Ok danke. ja und dann lass ich den escan laufen und dann? Ist das ding weg oder was soll ich dann machen?

eScan in neueren Versionen findet nur noch Viren, Würmer, ... löscht diese aber nicht mehr.

Poste bitte, was gefunden wurde.
Öffne dazu die mwav.log im Verzeichnis c:\bases und gebe über das Menü Bearbeiten -> Suchen -> infected oder tagged ein -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Zitat:

Zitat von Lutz

eScan in neueren Versionen findet nur noch Viren, Würmer, ... löscht diese aber nicht mehr.

Poste bitte, was gefunden wurde.
Öffne dazu die mwav.log im Verzeichnis c:\bases und gebe über das Menü Bearbeiten -> Suchen -> infected oder tagged ein -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Also,ich finde nur eine Datei MWAV und wenn ich die Öfnne öffnet sich der escan.und ein Verzeichnis c:/bases finde ich überhaupt nicht.
Was soll ich machen, das ding macht mich wahnsinnig.
Das einzige was ich probiert habe ist den escan geöffnet dann auf View gedrückt da öffnet sich ein Fenster mit dem Namen vlist-Editor, da habe ich probiert bei Suchen tagged oder infected einzugeben aber er findet nichts.
was kann ich weiter tun?

...
du musst den ordner bases auf c: auch erstellen^^
in c: gehen, rechtsklick, neuer ordner erstellen, namen bases eingeben.

ok habe ich und nun?

du solltest nun dieser Anleitung vorgehen
wenn du den escan fertig hast (der muss fertig durchlaufen), das:
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

ok mache ich, danke erstmal.schaust du dann noch mal vorbei?
Ich mach das aber erst heute nacht, beim letzten scan hat das 2,5 stunden gedauert.
muss ich noch was beachten, ich habe was gelesen von systemaktualisierung (oder so ähnlich) zurücksetzen?

was muss ich drücken wenn der escan fertig durchgelaufen ist.und erstellt er die mvw.log selbst?

Ich hoffe das ist jetzt richtig wie ich es gemacht habe?


.Wed Jan 26 19:08:18 2005 => Total Disinfected Files: 0
Wed Jan 26 20:42:42 2005 => File C:\WINDOWS\apiak.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:42:55 2005 => File C:\WINDOWS\System32\yaqylq.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:42:56 2005 => File C:\WINDOWS\apiak.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:42:57 2005 => File C:\WINDOWS\system32\tibs3.exe infected by "Trojan-Downloader.Win32.Tibser.c" Virus. Action Taken: No Action Taken
Wed Jan 26 20:43:21 2005 => File C:\WINDOWS\system32\syspo.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:22 2005 => File C:\WINDOWS\alchem.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:22 2005 => File C:\WINDOWS\apiox32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:25 2005 => File C:\WINDOWS\htasys.dll infected by "TrojanDownloader.Win32.Subt" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:30 2005 => File C:\WINDOWS\msbb.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:31 2005 => File C:\WINDOWS\msbbhook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:31 2005 => File C:\WINDOWS\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:33 2005 => File C:\WINDOWS\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:33 2005 => File C:\WINDOWS\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:37 2005 => File C:\WINDOWS\rut.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:37 2005 => File C:\WINDOWS\satmat.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:40 2005 => File C:\WINDOWS\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:46 2005 => File C:\WINDOWS\wsem300.dll infected by "TrojanDownloader.Win32.Dyfuca.cv" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:47 2005 => File C:\WINDOWS\ZServ.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:46:01 2005 => File C:\WINDOWS\system32\ozzkhnq.dll infected by "I-Worm.Tanatos.b.dam2" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:46:27 2005 => File C:\WINDOWS\system32\SetHp.exe infected by "Trojan.Win32.StartPage.rk" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:46:54 2005 => File C:\WINDOWS\system32\vfvie.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:46:58 2005 => File C:\WINDOWS\system32\WebInstall.dll infected by "TrojanDownloader.Win32.Tinytest" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:17 2005 => File C:\WINDOWS\system32\xzxaf.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:43 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\49.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:43 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\4A.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:48 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:48 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\alchem.exe infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:49:42 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\ICD6.tmp\ysbactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gk" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:49:44 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\iinstall.exe infected by "TrojanDownloader.Win32.IstBar.fi" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:49:58 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:49:58 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:05 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\optimize.exe infected by "TrojanDownloader.Win32.Dyfuca.cq" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:07 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\powerscan.exe infected by "not-a-virus:AdWare.PowerScan.b" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:07 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:08 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\randreco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:11 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\sa43.tmp.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:11 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\sa44.tmp.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:11 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\sa6.tmp.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:12 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\satmat.cab infected by "Trojan-Downloader.Win32.Stubby.d" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:12 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\satmat.exe infected by "Trojan-Downloader.Win32.Stubby.d" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:15 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\sidefind.exe infected by "TrojanDownloader.Win32.IstBar.eo" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:18 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F14.tmp\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F14.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F14.tmp\twaintec.cab infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F14.tmp\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F7B.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F7B.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:20 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F7B.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:20 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI23A9.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:20 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI23A9.tmp\ZServ.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI5377.tmp\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI5377.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI5377.tmp\twaintec.cab infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI5377.tmp\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI582F.tmp\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI582F.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:22 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI582F.tmp\twaintec.cab infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:22 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI582F.tmp\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 21:08:13 2005 => Total Disinfected Files: 0

