Zitat:

Zitat von Shadowdance

Bedingt ein Aufruf nicht das Vorhandensein der Einträge auf einem Rechner? Woher nimmt das Programm Hijack This die Information über ein System, wenn nicht vom System selbst?

Das meinst Du jetzt nicht wirklich ernst?!?
Das würde ja bedeuten, das Du das ganze 'System' (noch immer) nicht verstanden hättest.
Der Aufruf in den Run-Einträgen bedeutet lediglich, dass die Malware auf dem Rechner gewesen ist. Ob diese noch aktuell vorhanden ist, lässt sich daraus nicht ablesen, da es sich eben lediglich um den Versuch handelt, den Prozess zu starten. Dieser Run-Eintrag bleibt aber in der Registry auch dann bestehen, wenn man die Datei als solche löscht.
Deswegen beten wir doch immer die Litanei des Bereinigens der Registry mittels HijackThis und der Entfernung der eigentlichen Malware...

Zitat:

Zitat von Shadowdance

Es ist übrigens überflüssig, zwei Online-Scans machen zu lassen, wie ich vor kurzem selbst erfahren habe, da ich ebenfalls "Jotti" und "Kaspersky" als online-Überprüfung angeboten hatte. "Jotti" enthält u.a. den Scan bei Kaspersky.

Ja, da hast Du vollkommen Recht.
Ich schrieb:

Zitat:

Überprüfe die Datei C:\WINDOWS\System32\system32.exe unter
http://www.kaspersky.com/de/scanforvirus.html und alternativ auch unter
http://virusscan.jotti.org/de

Ich meinte allerdings nicht und alternativ..., sondern oder alternativ...

sorry - Doppelpost!

Zitat:

Zitat von Lutz

Der Aufruf in den Run-Einträgen bedeutet lediglich, dass die Malware auf dem Rechner gewesen ist. Ob diese noch aktuell vorhanden ist, lässt sich daraus nicht ablesen, da es sich eben lediglich um den Versuch handelt, den Prozess zu starten. Dieser Run-Eintrag bleibt aber in der Registry auch dann bestehen, wenn man die Datei als solche löscht.
Deswegen beten wir doch immer die Litanei des Bereinigens der Registry mittels HijackThis und der Entfernung der eigentlichen Malware...

Danke für die fachmännische Erläuterung.

Aufgrund einiger Probleme mit der Board-Software konnte ich Deinen Beitrag nicht noch einmal lesen, um zu erkennen, ob Du beide Online-Scans nebeneinander oder alternativ angeboten hattest. Somit war mein Hinweis überflüssig.

Die HijackThis Log war noch fälschlicherweise von dem Vortag.
Ich habe momentan keine system32.exe mehr drauf, was ein aktuelles HJT-Log bestätig. Nach einem erneuten Durchlauf von eScan wurde jedoch in der Log folgendes gefunden:

Code: Alles auswählenAufklappen

ATTFilter

File C:\WINDOWS\System32\adimage.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\IPCClient.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\msipcsv.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\TFDE.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\htmdeng.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\Programme\Norton AntiVirus\Quarantine\03FE0D1F.tmp infected by "I-Worm.Sober.i" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\5EE063F8.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004204.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004206.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004219.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004225.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004227.exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004228.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004229.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004230.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004231.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004237.exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004238.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004239.exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004242.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004243.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004244.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004248.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004249.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004252.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004253.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004254.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004255.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004256.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP81\A0006536.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: File Renamed.
File C:\WINDOWS\inf\sbc.exe infected by "not-a-virus:AdWare.WinAD.g" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: File Renamed.
File F:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP81\A0006274.dll infected by "not-a-virus:AdWare.EliteBar" Virus. Action Taken: File Renamed.
File F:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP81\A0006275.exe infected by "not-a-virus:AdWare.Gator.3102" Virus. Action Taken: File Renamed.
File F:\Tools\Fakez\Hell sms bomber 2.1\hell_sms_bomber_33.exe infected by "Flooder.SMS.HellBomber.33" Virus. Action Taken: File Renamed.
File F:\Tools\Fakez\Hell sms bomber 2.1\hell_sms_bomber_34.exe infected by "Flooder.SMS.HellBomber.34" Virus. Action Taken: File Renamed.
File F:\Tools\Fakez\MUltiwebspacefaker\faker_165\Multi WebSpace Faker (1.6.5).exe infected by "SpamTool.Win32.VB.a" Virus. Action Taken: File Renamed.
File F:\Tools\Filesharing-Tools\audiogalaxy.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: File Renamed.
File F:\Tools\Filesharing-Tools\BearShare.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: File Renamed.
File F:\Tools\Filesharing-Tools\eDonkey57.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: File Renamed.
File F:\Tools\Filesharing-Tools\eDonkey59.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: File Renamed.
File F:\Tools\FTP-Tools\Cuteftp4.0\cutegr4032.exe infected by "not-a-virus:AdWare.TimeSink" Virus. Action Taken: File Renamed.
File F:\Tools\Other\addabutton.exe infected by "not-a-virus:AdWare.SaveNow.ar" Virus. Action Taken: File Renamed.
File F:\Tools\Other\FlashGet\setup.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File F:\Tools\Other\netants\setup.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File F:\Tools\Other\netvampire\nv40inst.exe infected by "not-a-virus:AdWare.TimeSinc" Virus. Action Taken: File Renamed.
File F:\Tools\Other\Universalis-Cracks\spt-universalis.7.Crack.french.new.release_on.Edonkey.by.TpWz\spt-universalis.7.Crack.french_on.Edonkey.by.TpWz\crack pour Encyclopedia universalis 7 FRANCAIS.exe infected by "Trojan.Win32.Agent.a" Virus. Action Taken: File Deleted.
         

Soll ich jetzt noch etwas machen?
Was bringt denn die Umbennenung eines Files?
Wird diese dadurch unbrauchbar/deaktiviert?

Hi!

Ich hatte mir auch gerade dieses Pferdchen eingefangen, konnte es aber dank eurer Hilfe gleich wieder löschen - THX!

Ich wurde leider nur darauf aufmerksam, weil meine FW die system32.exe blocken wollte und weil msconfig nicht mehr ging!

Was mir etwas schleierhaft ist, warum findet mein Virescaner, einen seid 2004 exestierenden Trojaner nicht und warum auch nicht die Onlinedurchsuchung?

Ich benutze Avira AntiVir und zur Onlinedurchsuchung nutzte ich diese Adresse [http://www.virustotal.com/de/]

Früher nutze ich Norton, auf Grund des Resourcen-Verbrauchs und der Kosten schwenkte ich auf Avira. Ist man damit nur so zufrieden, weil man die meisten Angriff gar nicht erst bemerkt?!