Hi
Ganz ehrlich: leider muss ich jetzt dieses board auch selber benutzen... nix mehr mit nur lesen. *gg*
Denn ich hab mir gestern mit einer gewissen .exe datei gleich mal einige Spyware und troyaner eingefangen... ich hab jetzt scho einige stunden am pc rumgebastelt. einiges hab ich löschen können. aber an tv media scheitere ich immer wieder und ich fürchte es sind auch noch ein paar andere progs...
könnt ihr mir vielleicht helfen, wie ich die am besten wieder weg bekomm????

hier mal mein log von Hijack This:

Logfile of HijackThis v1.98.2
Scan saved at 22:50:36, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
D:\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Grisoft\AVGFRE~1\avgupsvc.exe
D:\ßLogitech\iTouch\iTouch.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\System32\MsPMSPSv.exe
D:\Winamp 5\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Messenger\msmsgs.exe
D:\Pulse\Pulse.exe
D:\Opera\opera.exe
D:\WinRAR\WinRAR.exe
D:\shared\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINNT\System32\SearchBar.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:\WINNT\neti.dll
O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - C:\WINNT\3_0_1browserhelper3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:ßLogitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp 5\winampa.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] D:\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Pulse] D:\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5C45E1A-D091-4ED1-B83C-FCBA3370FA13}: NameServer = 209.47.15.118,64.157.143.38,
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1



ich hoff ihr könnt mir helfen!!!
thx schon mal
clee

@ clee

besser aufpassen beim lesen ;-) Eigentlich hättest Du wissen können und müssen, dass wir mit dem SP1 nicht zufrieden sind, also --> Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com

bitte überprüfe mit virusscan.jotti.dhs.org:

D:\Pulse\Pulse.exe

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:\WINNT\neti.dll
O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - C:\WINNT\3_0_1browserhelper3.dll
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen:
(Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINNT\System32\SearchBar.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.web.de/
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll

boote in den normalen Modus.

beende:
Tvm.exe

lösche:
C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
C:\WINNT\neti.dll
C:\WINNT\3_0_1browserhelper3.dll
C:\Programme\TV Media\Tvm.exe

Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Öffne die "mwav.log" und teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, die Namen der Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle dann ein weiteres Hijack This Logfile und poste es.

SD

hi SD!
hab jetzt gestern nacht des tv media teil doch noch runter bekommen. nach so ner englischen anleitung (http://forums.devshed.com/t159811/s....hlight=tvm.exe). ich hoff ich hab alles richtig gemacht. was ich genau gemacht hab:

1. tvm.exe beenden (war scho beendet. also doch nicht *gg*)
2. hijack this: das gefixt:
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:\WINNT\neti.dll
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office10\OSA.EXE
3. in den abgesicherten modus gebootet und dann C:\Programme\Tv Media gelöscht.

das wars schon. und es hat funktioniert! ich hab danach nochmal hijack this durchlaufen lassen, das log online auswerten lassen, und dann noch das gefixt:

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - C:\WINNT\3_0_1browserhelper3.dll
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINNT\System32\SearchBar.htm


So in etwa hab ich des alles gemacht. ich kann mich nicht mehr so genau erinnern, ob ich auch ganz genau das gefixt hab, bzw, hab ich noch ein zwei sachen mehr gefixt.


so, jetzt zu dem ganzen zeugs, was du mir noch so geraten hast:

sp2. ja, das hatte ich auch schon auf dem pc. allerdings hat dann mein internet nicht mehr funktioniert. ich hab den fehler nie gefunden, deswegen hab ichs wieder deinstalliert. (und inzwischena auch mein system neu aufgesetzt...)

pulse.exe ist ein kleines programm, das ich immer benutz, es enthält ziemlich sicher keine viren. habs jetzt aber au nicht geprüft....

C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL hab ich schon vorher irgendwann gelöscht.. hab halt nur gemerkt, dass es nicht von mir war...
C:\WINNT\neti.dll hab ich nicht gefunden. auch nicht mir der suchfunktion...
C:\WINNT\3_0_1browserhelper3.dll das gleiche wie mit neti.dll
C:\Programme\TV Media\Tvm.exe wie gesagt: der ganze ordner ist schon weg....


eScan und ein weiteres hijack this log werd ich gleich mal machen...

soweit mal thx!!!
clee

so, bin jetzt endlich dazu gekommen, die beiden teile durchlaufen zu lassen. hier die logs:

hijack this:

Logfile of HijackThis v1.98.2
Scan saved at 17:42:09, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
D:\Grisoft\AVGFRE~1\avgamsvr.exe
D:\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\ßLogitech\iTouch\iTouch.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\System32\MsPMSPSv.exe
D:\Winamp 5\winampa.exe
D:\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Messenger\msmsgs.exe
D:\Pulse\Pulse.exe
D:\Office\Office10\OUTLOOK.EXE
D:\Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Opera\opera.exe
D:\WS_FTP Pro\wsftpgui.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\svchost.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
D:\shared\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:ßLogitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp 5\winampa.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AVG7_CC] D:\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Pulse] D:\Pulse\Pulse.exe -splash
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.4 192.168.0.1





beitrag zu lang.... der escan is im nächsten post...

