.286 ts.ico
13.12.2005 13:34 9.780 MSSEARCHNET.0XE
13.12.2005 13:34 15.504 NVCTRL.0XE
13.12.2005 13:32 24.064 ldCB20.tmp
09.12.2005 15:45 14.456 MSCORNET.0XE
30.10.2005 19:16 37.896 perfc009.dat
30.10.2005 19:16 305.454 perfh009.dat
30.10.2005 19:16 310.140 perfh007.dat
30.10.2005 19:16 45.870 perfc007.dat
30.10.2005 19:16 705.468 PerfStringBackup.INI
04.08.2005 18:13 552 d3d8caps.dat
04.08.2005 17:37 126.976 UAService.exe
04.08.2005 17:37 90.112 CmdLineExt.dll
03.08.2005 14:09 13.312 svrapi.dll
22.07.2005 16:26 8 ntP2.trk
17.06.2005 21:20 176.167 rmoc3260.dll
17.06.2005 21:20 5.632 pndx5032.dll
17.06.2005 21:20 6.656 pndx5016.dll
17.06.2005 21:20 278.528 pncrt.dll
03.04.2005 11:52 231.984 FNTCACHE.DAT
02.04.2005 19:05 1.155.072 winsflt.dll
02.04.2005 12:33 0 .exe
02.04.2005 12:28 0 h323log.txt
02.04.2005 12:14 25.065 wmpscheme.xml
02.04.2005 12:11 261 $winnt$.inf
02.04.2005 12:08 2.951 CONFIG.NT
02.04.2005 12:08 16.832 amcompat.tlb
02.04.2005 12:08 23.392 nscompat.tlb
02.04.2005 12:06 488 WindowsLogon.manifest
02.04.2005 12:06 488 logonui.exe.manifest
02.04.2005 12:06 749 wuaucpl.cpl.manifest
02.04.2005 12:06 749 nwc.cpl.manifest
02.04.2005 12:06 749 sapi.cpl.manifest
02.04.2005 12:06 749 ncpa.cpl.manifest
02.04.2005 12:06 749 cdplayer.exe.manifest
02.04.2005 12:04 21.740 emptyregdb.dat
27.02.2005 20:48 356.352 RealMediaSplitter.ax
21.11.2004 13:51 53.248 SanCpl.cpl
27.09.2004 15:30 1.691.648 winsflte.dll
27.09.2004 15:30 1.216.512 cfgmig32.dll
- Timmäää
- Beiträge: 1
- Registriert: 17.12.2005, 14:22
2 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste