|
DR/Dldr.Zlob.EA.2,immer am Start Hallo! Also ich bin Benutzer von Windows XP und kämpfe schon seit längerm mit dem Problem das mir AntiVir 7 bei jedem STart diesen Virus/Trojaner(DR/Dldr.Zlob.EA.2) oder was auch immer anzeigt. Wenn ich ihn Lösche und danach Antivir scannen Lasse habe ich allerdings nur ein paar Warnungen die Aussehen wie folgt: C:\WINDOWS\system32\config\default [WARNING] The file could not be opened! C:\WINDOWS\system32\config\default.LOG [WARNING] The file could not be opened! C:\WINDOWS\system32\config\SAM [WARNING] The file could not be opened! C:\WINDOWS\system32\config\SAM.LOG [WARNING] The file could not be opened! C:\WINDOWS\system32\config\SECURITY [WARNING] The file could not be opened! C:\WINDOWS\system32\config\SECURITY.LOG [WARNING] The file could not be opened! C:\WINDOWS\system32\config\software [WARNING] The file could not be opened! C:\WINDOWS\system32\config\software.LOG [WARNING] The file could not be opened! C:\WINDOWS\system32\config\system [WARNING] The file could not be opened! C:\WINDOWS\system32\config\system.LOG [WARNING] The file could not be opened! Tja ich habe alle diese dateien "gegooglet" hab dabei auf einen Englischen Board gelesen das System.Log ein Dropper Vir ist aber ich habe auch gelesen das dies eine system Datei ist! was ist das jetzt? und wie werde ich diesen DR/Dldr.Zlob.EA.2 los? Bitte um rasche Hilfe mfg Gouda410 |
will jetzt nich unhöflich sein mit dem Doppelpost aber hat hirzu niemand etwas zu sagen? |
mOIn die Warnungen scheinen mir i.O., wo (Pfad\Dateiname) aber wird der Zlob gefunden? Erstelle auch mal ein HijackThis Log editiere alle Links (z.B. http -> hxxp) und personlichen Einträge, benenne die HijackThis.exe auch gleich um in z.B. HJT.exe. MFG |
C:\WINDOWS\system32\desktop.ini dort war er das letze mal das ändert sich immer einmal C:\WINDOWS\system32\d2405.tmp usw. werde HijackThis gleich versuchen! |
Meine Ergebnisse: Logfile of HijackThis v1.99.1 Scan saved at 20:20:22, on 12.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.cbs-online.net/mein-geschaeft/index.html R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://acs.pandasoftware.com/...ree/asinst.cab O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe bei der Pandasoftware schaff ich es nicht den Link zu deaktivieren! |
mOIn mich selbst zitier Zitat:
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht --> häkchen raus bei - Geschützte Systemdateien ausblenden - häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden - anhaken - Inhalte von Systemordnern anzeigen - bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen --> Übernehmen Führe anschließend ein Escan durch und speichere dir diese Punkte als txt Datei auf den Dektop 1) Lege dir einen Ordner c:\bases_x an 2) lade dir mwav.exe 3) Entpacke die Datei (mit einem Zip-Programm WinRar, Winzip o.ä.die Datei muß entpackt werden) mwav.exe in diesen Ordner c:\bases_x . 4) Führe die Datei kavupd.exe aus damit Escan upgedatet wird. 5) Starte den Rechner neu und wechsel in den abgesicherten Modus (beim start F8 drücken) 6) Führe in c:\bases_x mwavscan.com aus 7) die Einstellungen --> unter Scan Option --> Memory, Drive (all Local Drives), Registry und Services sowie Scan all Files sollten aktiviert sein, dann den Button SCAN drücken. 8) Nach dem Scan (dauert oftmals über 1,5h) starte deinen Rechner neu und gehe in den normal Modus 9) Öffne das mwav.log im Ordner C:\Bases_X --> Bearbeiten --> Suchen --> infected oder tagged eingeben --> Weitersuchen --> Treffer markieren/kopieren und ins Forum posten. MFG |
Hallo wiedermal sorry das ich nichts von mir höhren lies hatte nämlich ziemlichen Schulstreß! Was ich persöhnlich jetzt lustig finde das der Vir mir ohne Grund nicht mehr angezeigt wird darauf hab ich alles gescannt was man scannen kann und nichts! er scheint weg zu sein! ist das möglich? vll durch ein Antiviren Update? und vorallem soll ich diesen ganzen Systemchecks jetzt noch machen? |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board