Hallo!

Also ich bin Benutzer von Windows XP und kämpfe schon seit längerm mit dem Problem das mir AntiVir 7 bei jedem STart diesen Virus/Trojaner(DR/Dldr.Zlob.EA.2) oder was auch immer anzeigt. Wenn ich ihn Lösche und danach Antivir scannen Lasse habe ich allerdings nur ein paar Warnungen die Aussehen wie folgt:

C:\WINDOWS\system32\config\default
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system.LOG
[WARNING] The file could not be opened!

Tja ich habe alle diese dateien "gegooglet" hab dabei auf einen Englischen Board gelesen das System.Log ein Dropper Vir ist aber ich habe auch gelesen das dies eine system Datei ist! was ist das jetzt? und wie werde ich diesen DR/Dldr.Zlob.EA.2 los?
Bitte um rasche Hilfe mfg Gouda410

will jetzt nich unhöflich sein mit dem Doppelpost aber hat hirzu niemand etwas zu sagen?

mOIn

die Warnungen scheinen mir i.O., wo (Pfad\Dateiname) aber wird der Zlob gefunden?

Erstelle auch mal ein HijackThis Log
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge, benenne die HijackThis.exe auch gleich um in z.B. HJT.exe.

MFG

C:\WINDOWS\system32\desktop.ini
dort war er das letze mal das ändert sich immer
einmal C:\WINDOWS\system32\d2405.tmp usw. werde HijackThis gleich versuchen!

Meine Ergebnisse:

Logfile of HijackThis v1.99.1
Scan saved at 20:20:22, on 12.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.cbs-online.net/mein-geschaeft/index.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://acs.pandasoftware.com/...ree/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

bei der Pandasoftware schaff ich es nicht den Link zu deaktivieren!

mOIn

mich selbst zitier

Zitat:

benenne die HijackThis.exe auch gleich um in z.B. HJT.exe.

Mache alle Dateien und Ordner auf deinem Rechner sichtbar :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Geschützte Systemdateien ausblenden -
häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen --> Übernehmen

Führe anschließend ein Escan durch und speichere dir diese Punkte als txt Datei auf den Dektop

1) Lege dir einen Ordner c:\bases_x an
2) lade dir mwav.exe
3) Entpacke die Datei (mit einem Zip-Programm WinRar, Winzip o.ä.die Datei muß entpackt werden) mwav.exe in diesen Ordner c:\bases_x .
4) Führe die Datei kavupd.exe aus damit Escan upgedatet wird.
5) Starte den Rechner neu und wechsel in den abgesicherten Modus (beim start F8 drücken)
6) Führe in c:\bases_x mwavscan.com aus
7) die Einstellungen --> unter Scan Option --> Memory, Drive (all Local Drives), Registry und Services sowie Scan all Files sollten aktiviert sein, dann den Button SCAN drücken.
8) Nach dem Scan (dauert oftmals über 1,5h) starte deinen Rechner neu und gehe in den normal Modus
9) Öffne das mwav.log im Ordner C:\Bases_X --> Bearbeiten --> Suchen --> infected oder tagged eingeben -->
Weitersuchen --> Treffer markieren/kopieren und ins Forum posten.

MFG

Hallo wiedermal sorry das ich nichts von mir höhren lies hatte nämlich ziemlichen Schulstreß! Was ich persöhnlich jetzt lustig finde das der Vir mir ohne Grund nicht mehr angezeigt wird darauf hab ich alles gescannt was man scannen kann und nichts! er scheint weg zu sein! ist das möglich? vll durch ein Antiviren Update? und vorallem soll ich diesen ganzen Systemchecks jetzt noch machen?

mOIn auch

hm, OK aber ich würde dem Braten nicht wirklich trauen und mindestens zusätzlich einen Onlinescan bei Panda und Kaspersky machen.
Die Onlinescans müssen mit den Internet Explorer gemacht werden, da da ActiveX hierfür benötigt wird.

MFG