# Trojan Downloader



## Unregistrierter Gast (5 April 2006)

Hallo zusammen. 
Hab von einem Arbeitskollegen den Tipp mit dieser Seite bekommen.
Hab lt.KAV, den Trojan Dowloader Win32.zlob.kf auf dem Rechner. Auch auf der Kaspersky Hompage ist nicht so richtig was erzählt zu diesem 
Ungeziefer. Weiß hier evtl jemand bereits etwas über dieses Ungeziefer? Richtet es (das Ungeziefer) großen Schaden an? 
Hab auch mal schon an Kaspersky geschrieben in der Hoffnung auf schnelle Reaktion bzw. Antwort.


----------



## Heiko (5 April 2006)

*AW: Trojan Downloader*

Download - oder auch Loader - sind Progrämmchen, die einen fast beliebigen Trojaner übers Netz nachladen und installieren.
Die sind deswegen so gefährlich weil man nicht weiß, was die danach installieren.
Ich würde auf jeden Fall schauen dass Du das Ding losbringst und danach den Rechner gründlichst scannen.

Also konkret zu Deiner Frage: das kann alles sein, von großer Scheiße bis hin zu "fast nix". Die Tendenz geht aber eher zu ersterem.


----------



## stieglitz (5 April 2006)

*AW: Trojan Downloader*

Gib mal in Google ZLOB ein, da kriegste ne Menge Hinweise.


----------



## stieglitz (5 April 2006)

*AW: Trojan Downloader*

Und schau mal hier vorbei:
http://www.trojaner-board.de/search.php?searchid=648879
Da ist er wohl bekannt.


----------



## Unregistriert (5 April 2006)

*AW: Trojan Downloader*

Hübsch,hübsch. Und wie krieg ich jetzt das blöde Teil wieder los ohne Format C:?


----------



## Unregistriert (5 April 2006)

*AW: Trojan Downloader*



			
				Unregistriert schrieb:
			
		

> Hübsch,hübsch. Und wie krieg ich jetzt das blöde Teil wieder los ohne Format C:?


Hijack Log wie folgt. kann mit dem ganzen Zeugs nicht allzuviel anfangen...


Logfile of HijackThis v1.99.1
Scan saved at 15:56:14, on 05.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

_  Hijack Log in Textdatei umgewandelt  * BT/MOD*_


----------



## stieglitz (5 April 2006)

*AW: Trojan Downloader*

Ich kann dir da leider auch nicht helfen, copiere aber dieses Logfile hier rein:
http://www.hijackthis.de/
Und drück dann auf AUSWERTEN.


----------



## Heiko (5 April 2006)

*AW: Trojan Downloader*



			
				Unregistriert schrieb:
			
		

> Hübsch,hübsch. Und wie krieg ich jetzt das blöde Teil wieder los ohne Format C:?


Was hast Du denn für einen Virenscanner laufen?


----------



## Aka-Aka (5 April 2006)

*AW: Trojan Downloader*



> O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)


üble Kiste...
http://www.sophos.de/virusinfo/analyses/trojzlobfx.html


> Troj/Zlob-FX enthält Funktionalität zum Überwachen von E-Mails, die verschlüsselte E-Mails automatisch entschlüsselt.
> Troj/Zlob-FX fügt Code in mehrere Windows-Prozesse ein, um Firewalls zu umgehen und Erkennung zu vermeiden.


----------



## Unregistriert (6 April 2006)

*AW: Trojan Downloader*



			
				Unregistrierter Gast schrieb:
			
		

> Hallo zusammen.
> Hab von einem Arbeitskollegen den Tipp mit dieser Seite bekommen.
> Hab lt.KAV, den Trojan Dowloader Win32.zlob.kf auf dem Rechner. Auch auf der Kaspersky Hompage ist nicht so richtig was erzählt zu diesem
> Ungeziefer. Weiß hier evtl jemand bereits etwas über dieses Ungeziefer? Richtet es (das Ungeziefer) großen Schaden an?
> Hab auch mal schon an Kaspersky geschrieben in der Hoffnung auf schnelle Reaktion bzw. Antwort.




Hi,
ich habe sehr gute Erfahrungen mit Spyware Doctor gemacht und mir die Software deshalb auch gerade gekauft. Der findet und vernichtet fast alles! - 

_[Kommerzielle Verlinkung entfernt. (bh)]_


----------



## Unregistriert (6 April 2006)

*AW: Trojan Downloader*



			
				stieglitz schrieb:
			
		

> ...copiere aber dieses Logfile hier rein...



Wie kann ich diesen Blödsinn wieder löschen? In hijjack hab keinen entsprechenden Button gefunden?



Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\ahead\incd\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. 

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\elaborate bytes\clonecd\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. 


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\ahead\incd\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. 



  C:\Programme\Spybot - Search & Destroy\TeaTimer.exe    
  C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe    

  C:\Programme\Internet Explorer\IEXPLORE.EXE    
Gut   Laufender Prozess. (IEXPLORE.EXE)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)

Laufender Prozess. (Filzip.exe)
FilZip

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\zubehör\filzip\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. 

