Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

TR/Dldr.Zlob.go.2 Trojaner





Frage

Halli Hallo Hallöle.... seit einiger Zeit habe ich diesen Trojaner TR/Dldr.Zlob.go.2 auf meinem Rechner.... Antivir erkennt ihn (Pfad c:\WINDOWS\System32\ld3623), kann ihn aber nicht entfernen. Nach einem Neustart ist er immer wieder da. Mein Betriebssystem ist Windows XP.... Vielleicht kann mir einer noch einmal sagen wie ich eine hijackthis logfile erstelle dann kann ich die hier posten.... es wär echt super wenn ihr mir da weiterhelfen könnt ich habe schon überall geschaut ob jemand den gleichen Trojaner hatte aber ich hab nichts dazu gefunden.... danke im voraus derdax

Antwort 1 von TheRealBigDaddy

Hi!

hier gibt´s eine Anleitung:

http://sides.de/spec_highjack_find.php
bzw.
hjt.klaffke.de

Antwort 2 von richklau

1. Start > Systemsteuerung > system > systemwiederherstellung > und die systemwiederherstellung deaktivieren.

2. beim start mehrmals F8 drücken und im abgesicherten modus starten. dein virenscanner drüberlaufen lassen

dann sollte er weg sein.

Welche programme nutzt du ausser Antivir?

hi jacktihs lädst du dir hier runter http://www.hijackthis.de/ ber dirktdownload

dann machst n logfile mit dem programm installationnicht notwendig und online auswertung auch unter hijackthis.de

Antwort 3 von dax

weitere programme sind spybot search and destroy und ad aware se personal... hab das mit dem abgesicherten modus gemacht hat nichts gebracht da er nach neustart wieder kommt... die systemwiederherstellung war schon deaktiviert... daher post ich mal die logfile die ich gemacht hab...
allerdings in zwei teilen....

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Internetzubehör\ZoneAlarm\zlclient.exe
C:\Internetzubehör\spybot\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Internetzubehör\hijackthis\HijackThis.exe

Antwort 4 von dax

und der rest

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Internetzubehör\spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Internetzubehör\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\DAXTC\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Internetzubehör\spybot\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: XP-Antispy.de.lnk = C:\Programme\intexus\final.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ´Tools´ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\INTERN~1\Icq\ICQ.exe
O9 - Extra ´Tools´ menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\INTERN~1\Icq\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127136371484
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18E5A2DD-9CBA-4DB3-AA49-8151284C0E78}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Distributed Link Tracking Client Protocol Helper - Unknown owner - C:\WINDOWS\System32\mxajdeif.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\system32\taskmqr.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


danke für alles schonmal jetzt

Antwort 5 von richklau

nimm das logfile und mach ne automatische Auswertung unter http://www.hijackthis.de/. dann verfahre wie dort beschrieben (Fix Check)

und dann wäre noch interessant mit was fr Programm du bis jetzt das löschen probiert hast.

Antwort 6 von thodata

Hallo Dax,
ich hatte die gleiche Zecke :-))
Mit dem Tool Spyware Doktor habe ich meine Maschine gescannt. Ich habe folgende Auffälligkeiteten gemeldet bekommen.
Ein Reg Eintrag
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run##wininet.dll
Und eine Datei
C:\WINDOWS\system32\mscornet.exe
Den Reg-Eintrag und die Datei habe ich gelöscht.
Jetzt ist die Meldung weg.

Viel Erfolg

Antwort 7 von dax

also den fix check hab ich gemacht aber das hat nichts gebracht

der eintrag
O17 - HKLM\System\CCS\Services\Tcpip\..\{18E5A2DD-9CBA-4DB3-AA49-8151284C0E78}: NameServer = 195.50.140.252 195.50.140.114
wurde als eventuell böse eingestuft.. habs gefixt und er erhscheint nach neustart wieder....
ein eintrag war absolut unbekannt den hab ich gefixt und er is nu weg.... aber das problem hab ich immer noch....
wenn ich spybot laufen lasse findet er auch immer wieder neu einen sogenannten vmoc..... jemand noch ne idee was ich machen kann...

thodata es wär nett wenn du mir sagen könntest wie ich am einfachsten reg einträge lösche.... ich bin so ziemlich ahnungslos sorry....

danke schonmal.... werd mal den scan bei spyware doktor machen und das ergebnis posten...

derdax

Antwort 8 von dax

also ich hab nochmal spybot durchlaufen lassen und dieser vmoc scheint jetzt weg zu sein aber der trojaner wegen dem ich eigentlich poste nervt immer noch....

Antwort 9 von dax

also hab jetzt nochmal antivir durchlaufen lassen und anscheinend is der trojaner weg.... ich hab irgendwie kein plan woran es jetzt genau lag.... naja... werd noch ma ne hijackthis auswertung machen und schauen ob alles in ordnung is... danke für die hilfe

derdax

Antwort 10 von dax

also ich hab immer noch diesen eintrag....

HKLM\System\CCS\Services\Tcpip\..\{18E5A2DD-9CBA-4DB3-AA49-8151284C0E78}: NameServer = 195.50.140.252 195.50.140.114

die auswertung empfiehlt:

Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die ´SearchList´-Einträge (Suchlisten-Einträge).

Kennen Sie die IP oder die Domäne ´195.50.140.252 195.50.140.114´ nicht, fixen.

wie finde ich denn heruas ob ich die IP oder Domäne kenne???? ich mein wer merkt sich denn solche nummern???

ich hab die auch schon mehrmals gefixt wie empfohlen falls ich sie nicht kenne aber der eintrag is bei jedem neuen check wieder da....

für jeden Ratschlag dank ich euch

derdax

Antwort 11 von meier242

Hallo,

hatte auch diesen Zlob - schau mal, ob Du diese Datei findest:

C:\WINDOWS\system32\dfrgsrv.exe

(Trojan-Downloader.Win32.Zlob.hd).

Wenn ja, Eigenschaften der Datei checken (insb. Datum) - falls das Datum aus dem denkbaren Infektionszeitraum rührt, kann bereits das Löschen dieser Datei das Problem lösen. Das hat zumindest bei mir funktioniert.

Antwort 12 von Cooky123

Hallo alle zusammen,

ich hab auch dieses mistvieh "TR/Dldr.Zlob.go.2"...

Hat schon jemand eine neue lösung gefunden?

mfg cooky

Antwort 13 von petermic

Ich hab die ZeckeZlob.go.2 auch auf meinem Rechner. Irgendjemand muss doch wissen wie man das Ding los wird ohne gleich neu installieren zu müssen. Außerdem wüsste ich gerne was der Trojaner macht

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: