Moin Chaosman,
> versuche es doch mal mit escan
danke für die Links und Hinweise :-)
So, escan hat in mehreren Suchläufen im abgesicherten Modus folgendes ergeben:

# Ein altes RemoteAdmin - jetzt deinstalliert
File C:\WINNT\system32\admdll.dll tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.20. No Action Taken.
File C:\WINNT\system32\raddrv.dll tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.20. No Action Taken.
File C:\WINNT\system32\r_server.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.21. No Action Taken.

# Javaklassen, jetzt gelöscht
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-3bb8f109-7fff13a3.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-47cb9c47-6b6e7eed.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-5a952819-4a0f387b.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken.

# Junkordner, jetzt 0 Byte
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\2ipf05ky.default\Mail\Local Folders\Junk infected by "I-Worm.Bagle.at" Virus. Action Taken: No Action Taken.

# na gut, offenbar kein Virus. Was jetzt damit?
File C:\Programme\j2sdk142_05\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\j2sdk142_05\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.

# das wird wohl ein Scherz sein (oder?!)
File D:\server\xampp\apache\bin\pv.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.

# das wird er sein. Mal sehen... Ich hab ihn von einer gehackten Seite konserviert. Dachte, gezippt hält er die Füsse still... *rotwerd*
File D:\witt\misc\access_log_2004_w28-1.gz infected by "TrojanDownloader.JS.gen" Virus. Action Taken: No Action Taken.

Leider scheint das problem trotzdem nicht behoben, weil explorer.exe jetzt geocities-Rechner anfunken will:
Blocked TCP out -> 66.218.77.68
und das ca. 1-3mal/Minute.

Mannmann, und schob wieder bin ich im falschen Board...

Kennt jemand das Verhalten?

Hoffnungsvoll:
Carsten.

@drwitt
na endlich gefunden
http://www.sophos.de/virusinfo/analy...startpacu.html
das erklärt einiges.
wechsle in den abgesicherten modus undlösche die dateien manuell
D:\witt\misc\access_log_2004_w28-1.gz
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunde rbird\Profiles\2ipf05ky.default\Mail\Local Folders\Junk
neu booten, escan findet auch tools, oder risk ware.
chaosman

Moin Leute!

Zitat:

Zitat von chaosman

@drwitt
wechsle in den abgesicherten modus undlösche die dateien manuell
D:\witt\misc\access_log_2004_w28-1.gz

Leider muss ich sagen, der Virus wars nicht. Nach wie vor funkt explorer.exe zu CNN oder geocities.com.

Dafür gibts Neuigkeiten. Wie schon gesagt, funkt explorer jetzt geocities-Rechner an. Nun treten dazu auch Fehlermeldungen beim Herunterfahren auf, daß eine Anwendung im TempDir der Lokalen Einstellungen nicht ordentlich beendet werden konnte. Die exe-Datei laut Titelbalken heißt dann etwa 117_36.exe (nach dem Muster). Tatsächlich existiert aber keine solche Datei.
Und dann gibts auch Fehlermeldungen, daß beim Schreiben auf LPT1 ein Fehler aufgetaucht sei.
Leider warten beide Fehler nicht mit mehr Infos auf. :-(

Nun bin ich genauso schlau wie vorher.


Grüße Carsten.

wie kann das aber sein?
im hijack this log ist kein eintrag zu erkennen der diese datei zum starten bringt
dieser log ist wirklich mal was anderes
ich denke die datei ist nur als systemdatei markiert
extras/ordneroptionen/erweitert(jedenfalls das 2.) geschützte systemdateien ausblenden haken weg, systemdateien anzeigen haken hin, runterscrollen und unten alle dateien und ordner anzeigen haken hin.
dann sollte er die datei anzeigen. bedenke auch es gibt mehr tempordner. einen all users, einen default user, dann deinen. du solltest bei allen nachschauen. in irgend einem ist der auf jedenfall. aber das mit dem drucker.. das versteh ich jetz echt net..

Tach auch!
> im hijack this log ist kein eintrag zu erkennen der diese datei zum starten bringt ... ich denke die datei ist nur als systemdatei markiert

Naja, dass mehrere Temp-Ordner existieren, ist schon klar, auch daß man die Ordneroptionen sinnvoll einsetzen muss - aber eine solche exe datei gibts nicht, auch nicht, wenn ich neben der aktiven Fehlermeldung in die temp-verzeicnisse gucke...

Hab heute morgen mal Win2K drüberinstalliert, was aber nix gebracht hat. Bereite mich innerlich auf ein komplettes Neuaufsetzen vor
Das kanns ja wohl nicht sein...

Ich danke Euch aber, insbesondere Chaosman, für die Hilfe!

Carsten.

Zitat:

Hab heute morgen mal Win2K drüberinstalliert, was aber nix gebracht hat. Bereite mich innerlich auf ein komplettes Neuaufsetzen vor

Hier findest du eine Anleitung dazu -> http://www.trojaner-board.de/showpos...28&postcount=2

Moinsen!

Zitat:

Zitat von Cidre

Hier findest du eine Anleitung dazu ->

Jo, danke! Das sind brauchbare Links.

Natürlich hat das Drüberinsten von W2K nix gebracht. Habe heute allerdings eine fragwürdige DLL gefunden, die aus dem fraglichen Zeitraum stammt, sie heisst exgdi.dll. Unter der Annahme, dass dieser Name bei Google nicht umsonst nicht auftaucht, habe ich sie stillgelegt, und seitdem scheint Ruhe im Schiff zu sein. Mannmannmann, nächtes Mal sortiere ich gleich nach Datum

Besten Dank für Eure Hilfe. Hier lese ich gerne weiter!

Grüße an alle,

Carsten.