  O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)    
Unnötig   Einige Programme sind hier schlecht. Das eingegebene Programm ([4da4616d-7e6e-4fd9-a2d5-b6c535733e22] - Treffer: 4DA4616D-7E6E-4FD9-A2D5-B6C535733E22) wurde überprüft. Trefferquote: 65 %
   Unbedingt fixen!

SiS USB Registry Patch File - fixes the undetectable problem with SiS USB controller on Windows XP. Why is it in the startups though? 
Trefferquote: 99 % (Resultate)

 O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize    
Gut   Kaspersky AV 5.0 
Trefferquote: 99 % (Resultate)



  O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck    
Gut   Spybot - Search & Destroy - free multi-spyware removal tool from Patrick Kolla 
Trefferquote: 85 % (Resultate)

  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe    
Gut   CTFMon is involved with the language/alternative input services in Office XP. CTFMON.exe will continue to put itself back into MSConfig when you run the Office XP apps as long as the Text Services and Speech applets in the Control Panel are enabled. Not required if you don\'t need these features. For more info on ctfmon see here. CTFMON can be disabled from Control Panel, Text & Speech Services 
Trefferquote: 54 % (Resultate)

  O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe    
Gut   Spybot - Search & Destroy - free multi-spyware removal tool from Patrick Kolla. TeaTimer.exe monitors certain changes to the registry and notifies when browser plugins and activeX controls get installed, allowing you to block/reverse this. 
Trefferquote: 99 % (Resultate)

  O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL    
Gut   Der Eintrag Recherchieren wurde als Gut erkannt.
   Wenn der Eintrag 'Recherchieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden. 
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe    
Gut   Der Eintrag Messenger wurde als Gut erkannt.
   Wenn der Eintrag 'Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden. 
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe    
Gut   Der Eintrag Windows Messenger wurde als Gut erkannt.
   Wenn der Eintrag 'Windows Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden. 
  O17 - HKLM\System\CCS\Services\Tcpip\..\{C70926F8-1D17-4F1D-A21E-A6EA593D9645}: NameServer = 195.226.96.131 195.226.96.132    
Eventuell Böse   Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
   Kennen Sie die IP oder die Domäne '195.226.96.131 195.226.96.132' nicht, fixen. 
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe    
Gut   Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
   Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde. 
  O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe    
Gut   Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
   Dieser Dienst (InCDsrv.exe) wurde als gut identifiziert. 
  O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe    
Gut   Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
   Dieser Dienst (iPodService.exe) wurde als gut identifiziert. 
  O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe    
Gut   Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
   Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde. 
  O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe    
Unbekannt   Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
   Unbekannter Dienst. (lxcecoms.exe)


----------



## Devilfrank (6 April 2006)

*AW: Trojan Downloader*

Diese automatische Auswertung kannst Du ignorieren.
Wo genau findet denn der KAV den Zlob.
Der ist ja nun schon eine Weile aktiv. Warum wird der denn vom KAV nicht gekillt?

http://securityresponse.symantec.com/avcenter/venc/data/trojan.zlob.i.html


----------



## Unregistriert (7 April 2006)

*AW: Trojan Downloader*

Keine Ahnung! Beim ersten Durchlauf hat KAV das Teil gefunden und gemeldet. Löschen konnte ers angeblich nicht. Bei den nächsten Durchgängen hat er nix mehr gemeldet - alles i.O. - sagt er. 

Ich hab zwischzeitlich selber mal ein bissl "gebastelt". Obs richtig war - keine Ahnung. Win im abgesicherten modus hochgefahren und KAV drübergejagt. Er hat angeblich 6! Virenverseuchte sachen gefuden und auch gelöscht. SB hat auch mehrere Sachen gefudnen und gelöscht. Nur zwei Sachen gingen nicht. Irgendwelche Log-Dateien. Die konnte ich auch manuell nicht löschen. Naja also hab ich diese Log- Dateien geöffnet und den Inhalt gelöscht. Inhalt geändert-speichern- ja. SB nochmal durchgeschickt im abgesicherten Modus nach 24 Std. Ruhe. Immer noch werden diese Log Dateien angezeigt, aber immer noch ohne Inhalt . Wer jetzt gleich noch mal KAV durchschicken. Wenn der nix findet, ist das Problem hoffentlich(glaube ich) gelöst. Oder doch nicht?

P.S.: Grad kam die Meldung von KAV, das der Angiff "Helkern" erfolgreich abgewehrt wurde. Was zum Teufel ist das denn nun wieder? Wie gefährlich ist das denn nun wieder? Kann man denn nicht mal in Ruhe surfen?

P.P.S: Eine weitere Frage hab ich noch. Gibt es Dialer oder andere Schädlinge am Computer, die sich über DFÜ einwählen können bzw. die Einträge von DFÜ Verbindungen selbständig ändern können?

Danke für die Hilfe und Antworten.


----------



## advisor (12 April 2006)

*AW: Trojan Downloader*

http://www.it-seccity.de/?url=/content/virenwarnung/statistiken/040610_vir_sta_seccity.html


----------

