Trojan-Downloader.Win32.Zlob.jc

[Frederick]

Hi,

ich kenne mich absolut nicht aus mit virenentfernen, kann mir da jemand helfen?

folgendes problem in einer kurzen zusammenfassung (hab kaspersky und spybot drauf):


kaspersky findet virus namens Trojan-Downloader.Win32.Zlob.jc - kann ich aber nicht löschen, weil ich angeblich keine rechte hätte oder der zugriff auf das objekt verboten ist.

nachdem ich spybot hab laufen lassen, hat mir das programm folgendes angezeigt:

Problem:

PestTrap (konnte gelöschet werden)
ClassID
HKEY_CLASSES_ROOT\CLSID\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}

Smitfraud-C. (konnte gelöscht werden)
Einstellungen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\nvctrl.exe

Vcodec (konnte NICHT gelöscht werden)
Daten
C:\WINDOWS\system32\ncompat.tlb

Jedesmal, wenn ich Spybot durchlaufen lasse, zeigt er mir immerwieder die drei fehler an und jedesmal kann ich alles löschen, bis auf diese ncompat.tlb datei.
Und jedesmal. wenn ich meine IE explorer öffne, kommt folgendes:

Attention! Your system is under control of remote computer with IP address 227.4.167.118. The remote computer has access to the following folders on your PC:
- \WINDOWS\System32
- \Program Files\Internet Explorer
- \My Documents
- Drive C:\ files
Click here to download official anti-spyware software

Your private info is collected by W32.Sinnaka.A@mm
Your IP address: 88.73.209.213

Your Country: DE, Germany

They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Operation System: OS Windows

Risk status for futher investigation: VERY HIGH RISK

Time of investigation: Sun Mar 26 17:08:11 PST 2006


Kann mir jemand sagen (leicht verständlich ), wie ich diesen trojaner runterbekomme, bzw. die drei fehler, die mir spybot anzeigt löscehn kann?

 

[piti22]

Als erstes solltest Du mal ein HijackThis Log hier reinstellen, um zu sehen was schon so alles auf deinem PC drauf ist.

Da Zlop.jc ein sogenannter Downloader ist, was bedeutet das er Malware aus dem Internet nachlädt und dann installiert.

HijackThis kannst Du hier runterladen
http://www.merijn.org/files/hijackthis.zip
dannach entpackst Du es in einen eigenen Ordner (nicht im TempOrdner ausführen) und startest die HijackThis.exe. Dann klickst Du den Button "Do a system Scan and save a logfile" an. Wenn das Programm fertig ist, postest Du den Logfile hierher, damit man ihn sich anschauen kann.

Alles weitere dann.

gruss piti22

 

[Frederick]

hab jetz 2 dateien mit killbox gelöscht, welche wahrscheinlich ausschlaggebend für das problem waren und jetz scheints wieder zu gehenn.... komisch... jedenfalls zeigt mir weder spybot noch adaware oder kaspersky irgendeinen fehler/virus mehr an...


ach ja... das sind die dateien gewesen

C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\dfrgsrv.exe

der trojaner hatte binnen kürzester zeit über 100 dateien aus system 32 verseucht....

hab jetz nochmal spybot durchlaufen lassen mit folgender nachricht:

Windows Security Center.FirewallOverride
Einstellungen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Security Center\FirewallOverride!=dword:0

und 2 verfolgende cookies - Avenue A,Inc undValueClick (irgendwelche medienagenturen oder ähniches...)

konnte aber alles behoben werden..



p.s. soll ich trotzdem nochmal einen hijackthis log hier reinstellen?

 

[Digit]

HI Frederick,

du lässt dich über zwei Foren überkreuz helfen.
Dein Helfer hier wird das verwirren, da er nicht weiß was du schon gemacht hast.

http://www.trojaner-board.de/showthread.php?t=27875

Gruß Digit

 

[Frederick]

hehe, gut erkannt wollte nur auf nummer sicher gehen.

hab das problem aber soweit selbst geregelt. den trojaner hatte ich runterbekommen, indem ich die beiden dateien gelöscht habe und nochmal spybot durchlaufen ließ (siehe letztes posting) und das andere mit dem microsoft security center war einfach nur, weil meine firewall aus war.

trotzdem danke an beide foren. ich finds bemerkenswert dass manche leute so viel zeit in probleme anderer user investieren. :bigthumb:

 

[Digit]

@Frederick

du ähm,...ich habe gar keine Firewall an, nicht mal die von XP, auch kein Router und hab mir so was noch nie eingefangen. :scratch:
Mußt du natürlich nicht nachmachen.

PS: versuch mal dein S&D 1.4 und dein Virenscanner im abgesicherten Modus laufen zu lassen, dort kann mehr gefunden werden.

Digit

 

[Frederick]

mh komisch... hab spybot jetzt mal wie du es gesagt hast im abgesicherten modus laufen lassen und jetz kommt wieder der gleiche fehler

Windows Security Center.FirewallOverride
Einstellungen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Security Center\FirewallOverride!=dword:0

und dieser Avenue A, Inc. Cookie ist wieder drauf, wobei ich bei diesem im Internet nichts besonderes finden kann.
auch wenn ich in meinen internetoptionen alle cookies sperren lassen, bis auf die, die notwendig sind, kommt er auch immerwieder...

 

[Frederick]

Windows Security Center.FirewallOverride
Einstellungen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Security Center\FirewallOverride!=dword:0

mmh, kann es sein, dass spybot mir das jedesmal anzeigt, wenn ich änderungen an meiner firewall vornehme (ein/ausschalte). das hatte ich nämlich 2 mal gemacht und da der fehler in der reg datenbank auftaucht, wäre es doch möglich, dass das einfach nur daran lag, oder?

 

[raman]

Ja, das ist moeglich. Einige dieser "Sicherheitsprogramme" moechten ihren Status gerne selber verwalten und deaktivieren den entsprechenden Eintrag. Leider machen das auch "boese" Programme. Aus diesem Grund meldet Spybot diese Veraenderungen. Wenn du das wirklich genau auf deine Firewall und nicht auf irgendwelche Nachwirkungen des Downloaders schieben kannst, solltesat du den Eintrag von der Suche ausschliessen(uebner Erwewiteren Modus/Einstellungen/Produktaussnahmen)