trojan-downloader-zlob HILFE!!!

[tyco]

Das gehört zur Nvidia - Grafikkartensoftware.

[Terementor]

Danke 

Übrigens das virus alert icon hängt da immernoch rum...

Hier das file nach dem fixen. Hab aber kein neustart gemacht sollte ich?


Logfile of HijackThis v1.99.1
Scan saved at 20:45:19, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Terementor\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147373318908
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[tyco]

Das sieht gut aus. Ob es auch nach einem Neustart so ist kann ich Dir nicht garantieren.

[Terementor]

no risk no fun. wie ich das hasse  ok mom

übrigens das icon virus alert ist noch im ohne neustart da

[Terementor]

so hab hochgefahren das icon is immernoch da grummel. hab mcih ans inet noch net angeschlossen....


lasse grad meine scanner laufen

Logfile of HijackThis v1.99.1
Scan saved at 20:58:05, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Terementor\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147373318908
O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\SYSTEM32\winzdn32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



antispyware und adaware finden nix aber ne idee wie ich dieses icon wegbekommen? screenshots stehenn auf der seite davor hier im forum

[tyco]

Dein Problem ist dieser Eintrag:

O20 - Winlogon Notify: winzdn32 - C:\WINDOWS\SYSTEM32\winzdn32.dll

Deaktiviere die Systemwiederherstellung und fixe den Eintrag im abgesicherten Modus. Dann suchst Du nach der Datei winzdn32.dll und löscht sie manuell, falls sie noch irgendwo auftaucht.

Die winzdn32.dll hinterläßt auch Einträge in der Registry. Von daher solltest Du auch einmal die Registry nach winzdn32.dll-Einträgen durchsuchen und entfernen.

[Terementor]

wo kann ich die systemwiederherstellung deaktivieren? wusste es mal habs aber leider wieder vergessen.

danach unter suche ok   einfach mit löschen löschen oder killbox?

wie dursuch ich die regystry? manuell komm ich über ausführen regedit rein aber alles mit hand durchsuchen ne oder?

[Terementor]

das hat übrigens adaware doch noch gefunden:


MRU List Object Recognized!
    Location:          : C:\Dokumente und Einstellungen\Terementor\recent
    Description        : list of recently opened documents


MRU List Object Recognized!
    Location:          : S-1-5-21-583907252-1844823847-682003330-1004\software\microsoft\windows\currentversion\applets\regedit
    Description        : last key accessed using the microsoft registry editor


MRU List Object Recognized!
    Location:          : S-1-5-21-583907252-1844823847-682003330-1004\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
    Description        : list of recent programs opened


MRU List Object Recognized!
    Location:          : S-1-5-21-583907252-1844823847-682003330-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
    Description        : list of recently saved files, stored according to file extension


MRU List Object Recognized!
    Location:          : S-1-5-21-583907252-1844823847-682003330-1004\software\microsoft\windows\currentversion\explorer\recentdocs
    Description        : list of recent documents opened


MRU List Object Recognized!
    Location:          : S-1-5-21-583907252-1844823847-682003330-1004\software\microsoft\windows\currentversion\explorer\runmru
    Description        : mru list for items opened in start | run

[tyco]

Registrierungseditor > Bearbeiten > Suchen

Deaktivierung der Systemwiederherstellung von  Windows XP:

   1. rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen.
   2. Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen.
   3. Diesen Vorgang mit OK bestätigen.

[Terementor]

problem...

hab gefixed  in der registry gelöscht und wollte es unter suche löschen mit killbox der sagt geht net. und jetzt habe ich keinen zugriff mehr auf den desktop alles. leer. systemwiederherstellung ist aus... neustart???


hab noch zugriff auf taskmanager durch tastenkomibnation und regedit war noch offen


windowstaste + e gehtnicht. fehler ton kommt keine meldung...

[tyco]

Ja klar Neustart. Eine andere Möglichkeit hast Du anscheinend nicht.

[Terementor]

sorry 3te seite net gesehen und ich wart hier bis anschimmel mom

[Terementor]

also registry gelöscht und vorher gefixed aber rechtsklick löschen geht bei winzdn32.dll net. was nun?

fehlermeldung: zugriffverweigert 

datei ist unter eigentschaften nicht schreib geschützt. daher wird sie wohl noch verwendet oder was?

[TMK]

Im abgesicherten Modus kannst die Datei auch nicht löschen.

[Terementor]

lol warum sagt mir das keiner vorher^^   ok mom

[Terementor]

hm im normalen modus ist es das gleiche. er machts net

mit killbox mit neustart löschen?

[tyco]

Benenne die winzdn32.dll um z.B. in winold32.dll und starte den Rechner neu.

Versuche die umbenannte Datei nach einem Neustart zu löschen.

[Terementor]

lies sich löschen. hab auch in der registry gelöscht. mal neu starten


ist aber immernoch das icon da, aber hijackthis hat den eintrag net mehr..

müssen morgen weiter reden muss off. hoffe euch fällt was ein. nochmal danke

[Terementor]

so der spass läuft momentan woh hier weiter:

http://board.protecus.de/t19429-lastpage.htm#bottom

mal gucken ob ich da weiter komm. aber nochmal riesen grosses DANKESCHÖN!