so, habs jetzt aufgegeben, des log als thread reinzuschreiben. denn der letzte abschnitt war immer noch zu lang....
ich habs jetzt einfach mal hier als .txt datei reingestellt, falls es doch wichtig ist.....:

http://web487.server2.dce4u.de/escan.txt

aja, und ich hätts jetzt fast vergessen:

anzahl der viren: 117
desinfizierte dateien: 0
gelöschte dateien: 18
unbenannte dateien: 2
fehler: 3

jetzt muss ich leider immer mehr finden, was nicht mehr geht:
1. ich kann die windowsupdate seite nicht mehr öffnen
2. ich kann beim IE nicht mal mehr unter internetoptionen gehen: Dieser Prozess wurde auf Grund von Einschränkungen die für Ihren Computer gelten abgebrochen. Wenden Sie sich an den Systemadministrator.....

ahh!!! kann mir irgendjemand sagen, was noch zu tun ist?? vielen dank im voraus!!!
clee

mh, irgendwie will mir hier leider keiner mehr antworten....
vielleicht liegts daran, dass der eScan so lang ist??? ich bin den jetzt mal selber durchgegangen und fass jetzt mal kurz zusammen, da ziemlich vieles doppelt bzw. noch öfter vorkommt:

File C:\WINNT\System32\angelex.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken. ...(seeeehr oft)
File C:\WINNT\label.exe infected by "Trojan.Win32.StartPage.nv" Virus. Action Taken: File Deleted. ...(7x)
File C:\WINNT\system32\cnbjmon2.exe tagged as not-a-virus:AdWare.ToolBar.VB.a. No Action Taken.
File C:\WINNT\system32\in10b6s.dll tagged as not-a-virus:AdWare.EZula.m. No Action Taken.
File C:\WINNT\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.
File C:\MemoryWatcher_b.exe infected by "Backdoor.VB.oq" Virus. Action Taken: File Renamed.
File C:\Overpro-347.exe tagged as not-a-virus:AdWare.ToolBar.VB.a. No Action Taken.
File C:\SEPinst.exe infected by "Trojan.Win32.Septic.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0005966.exe infected by "Trojan.Win32.VB.od" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006018.exe tagged as not-a-virus:AdWare.EZula. No Action Taken. ...(2x)
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006055.dll tagged as not-a-virus:AdWare.ToolBar.FWN.a. No Action Taken.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006073.exe tagged as not-a-virus:AdWare.PurityScan.v. No Action Taken.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006075.exe tagged as not-a-virus:AdWare.Midadle.b. No Action Taken. ...(3x)
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006082.exe tagged as not-a-virus:AdWare.MediaTickets.h. No Action Taken.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006090.exe tagged as not-a-virus:AdWare.WinFetcher.c. No Action Taken. ...(2x)
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006092.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken. ...(2x)
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006094.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006095.exe tagged as not-a-virus:AdWare.ToolBar.FWN.a. No Action Taken.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006096.exe tagged as not-a-virus:AdWare.TotalVelocity.v. No Action Taken.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006159.dll infected by "Trojan.Win32.Septic.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006160.exe tagged as not-a-virus:AdWare.F1Organizer.n. No Action Taken.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006474.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006475.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006505.exe infected by "Backdoor.VB.oq" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006506.exe infected by "Trojan.Win32.Septic.a" Virus. Action Taken: File Deleted.
File D:\Opera\profile\cache4\opr02EYC.exe tagged as not-a-virus:PornWare.Dialer.PluginAccess.gen. No Action Taken.
File D:\shared\backups\backup-20041123-235132-521.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted.
File D:\shared\backups\backup-20041123-235132-785.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted.
File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006031.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.
File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006507.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted.
File D:\File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP45\A0006031.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.
File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006507.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted.
File D:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006508.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted.\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006508.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted.

so, ich hab bei einigen dateien noch die anzahl hinten dran geschrieben. was mich jetzt selber wundert ist, dass fast alle dateien im Ordner "System Volume Information" liegen?? was ist das für ein Ordner?? ich kann nicht darauf zugreifen, nur über einen direktlink in einen _restore{...} Ordner. Ist mein System eigentlich überhaupt noch zu retten?? oder muss ich es neu aufsetzen?? das wäre extrem sch... äh blöd.

vielleicht antwortet ja jetzt mir jemand.. wär schön!

clee

Hallo clee,

tut mir leid, dass Du noch keine Antwort bekommen hast. Dein Posting ist leider untergegangen, und ich hatte in den letzten Tagen keine Zeit, mit zu lesen. Ich führe hier in Wiederholung Deines Postings die wichtigsten und schlimmsten Viren auf ....

