Hi Leute, ich habe ein Problem mit dem Trojaner TR/Drop.Zlob.FK.2.A, das sich irgendwie in den system volume informationen eingenistet hat und von antivir nicht richtig bekämpft werden kann. Hab mir jetzt mal HJT runtergeladen und paste einfach mal den scanbericht hier:

Logfile of HijackThis v1.99.1
Scan saved at 15:13:11, on 05.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
E:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RunDll32.exe
E:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\HDD Health\HDDHealth.exe
E:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\DOKUME~1\*****\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [4n70EHAMI] C:\WINDOWS\ribva.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HDDHealth] E:\Programme\HDD Health\HDDHealth.exe -wl
O4 - HKCU\..\Run: [Spyware Doctor] "E:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F52BDBD2-6C94-4669-95C6-4034EC609B11}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - E:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

Deinstalliere "MessengerPlus!3" über Start-->Systemsteuerung-->Software!
lass zusätzlich folgende Datei bei Virutotal auswerten:
C:\WINDOWS\ribva.exe

Mach einen kompletten eScan (Anleitung in meiner Signatur) poste jeweils das Ergebnis von Virustotal und eScan!

Gruß
Daniel

EDIT: Hallo irrlicht!

Hallo soldout,
gib den Namen deines Übeltäters in Google ein.Es werden jede Menge Anleitungen zur Entfernung zu finden sein.

Zitat:

E:\Programme\MessengerPlus! 3\MsgPlus.exe

Das hier deinstallierst du besser.Erstens hast du bereits einen Messenger und zweitens bringt der Plusmessenger jede Menge ungewünschte Werbung mit.
Irrlicht
Edit.
Hallo Sunny

ich hab da C:\WINDOWS\ribva.exe oben bei durchsuchen eingepasted, aber der findet die datei nicht...

ich werde msnplus nicht deinstallieren, man kann das ohne werbung instalieren

EDIT:

erster Bericht http://www.virustotal.com/vt/en/resu...2c537e8afd154a
escan find ich nicht...zu vielen namen auf der seite...

Zitat:

ich werde msnplus nicht deinstallieren, man kann das ohne werbung instalieren

Der Messenger!Plus3 bringt auch so Spyware mit sich, aber mach was du willst, is ja dein Rechner! Wenn dir 2 Leute fast gleichzeitig sagen das es "besser" wäre den Messenger zu deinstallieren, und du tust es nicht, brauchst du dich auch nicht wundern das du immer wieder Probleme kriegst und hier (wahrscheinlich!) im Forum landen wirst..

Und bei dieser Datei wäre ich mir auch nicht so sicher:
C:\WINDOWS\ribva.exe

Normal ist das nicht, zumal kein Programm was du installiert hast mit dieser Datei in Verbindung steht. Und dann lässt sich diese Datei nicht mal finden?! Auch ein zeichen dafür das sie sich vielleicht garnicht finden lassen will?? Wer weiß?
Kann ja ein neuer Trojaner sein den noch keiner kennt? Aber du meinst ja ...

Zitat:

ich meld mich wieder..

jupp, wir sehen uns hier wieder!

wieso reagierst du so aggressiv? es geht um drop.zlob und nicht um msn-plus okay? danke

Bin ich etwas aggressiv? --> JA!

Weil es nichts nützt das ich/wir "Anweisungen" geben, die im Endefekt schlicht missachtet werden! Was nützt is wenn ich/wir dein System "bereinigen" durch eine Ferndiagnose, du Beispielsweise den Messenger!Plus3 weiterhin laufen lässt, dieser nach und nach immer wieder Spyware runterlädt und dein System um ein neues "Infiziert" wird???

Verschenkte Mühe und Zeit!