Hallöchen! Schade, dass hier nicht weiter geantwortet wurde, das hätte mich mal interessiert. Ich hab nämlich ein ähnliches, wenn auch scheinbar nicht ganz so großes (hoffentlich) Problem:

Ich habe vorhin escan, ad-aware, spybot und hijack runtergeladen und alle mal im abgesicherten Modus laufen lassen.
Zuerst allerdings Escan und anschliessend die anderen.

Was bei EScan herauskam ist folgendes:

Die "not-a-virus" Einträge sind mir, sofern sie wirklich nicht schaden im Grunde egal und ich glaube das einige auch spybot schon erledigt hat, aber ich werde gleich nochmal im abgesicherten modus escan laufen lassen.
Wichtig ist mir zu wissen wie ich den TrojanDownloader weg bekommen!!!!!

Wenn mir aber auch bezüglicher der "not-a-virus" Viecher geholfen werden kann, vielen Danke


File C:\WINDOWS\System32\winb2s32.dll infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\dsktrf.dll infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\zfhrxnr.exe infected by "Trojan-Downloader.Win32.Agent.jc" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\winagent.exe infected by "Backdoor.Win32.Webdor.p" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\reg6523.exe infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\MELLI~1.WOE\LOKALE~1\Temp\sa1.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\MELLI~1.WOE\LOKALE~1\Temp\sa2.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\MELLI~1.WOE\LOKALE~1\TEMPOR~1\Content.IE5\CT6JCTEN\dsktrf[1].dll infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.b"
Virus. Action Taken: No Action Taken.

File C:\Downloads\AGSetup0609.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Downloads\edonkey59.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.

File C:\Downloads\eDonkey0.45.exe infected by "not-a-virus:AdWare.ToolBar.Ucmore.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\All Users\Melli\Lokale Einstellungen\Temp\BDECache\bde159.tmp infected by "not-a-virus:AdWare.Brilliandigital.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\All Users\Melli\Lokale Einstellungen\Temp\BDECache\bde174.tmp infected by "not-a-Virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\All Users\Melli\Lokale Einstellungen\Temp\BDECache\bde149.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\All Users\Melli\Lokale Einstellungen\Temp\BDECache\bde151.tmp infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Melli.WOELKCHEN\Lokale Einstellungen\Temp\sa1.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Melli.WOELKCHEN\Lokale Einstellungen\Temp\sa2.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{35D70639-225E-4AE7-A8BB-A182D4ABCC3E}\RP125\A0037272.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{35D70639-225E-4AE7-A8BB-A182D4ABCC3E}\RP133\A0056373.exe infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken.


Achjaaa ich bin ja gewollt die infected Dateien einfach zu löschen, aber ich fürchte, erstens das bringts nicht und zweitens das schadet mehr als alles andere, liege ich da richtig?

Ach und wenn nötig poste ich morgen früh noch die Hijack-Ergebnisse.
Danke schon mal für die erhoffte Hilfe (:

woelkchen

Hallo woelkchen,

Zitat:

Zitat von woelkchen

File C:\WINDOWS\winagent.exe infected by "Backdoor.Win32.Webdor.p" Virus. Action Taken: No Action Taken.
woelkchen

Leider wird Dir hier bei einem derartigen Befall zu Format C: geraten, um wieder ein sicheres und vertrauenswürdiges System zu haben.

Hier eine erstklassige Anelitung:

http://www.trojaner-board.de/showthread.php?t=12154

Thema datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Was passiert, wenn ich die Datei einfach lösche???? -_-

Und was kann ich machen, wenn ich NICHT C foramtiere??? Auch wenns dann nicht 100%ig sicher ist, irgendwas muss ja wohl zu machen sein. Bei www.sophos.de zum Beispiel steht es gibt Schutz (nagut Schutz und Behebung ist vielleicht was anderes)...

Und was kann ich gegen die anderen Einträge machen (TrojanDownloader ZB)???

Hallo woelkchen,

lies bitte:

http://de.wikipedia.org/wiki/Backdoor

http://oschad.de/wiki/index.php/Kompromittierung

Format c: ist deshalb unumgänglich, da nicht ersichtlich ist, was bereits
am System noch "angepasst" wurde.

dartus