SpyFalcon, Vcodec ncompat.tlb, Trojaner Dldr.Zlob.go.2

H

hadrei

New member
Schönen guten Tag liebe MitUser und MitUserInnen,
Menschen, Freaks, Freunde, Experten und so weiter :p

Ich habe das zweifelhafte Vergnügen euch mitzuteilen, dass ich hier auf meinem Schreibtisch ein Notebook von meinem Freund liegen habe, welches von SpyFalcon (offensichtlich der Nachfolger von SpyAxe) ordentlich versaut wurde :o

Das Problem entstand durch die Ausführung eines Programmes um "Filmchen" anzusehen (dieser Trottel :mad: ) und äßerte sich in einem penetranten Geblinke, Generve, Fakealerts und Nötigung zum Kauf der Software (inklusive der dazugehörigen Panikmache) :eek:

Jetzt habe ich das gute Stück erst mal mit den aktuellsten Spybot und AntiVir Personal Versionen versorgt und konnte die meisten Probleme damit beheben (ein Lob an die Programmierer! :bigthumb: )

Übrig geblieben ist aber:
Vcodec: eine Datei im WINDOWS systems 32 Verzeichnis namens ncompat.tlb
und ein Trojaner namens TR/Dldr.Zlob.go.2 der sich auch im System 32 Verzeichnis befindet und ständig seine ***.tmp Datei wechselt.
und SpyFalcon (was mal weg ist und dann wieder kommt :confused: )

Ich habe nun die WindowsXP Systemwiederherstellung deaktiviert, das Notebook im abgesicherten Modus gestartet und versuche nun die die entsprechen Schädlingsreste zu beseitigen.
Danach, versuche ich es mti dieser smitrem Methode.

Wie erfolgreich ich bin, werdet ihr hier im Laufe des Tages hier lesen.

Eine Frage nur, wie kann ich die Log Datei von Spybot als txt Datei speichern?
Ich sehe immer nur die Möglichkeit das Ding auszudrucken, aber das ist doch etwas umständlich oder nicht? :scratch:

Empfehlenswerte Threads sind auch
http://forums.spybot.info/showthread.php?t=1521
http://forums.spybot.info/showthread.php?t=1837
oder das BSI
http://www.bsi.bund.de/av/texte/wiederher_xp.htm
oder dies
http://www.bleepingcomputer.com/forums/topic43659.html

Wünscht mir Glück, ich kann's gebrauchen :D

Lieben Gruß,
Der Harry
 
Last edited:
leider kein erfolg gehabt im abgesicherten Modus.

Nun gut, als nächstes Versuche ich das mal mit dem smitrem
 
Hier is nu die hijackthis log file

huhu nochmal,

ich habe nun eine hijackthis logfile, aber was genau ich damit nu machen soll hat sich mir beim Lesen der Anleitung nicht ganz erschlossen.

Kann wer helfen?

Hier der Log

Logfile of HijackThis v1.99.1
Scan saved at 16:30:42, on 24.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nero\InCD\InCDsrv.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Nero\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NETGEAR\WG511v2\wlancfg5.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://WWW.BenQ.COM/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Q-HotkeyMgr] C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Nero\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: NETGEAR WG511v2 Wireless Assistant.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://WWW.BenQ.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 
Problem gelöst????

Hallo!

(wen grüß ich überhaupt, ich hab hier heute nen Monolog geführt ;) )

Ich weiß nicht genau wie und wieso, aber das Problem ist weg.
Ich habe nach dem hijackthis Scan nix weiter gemacht.
Aber weder Spybot noch AntiVir finden noch Schädlinge...

Naja, danke an alle, die in anderen Threads Tipps gegeben hatten. :bigthumb:

Tschüss,
bis die Tage.

Harry
 
Man muss nur lange genug warten, dann loesen die User ihr Problem schon selbst! :)

Teste diese Datei aus deinem Windows\system32 Ordner
22.02.2006 01:09 14.873 dfrgsrv.exe

bitte einmal hier: http://virusscan.jotti.org/ Das ist auch noch eine Zlob Variante. Sie wird aber wohl nur einmal beim installieren der Malware gestartet, wenn ich mich recht erinnere.
Ein Kontrollscan mit Kaspersky waere auch nicht falsch: http://www.kaspersky.com/de/virusscanner
 
oha,

hallo Ralf,

danke für den Hinweis.
Da kam tatsächlich noch was raus.

Datei: dfrgsrv.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH, UPACK

AntiVir
Keine Viren gefunden
-->ArcaVir
-->Heur.Win32 gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
-->BitDefender
-->BehavesLike:Win32.ExplorerHijack gefunden (mögliche Variante)
ClamAV
Keine Viren gefunden
-->Dr.Web
-->Trojan.Popuper gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
-->Kaspersky Anti-Virus
-->Trojan-Downloader.Win32.Zlob.hd gefunden
NOD32
Keine Viren gefunden
-->Norman Virus Control
-->Sandbox: W32/Malware; [ General information ]

* Accesses executable file from resource section.
* File length: 14873 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\ld1090.tmp.

[ Process/window information ]
* Creates an event called ldrInsuranceEventEx.
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread. gefunden

UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Der On-line scan von kaspersky läuft grad durch...
 
zwei infizierte Okjekte gefunden

Name des infizierten Objekts
Virusname

C:\WINDOWS\system32\dfrgsrv.exe
Trojan-Downloader.Win32.Zlob.hd

C:\Programme\pv.exe
not-a-virus:Monitor.Win32.PrcView.3724

Gibt ein bestimme Programmempfehlung eurerseits?

Ich guck ma bei Kaspersky
(Frau Kasperski war übrigens die Sekretärin meiner Schule in Braunschweig)
 
Last edited:
Antivir mit aktivierter Heuristik ist nicht schlecht(leider kann es noch kein Upack, darum hat er den Zlob nicht gefunden). Ansonsten ist KAV immer noch das Mas an dem sich die anderen messen muessen.

Nod32 ist auch nicht schlecht.

Fuer den interessierten ist dieses Heft zu empfehlen.
https://www.heise.de/kiosk/special/ct/06/02/

So kommt man auch an eine kostenlose 1 Jahreslizenz fuer NOD32

Achso, den "Zlob" solltest du loeschen!:)
 
löschen?

Den Zlob löschen?
Einfach so über den Explorer?
Lässt der das einfach so mit sich machen?
Ich will mal hoffen, denn ich finde partout kein entsprechendes Removal Tool für das Scheißvieh (meine Fresse Removal Tool heißt frei übersetzt "Entfernungs Werkzeug" deutsch is manchmal schon merkwürdig)
 
Es ist vollbracht!

Habe die nun von der Festplatte gefegt.
Nochmal mit Kaspersky gecheckt und ich bekam den sympathischen grünen Schriftzug zu sehen "keine infizierten Objekte"

Vielen dank nochmal an Dich Ralf.

Leiben Gruß,
Der Harry
 
You must log in or register to reply here.
Back
Top