Hallo!

Erstmal Glückwunsch an die Board Betreiber! Tolle hilfreiche Seiten habt Ihr hier!



Ich benötige eure Hilfe!
Habe mir den Drop.Agent.arv eingefangen, und werde Ihn nicht mehr los

AVP meldet Ihn; aber löschen funktioniert nicht, nach kurzer Zeit ist das Ding wieder da!!
Als Quelle wir angegeben:
D:\System Volume Information\_restore\{14705A09-357A-43F9-811D-322B-52ECCD9A}\RP66\A0036784.exe

Kann aber auf das Verzeichnis nicht zugreifen!!!

Wäre super, Ihr mir helfen würdet!!!

Danke

Wollle

Mein Scan:

Logfile of HijackThis v1.99.1
Scan saved at 08:24:59, on 28.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\cisvc.exe
D:\WINDOWS\system32\crypserv.exe
D:\PROGRA~1\PANASO~1\REMOTE~1\kmentsrv.exe
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\nvraidservice.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
D:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
D:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
D:\Programme\iPod\bin\iPodService.exe
D:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\System32\wbem\unsecapp.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\cidaemon.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Wolfgang\Desktop\virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {ADF5858E-4023-41AD-976A-D2368FF53221} - D:\WINDOWS\System32\cabinetd.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DataLayer] D:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PcSync] D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: gwum.lnk = D:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Statusanzeige.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - D:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - D:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: KME Remote Server - Unknown owner - D:\PROGRA~1\PANASO~1\REMOTE~1\kmentsrv.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

mOIn Wollle,
gibt es einen guten Grund warum du ohne Service Packs und MS-Updates
im Netz unterwegs bist ? Nein, den gibt es nicht.
Lasse diese Datei
O2 - BHO: (no name) - {ADF5858E-4023-41AD-976A-D2368FF53221} - D:\WINDOWS\System32\cabinetd.dll
hier
http://virusscan.jotti.org/de/
und/oder hier
http://www.virustotal.com/en/indexf.html
auswerten (kann bisschen dauern), poste die Ergebnisse.
MFG

och da ist noch mehr im Busch.

ServicePack 2

Vielen Dank für die Antwort!

Hier die Logfiles von Virus Total:

Zitat:

Complete scanning result of "cabinetd.dll", received in VirusTotal at 07.29.2006, 07:41:01 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 07.28.2006 ADSPY/BHO.aa.1
Authentium 4.93.8 07.29.2006 W32/Downloader.MNI
Avast 4.7.844.0 07.28.2006 Win32:Trojano-3384
AVG 386 07.28.2006 no virus found
BitDefender 7.2 07.29.2006 Trojan.BHO.WebPrefix.A
CAT-QuickHeal 8.00 07.28.2006 no virus found
ClamAV devel-20060426 07.27.2006 no virus found
DrWeb 4.33 07.28.2006 Adware.Bho
eTrust-InoculateIT 23.72.81 07.29.2006 no virus found
eTrust-Vet 12.6.2314 07.28.2006 no virus found
Ewido 4.0 07.28.2006 Trojan.BHO.b
Fortinet 2.77.0.0 07.29.2006 Adware/KeenValue
F-Prot 3.16f 07.28.2006 security risk named W32/Downloader.MNI
F-Prot4 4.2.1.29 07.28.2006 W32/Downloader.MNI
Ikarus 0.2.65.0 07.28.2006 AdWare.Win32.BHO.aa
Kaspersky 4.0.2.24 07.29.2006 not-a-virus:AdWare.Win32.BHO.aa
McAfee 4817 07.28.2006 potentially unwanted program Adware-KeenValue
Microsoft 1.1508 07.27.2006 no virus found
NOD32v2 1.1683 07.28.2006 a variant of Win32/Adware.BHO.AA
Norman 5.90.23 07.28.2006 W32/BHO.X
Panda 9.0.0.4 07.28.2006 Adware/KeenValue
Sophos 4.08.0 07.29.2006 no virus found
Symantec 8.0 07.29.2006 no virus found
TheHacker 5.9.8.182 07.27.2006 Adware/BHO.aa
UNA 1.83 07.28.2006 Trojan.Win32.BHO
VBA32 3.11.0 07.28.2006 suspected of Trojan-Downloader.Agent.49
VirusBuster 4.3.7:9 07.28.2006 no virus found

und Jottis:

Zitat:

cabinetd.dll
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
Adware-Spyware/BHO.aa.1 adware gefunden
ArcaVir
Keine Viren gefunden
Avast
Win32:Spyware-gen. gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.BHO.WebPrefix.A gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Adware.Bho gefunden
F-Prot Antivirus
W32/Downloader.MNI gefunden
Fortinet
Adware/KeenValue gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.Win32.BHO.aa gefunden
NOD32
a variant of Win32/Adware.BHO.AA application gefunden
Norman Virus Control
W32/BHO.X gefunden
UNA
Trojan.Win32.BHO gefunden
VirusBuster
Keine Viren gefunden
VBA32
Trojan-Downloader.Agent.49 gefunden (mögliche Variante)

Wollle

Tja wie wärs denn, wenn du den mal löschst? P.S. hab nicht nachgeschaut, obs nen Backdoor ist. Sieht aber auf den Logs nicht so aus?

Ja - gute Idee.....

siehe meinen Beitrag oben:

Zitat:

Als Quelle wir angegeben:
D:\System Volume Information\_restore\{14705A09-357A-43F9-811D-322B-52ECCD9A}\RP66\A0036784.exe

Kann aber auf das Verzeichnis nicht zugreifen!!!

Wollle

Guten Morgen,

@Wolle

Deaktiviere die Systemwiederherstellung. Rechner Neustarten, Systemwiederherstellung kann wieder aktiviert werden.
Poste ein neues HJI LOG und bringe Dein System endlich auf den aktuellen Stand!
Sonst bist hier Dauergast.....


Gruß Mellosun

OK- hab ich gemacht!

Zumindest, bekomme ich jetzt keine Virus-Meldung mehr....

Zitat:

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\System32\ZoneLabs\isafe.exe
D:\WINDOWS\System32\cisvc.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\crypserv.exe
D:\PROGRA~1\PANASO~1\REMOTE~1\kmentsrv.exe
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\nvraidservice.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
D:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
D:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
D:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\System32\wbem\unsecapp.exe
D:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Skype\Phone\Skype.exe
D:\WINDOWS\System32\cidaemon.exe
D:\Dokumente und Einstellungen\Wolfgang\Desktop\virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DataLayer] D:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [PcSync] D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: gwum.lnk = D:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Statusanzeige.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - D:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - D:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: KME Remote Server - Unknown owner - D:\PROGRA~1\PANASO~1\REMOTE~1\kmentsrv.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

..zugegeben; ich war "etwas" nachlässig; was muss ich alles auf den neuesten Stand bringen.... ( bin eigentlich kein "Vielsurfer"....)

Danke!

Hallo,
um es kurz sagen : Einfach alles was einen Update-Knopf hat....:aplaus:
Das fängt bei MS an und hört bei "java" noch lange nicht auf....
Maleware frägt nicht nach Viel,-oder Wenigsurfer,einziges Kriterium für die Viecher ist :Ist der Surfer XY dumm genug mit einem ungepatchten System im Netz zu sein ? Wenn ja auf ihn mit Gebrüll...
Irrlicht