HA! Da weiß ich aber was besser ^^:
Zitat von ZDnet.de:
Hinweis: In der Installation sind Spyware-Komponenten enthalten. Sie sollten in der Option "Sponsoren-Programm mitinstallieren" deaktiviert werden.

also kann man den kram deaktivieren und das hab ich auch gemacht...
und jetz helf mir bitte im kampf gegen drop-zlob (finde bei google nichts gegen diesen spezifischen typ)

Zitat:

In der Installation sind Spyware-Komponenten enthalten. Sie sollten in der Option "Sponsoren-Programm mitinstallieren" deaktiviert werden.

Tu es oder lass es, ich gebe dir nur noch den Rat nen eScan zu machen, und was herauszufinden über diese Datei:
C:\WINDOWS\ribva.exe

Poste danach den eScan Report und dann sehen wir weiter!

hab doch schon gesagt...ich find das prog nicht, da gibts soviel auswahl O_o,
weil von dem dl-link komm man auf ne seite, wo man das prdukt nochmal aussuchen muss...

Zitat:

weil von dem dl-link komm man auf ne seite, wo man das prdukt nochmal aussuchen muss...

Den Freescanner bitte nehemen, also den letzten auf der Seite!!!
Alle anderen bis auf den ersten haben nichts mit Virenscanns zu tun..

haste vielleicht nicht gesehen, hier nochmal das erste ergebnis:

http://www.virustotal.com/vt/en/resultadof?65cd35e8e5ff8549dd6d270a465c4fe0

und zum escan..

um einfach nur mal zu scannen muss ich noch nicht in save-mode und wiederherstellung ausmachen oder?

Zitat:

Zitat von soldout90

um einfach nur mal zu scannen muss ich noch nicht in save-mode und wiederherstellung ausmachen oder?

So wie es in der Anleitung dazu steht! (Hoffe du hast sie gelesen, und vor allem den Part mit der find.bat!!)

und hier escan(ouuuuch!):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jun 05 20:04:42 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:44 2006 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:44 2006 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:48 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:50 2006 => System found infected with whenu.savenow Spyware/Adware (saveinstwm.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:50 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:55 2006 => System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:55 2006 => System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:55 2006 => System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:55 2006 => System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:58 2006 => System found infected with whenu.savenow Spyware/Adware (saveinstwm.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:04:58 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:05:15 2006 => System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:05:15 2006 => System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:05:15 2006 => System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
Mon Jun 05 20:05:15 2006 => System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Jun 05 20:04:50 2006 => Offending file found: C:\DOKUME~1\*****\LOKALE~1\Temp\saveinstwm.exe
Mon Jun 05 20:04:50 2006 => Offending file found: C:\DOKUME~1\*****\LOKALE~1\Temp\war3_install.exe
Mon Jun 05 20:04:55 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\d2\d2-tools\d2hackit110\loader.exe
Mon Jun 05 20:04:55 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\d2\d2-tools\d2hackit110\mouz\loader.exe
Mon Jun 05 20:04:55 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\d2\d2-tools\loader.exe
Mon Jun 05 20:04:55 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\d2\d2hackit110\loader.exe
Mon Jun 05 20:04:58 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\saveinstwm.exe
Mon Jun 05 20:04:58 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\war3_install.exe
Mon Jun 05 20:05:15 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\d2\d2-tools\d2hackit110\loader.exe
Mon Jun 05 20:05:15 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\d2\d2-tools\d2hackit110\mouz\loader.exe
Mon Jun 05 20:05:15 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\d2\d2-tools\loader.exe
Mon Jun 05 20:05:15 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\d2\d2hackit110\loader.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Jun 05 20:05:13 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
Mon Jun 05 20:05:14 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\emule
Mon Jun 05 20:05:15 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\emule
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Das kommt davon, wenn der Bruder den Rechner zum Diablo2 spielen benutzt -.-

naja nur "Kleinigkeiten"!!!

aber was ist das hier?? (wenn du es nicht kennst, lösche es komplett!)
\Eigene Dateien\d2\d2-tools

1.) lade dir Clearprog

2) Ansonsten lade dir Ad-Aware sowie Spybot S&D lass beide Programme nacheinander durchlaufen, und "immunisiere" danach mit Spybot das System!