Hallo zusammen!

Habe mir den Trojaner TR/Drop.Delf.DJ.3 gefangen, der von AntiVir entdeckt wurde. Habe ihn durch Antivir löschen lassen. Außerdem bekam ich folgende Meldung:

C:\DOKUMENTE UND EINSTELLUNGEN\STEFAN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\O4DV365A\T-7968[1].HTM
Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Habe ich auch löschen lassen. Ist mein System nun wieder sauber?
Hier mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:38:31, on 07.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVWIN.EXE
D:\Programme\hijackthis1982\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253


Vielen Dank für Hilfe!

Hallo,

das Log-File sieht soweit sauber aus.
Wo wurde denn der TR/Drop.Delf.DJ.3 von AntiVir gefunden?
Lösche die Temporary Internet Files und führe vorsichtshalber mal dies aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

EDIT:
Erstelle auch noch ein aktuelles HJT Log-File mit der neuen Version 1.99.1.

Hier also die Virus Log Informationen von e-scan und das Log-File mit HJT 1.99.1



Mon Mar 07 21:25:52 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Mar 07 21:25:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR

Mon Mar 07 21:25:53 2005 => File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

Mon Mar 07 21:07:39 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:38:24 2005 => File E:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:48:45 2005 => File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mon Mar 07 22:52:38 2005 => ***** Scanning complete. *****

Mon Mar 07 22:52:38 2005 => Total Files Scanned: 67443
Mon Mar 07 22:52:38 2005 => Total Virus(es) Found: 4
Mon Mar 07 22:52:38 2005 => Total Disinfected Files: 0
Mon Mar 07 22:52:38 2005 => Total Files Renamed: 0
Mon Mar 07 22:52:38 2005 => Total Deleted Files: 0
Mon Mar 07 22:52:38 2005 => Total Errors: 33
Mon Mar 07 22:52:38 2005 => Time Elapsed: 01:45:22
Mon Mar 07 22:52:38 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 22:52:38 2005 => Virus Database Count: 120659

Mon Mar 07 22:52:38 2005 => Scan Completed.

Mon Mar 07 22:54:19 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 22:54:19 2005 => Virus Database Count: 120659
Mon Mar 07 22:54:37 2005 => AV Library Unloaded (3)...





Logfile of HijackThis v1.99.1
Scan saved at 23:06:38, on 07.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\MistUndVerflucht\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Was bleibt zu tun?

Danke für Hilfe!

Hallo!
Wollte nochmal die Bitte stellen über die neuen Protokolle drüberzuschauen.
Wäre dankbar für Rückmeldung.

@ArmerUser
der hier ist im system
http://www.sophos.de/virusinfo/analy...ojagentec.html

deswegen kann ich dir leider nur raten dein system neuaufzusetzen(formatC)
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman

Danke für die Antwort!

Möchte aber nochmal nachfragen: Ist wirklich mein System von dem Backdoor.Win32.Agent.ec befallen oder ist das nur noch der Rest, der im Antivir Infected-Ordner gelegen hat (und den ich inzwischen geleert habe)?

Was ist mit dem eigentlichen Plagegeist TR/Drop.Delf.DJ.3 wegen dem ich mich eigentlich gemeldet habe?


Sorry für den Zweifel aber wer macht schon gerne sein System platt?!

Es gibt eine Automatische Auswertung, schau mal hier:

http://www.hijackthis.de/index.php

Da siehst Du dann, was Di fixen solltest. Immer die Bemerkungen mit anschauen!

Danke für den Tipp!

Log-File sieht nach der automatischen Auswertung sauber aus. Was aber sagt mir das e-scan Ergebnis (siehe unten)?

Wär doch für eine persönliche Rückmeldung bezüglich Log-File und E-scan dankbar!


Hier noch mal die aktuellen Protokolle:


Logfile of HijackThis v1.99.1
Scan saved at 13:56:59, on 08.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\MistUndVerflucht\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe




Mon Mar 07 21:25:52 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Mar 07 21:25:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR

Mon Mar 07 21:25:53 2005 => File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

Mon Mar 07 21:07:39 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:38:24 2005 => File E:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:48:45 2005 => File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.



Danke für Hilfe!

Hallo zusammen!

Bin wieder hier und wäre dankbar, wenn sich nochmal jemand meiner Probleme annehmen könnte...

Es stellt sich die Frage, ob dieser Backdoor.Win32.Agent.ec jemals aktiv gewesen ist oder er 'nur' brach auf deiner Festplatte war und von AntiVir entfernt wurde?
Aufschlussreich für die weitere Vorgehensweise wäre es, wenn du im Report (sofern es nicht überschrieben wurde) von AntiVir nachsiehst, WO dieser denn gefunden wurde.

Der Backdoor wurde von mir damals mithilfe von Antivir gelöscht. Ein von mir in eurem Forum eingestelltes LogFile und das Escan Protokoll wurden als sauber eingestuft, so dass der Backdoor wohl gar nicht aktiv war. Was aber ist eigentlich mit meinem neuen "Freund" TR/Drop.Delf.DJ.3, den ich auch direkt mit Antivir gelöscht habe?

Zitat:

Was aber ist eigentlich mit meinem neuen "Freund" TR/Drop.Delf.DJ.3, den ich auch direkt mit Antivir gelöscht habe?

Nachdem ich nicht über hellseherische Fähigkeiten verfüge und ungern spekuliere...

Vermutlich wurde dieser im Ordner Temporary Internet Files gefunden oder vielleicht auch nicht.

Was heißt das nun?

Chaosman hat mir Format C empfohlen oder soll ich nochmal scannen? Ist mein escan sauber; und was sagt das LogFile??????
Sauber oder nicht?

Sorry - falls ich begriffsstutzig sein sollte?!

Zitat:

Chaosman hat mir Format C empfohlen oder soll ich nochmal scannen?

Es kann mit Sicherheit nie schaden, dass man im Zweifelsfall einmal zu oft ein Neuaufsetzen des Systems empfiehlt und ausführt als zu wenig.

Zitat:

Sauber oder nicht?

Wie ich bereits sagte, das Log-File weist keine mehr Auffälligkeiten auf!
Leere den Quarantäne Ordner von AntiVir und scanne sicherheitshalber, wenn es dich beruhigt, nochmals mit eScan AntiVirus.

Danach arbeitest du mindestens folgende Punkte vom Link in meiner Sigantur ab:
3, 5 und 6

Habe den Quarantäne Ordner geleert, IE sicherer konfiguriert, SPII aufgespielt, das System upgedatet und Firefox runtergeladen und als Standardbrowser festgelegt.
Gibt es für Firefox auch eine Anleitung, wie man ihn am sichersten konfiguriert?


Werde dann jetzt nochmal escan drüber laufen lassen.