Hallo Leute,

ich bin neu und total verzweifelt:
habe seit Ende Januar den o.g. ?Trojaner und bekomme ihn nicht weg...
(habe Win98, AntiVir Personal Edition)

Beim Durchlauf der Suchfunktion bei AntiVir wird mir die "Warnung" angezeigt, das irgendwas mit ? rundll32 nicht richtig ist, aber AntiVir dieses nicht löschen kann ...

Könnt Ihr mir helfen?
Jens

@MaryJo5001

Zitat:

habe seit Ende Januar den o.g. Trojaner

Wo hast du ihn? Pfadangaben, am Besten als "Zitat" aus dem Scanprotokoll.

Zitat:

Beim Durchlauf der Suchfunktion bei AntiVir wird mir die "Warnung" angezeigt, das irgendwas mit rundll32 nicht richtig ist, aber AntiVir dieses nicht löschen kann ...

Rundll ist , im Grunde gesehen, eine wichige Systemdatei.
Guck mal noch im AVPE-Forum: http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi

die reportdatei läßt sich leider nicht anzeigen, weil angeblich die datei andersweitig benutzt wird ... ???

hilft dir das weiter ?

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVEWIN32.DLL : v6.29.0.16 807424 28.02.2005 21:18:48
SYS_RW16.DLL : v6.19.0 12800 04.12.2003 10:32:34
SYS_RW32.DLL : v6.19.0 16384 04.12.2003 10:32:34
AVGCTRL.EXE : v6.28.00.00 86016 05.10.2004 17:06:24
AVGUARD.VXD : v6.29.0.16 498079 28.02.2005 21:18:48
AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44
AVGETVER.DLL : v6.22.00.00 24576 24.09.2003 15:30:00
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVSHLEXT.DLL : v6.22.00.00 57344 17.09.2003 15:56:46
AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44
AVSched32.DLL : v6.28.00.01 122880 05.10.2004 17:06:28
AVREG.DLL : v6.27.00.01 41000 04.08.2004 12:15:34
AVRep.DLL : v6.29.00.150 983080 28.02.2005 21:18:50
INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44
INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44
MFC42.DLL : v6.00.8665.0 995383 25.02.2004 14:50:22
MSVCRT.DLL : v6.00.8797.0 278581 10.10.2001 18:00:36
CTL3D32.DLL : v2.31.000 45056 05.05.1999 22:22:00
CTL3DV2.DLL : v2.31.000 27632 05.05.1999 22:22:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\VIRENSCANNER\AVWIN.INI
Name der Reportdatei: C:\VIRENSCANNER\LOGFILES\AVWIN.LOG
Startpfad: C:\VIRENSCANNER
Kommandozeile:
Startmodus: Selbsttest

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\WINDOWS\TEMP
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/9x Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Systemdateien
COMMAND.COM OK
VIDEOROM.BIN OK
MSDOS.SYS OK
DETLOG.TXT OK
IO.SYS OK
MSDOS.BAK OK
DETLOG.OLD OK
mssys.exe OK
msdos.exe OK
ST1.exe OK
cnt.dat OK
WINLFN.INI OK
Systemtest: OK
Selbsttest: OK

@MaryJo5001

Zitat:

die reportdatei läßt sich leider nicht anzeigen, weil angeblich die datei andersweitig benutzt wird ... ???

Es muss eine Log-Datei sein, einfaches Textdokument !
mach noch mal Fullscan und notiere die Virenmeldung.

Zitat:

hilft dir das weiter ?

Nicht wirklich

hier das letzte aus der avguard.log (die unter WordPat nicht zum anzeigen geht( habs aber mit WinWord öffnen können)

28.02.2005 22:22:36: AntiVir Guard 9x wurde gestartet.
01.03.2005 18:28:10: AntiVir Guard 9x 6.29.0.16 (c) 1999-2005 H+BEDV Datentechnik GmbH
01.03.2005 18:28:12: AntiVir Guard 9x wurde gestartet.
01.03.2005 18:28:59: Die Datei "C:\WINDOWS\MSHCCI.DLL" ist infiziert mit dem Virus "PMS/Toolbar.Twocc"
01.03.2005 18:29:17: Die Datei wurde gel”scht.
01.03.2005 18:29:17: Der Zugriff wird nicht erlaubt.


ich mache jetzt mal den Fullscan ...

@ MaryJo5001

ich glaube bald da ist noch mehr auf Deinem System, deshalb würde ich vorschlagen scanne mal mit eScan siehe Beschreibung unten

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

wie groß ist denn die updatedatei ?

ich lade schon seit ?ca. 45 Min die updatedatei ...

(habe leider nur ein 56 k modem ...)

beim Fullscan ...:


„Datei:rundlg32(1).cab
Dieses Archiv enthält eine oder mehrere infizierte Dateien!
Infizierte Dateien in Archiven werden nicht repariert oder gelöscht!

Möchten Sie diese Meldung weiterhin für jedes Archiv mit infizierten Dateien erhalten ?

---Ja (hab ich angeklickt) ---nein

dann stand in den window , in dem man den aktuellen Verlauf sehen kann (also vieviele Dateien schon überprüft, wie lange es gedauert hat usw...)
Letzte Meldung:
TR/Clicker.Agent.N.1.


Nach Abschluß des Suchvorganges stand dann :
In einem oder mehreren Archiven wurden Viren bzw. unerwünschte Programme gefunden!
Infizierte Dateien in Archiven werden nicht repariert oder gelöscht!

--- OK

das wars !!!
hier noch der Report ....

ich hoffe, du kannst daraus was erkennen ( ich nämlich nicht ;-))


Avwin.log

Start des Suchlaufs: Dienstag, 1. März 2005 20:30

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\WINDOWS
msgmfb.dll
Die Datei enthält Signatur des PMS/Toolbar.Twocc-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\TEMP
Acr70B4.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temporary Internet Files\Content.IE5\95B79OZ4
shop_0_14[1].cab
ArchiveType: CAB (Microsoft)
--> toolbar\channels\shop\shop.html
WARNUNG! Fehler beim Öffnen der Datei
C:\WINDOWS\Temporary Internet Files\Content.IE5\0JXRA2BH
rundlg32[1].cab
ArchiveType: CAB (Microsoft)
--> rundlg32.dll
[FUND!] Ist das Trojanische Pferd TR/Clicker.Agent.N.1
shop_0_14[1].cab
ArchiveType: CAB (Microsoft)
--> toolbar\channels\shop\shop.html
WARNUNG! Fehler beim Öffnen der Datei
C:\ATTIC\HDMEERE\DATA
MBUIL.DAT
ArchiveType: UUEncoded (+.XXEncoded)
--> unkwn0
HINWEIS! Unerwartetes Dateiende erreicht

Ende des Suchlaufs: Dienstag, 1. März 2005 20:44
Benötigte Zeit: 14:08 min


789 Verzeichnisse wurden durchsucht
26241 Dateien wurden geprüft
3 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden


das mit dem eSan probiere ich jetzt mal (wenn ich das hinkriege...)