Zitat:

Zitat von clee

File C:\MemoryWatcher_b.exe infected by "Backdoor.VB.oq" Virus. Action Taken: File Renamed.
File C:\SEPinst.exe infected by "Trojan.Win32.Septic.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006474.dll infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006475.dll infected by "TrojanClicker.Win32.Delf.z" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{4A8781D5-BA92-4138-B921-5434E20A6637}\RP47\A0006505.exe infected by "Backdoor.VB.oq" Virus. Action Taken: File Renamed.

so, ich hab bei einigen dateien noch die anzahl hinten dran geschrieben. was mich jetzt selber wundert ist, dass fast alle dateien im Ordner "System Volume Information" liegen?? was ist das für ein Ordner?? ich kann nicht darauf zugreifen, nur über einen direktlink in einen _restore{...} Ordner. Ist mein System eigentlich überhaupt noch zu retten?? oder muss ich es neu aufsetzen??

Hierzu Information von Sophos:
Trojan.Win32.Septic.-, Troj/SpyVB-, Troj/Delf-

bitte jeweils "Erläutert" und "Erweitert" beachten. Du hattest etliche Viren mit Backdoor-Funktionalität auf Deinem System. Das bedeutet, dass Dein System kompromittiert ist und formatiert werden sollte. Beachte hierzu bitte den Rat von Lutz zu Datensicherung und Cidre's Rat.

Es reicht leider nicht, Würmer mit Backdoor-Funktionalität zu löschen, siehe dazu Entfernung von Schädlingen und Kompromittierung unvermeidbar?.

Hier findest Du vielleicht eine Antwort zu Deiner Frage zum Ordner "System Volume Information".

SD

mh, damit dass ich mein System neu aufsetzen hab ich jetzt schon ziemlich gerechnet. Ich versteh auch ganz klar warum, und hab mir auch die ganzen Links und Begründungen durchgelesen.
Aber wie gefährlich sind/können die Reste auf meinem System (sein)??? Ich meine, ich geh jetzt einfach mal davon aus, dass ich einer von seeehhhr vielen (schätze mehrere hundert täglich) war, der dieses "Packet" von Trojanern und Viren heruntergeladen und ausgeführt hat. Naja, und ich denke ich gehöre zu wenigen, die das sofort gemerkt haben, und innerhalb von 2-3 Tagen "alles" wieder deinstalliert haben. Ich denke da einfach, da würde doch dann jeder "Hacker" eines von den vielen, noch total verseuchten Systemen bevorzugen.

Zur ganz konkreten Frage:
Wäre es sehr gefährlich und fahrlässig, wenn ich jetzt dieses System noch ein, zwei Monate drauf lassen würde? Gerade, weil ich einige Homepages mache und daher FTP-Verbindungen sehr oft benutze?
Klar, ich werde hier nicht mehr die Onlinebanking-Seite aufrufen, aber ich will/kann grad nicht meinen Pc schon wieder formatieren. Das letzte mal ist erst einige Wochen her... Jaaaa, so wird man bestraft, wenn man keine Backups macht. Das werde ich ab jetzt aber auf jeden Fall anfangen.

clee

Zitat:

Wäre es sehr gefährlich und fahrlässig, wenn ich jetzt dieses System noch ein, zwei Monate drauf lassen würde?

Ja, es wäre gefährlich und äußerst fahrlässig (außer du verwendest es nur noch offline, dann ist es egal)!

Zitat:

Daher geht man in den einschlägigen Kreisen verstärkt dazu über, dass der Angreifer die erste, leicht zu entdeckende Backdoor benutzt und eine zweite Backdoor (und unter Umständen noch weitere) auf dem System einrichtet, die er dann nach allen Regeln der Kunst versteckt. Selbst wenn der Anwender also die Infektion bemerkt und sein Removal-Tool den Wurm samt dessen Backdoor entfernt, behält der Angreifer über die zweite Hintertür dennoch die volle Kontrolle über das System.

du hast es zwar schon gelesn, trotzdem nochmal zur Verdeutlichung!

Zitat:

Klar, ich werde hier nicht mehr die Onlinebanking-Seite aufrufen, aber ich will/kann grad nicht meinen Pc schon wieder formatieren.

Warum soll das nicht gehen? Sieh es mal von der positiven Seite: Wenn du es einmal richtig machst, wird es vorerst das letzte Mal sein!

ok. Ich werde das System wohl in nächster Zeit neu aufsetzen. Und bis dahin, nur noch wenn es wirklich sein muss online gehen (hab hier noch einen anderen PC zur Verfügung).
Das mit den 2 Backdoors hab ich auch noch (zu) gut in Erinnerung, aber ich frage mich halt immer noch, wie hoch die Wahrscheinlichkeit ist, dass der "Hacker" es wirklich ganz genau auf mein System abgesehen hat.

Ich kann hier meinen PC nicht so einfach formatieren, da ich gerade für ein halbes Jahr in Frankreich lebe. Aber gut, ich habe es jetzt schon einmal geschafft (wenn auch mit Problemen) da werde ich es wohl auch noch ein zweites mal schaffen.

Naja, die dummen "Wahrscheinlichkeits-spielchen" (wird mein system benutzt - wird es nicht - oder doch...... ) langen mir jetzt auch. Ich denke spätestens nächstes Wochenende ist er dran. Und bis dahin praktisch kein Internet mehr auf diesem PC.

So bedanke ich mich noch mal für eure Hilfe!!! Ohne euch würde der PC wohl noch viiiieeel zu lange laufen, ohne formatiert zu werden...

clee