Hey an alle hier Anwesenden!

Dies ist ein Trojaner den AntiVir auf meinem PC gefunden hat! Wir vermuten, dass mein Ex versucht, meinen yahoo-messenger auszuspionieren, um zu sehen, mit wem ich mich unterhalte! (Erst recht, nachdem er meinte, ich solle aufhören zu flirten, und dann später am Telefon meinte, ich flirte auf yahoo!!!)

Vielen Dank für Eure Hilfe!

In welcher Datei hat Antivir den Schädling gefunden (genaue Pfadangabe)?

Erstelle mittels HijackThis einen Log und stelle ihn hier ins Forum:

www.hjt.klaffke.de

Hi Cronos!

Sieh mal, was gerade auf meinen Bildschirm aufgetaucht ist:



C:\SYSTEM VOLUME INFORMATION\_RESTORE{6DA40B28-4A58-4816-A6F6-3F95DF509680}\RP230\A0079509.EXE

Ist das Trojanische Pferd TR/Agent.CP



Was soll ich jetzt mit dieser Datei machen?
Zugriff verweigern und Datei belassen?
Quarantäneverzeichnis?
Datei löschen?

Gruss,
Karo

@karoline1612

Zitat:

Was soll ich jetzt mit dieser Datei machen?

http://www.bsi.bund.de/av/texte/wiederher_xp.htm
Danach noch mal scannen.

@ karoline1612

der angegebene steckt in der Systemwiederherstellung, den bekommst Du weg indem Du die systemwiederherstellung deaktivierst neu booten Systemwiederherstellung wieder aktivieren,
Aber ich vermute mal da ist noch mehr drauf, deshalb lade Dir mal den eScan und folge der Beschreibung

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Vielen, lieben Dank für Eure Hilfe!!!!

Ich bin technisch leider nicht sooo versiert, so dass ich jetzt ein klein wenig Angst habe, meinen Rechner zu crashen, wenn ich mache, was ihr mir sagt (ich weiss, Frauen wissen mal gerade wie der PC an- und ausgeht - lol)!

Also, was mache ich zuerst?!

EDIT: Ich werde jetzt das System im abgesicherten Modus starten, scannen, und bin dann gleich wieder zurück

Zitat:

Also, was mache ich zuerst?!

Du scannst erst mal mit escan

Zitat:

Ich werde jetzt das System im abgesicherten Modus starten, scannen, und bin dann gleich wieder zurück

wenn Du es richtig machst kann das gut 1 Stunde dauern. Haken setzen bei All Local Drives und Scan All Files

Hi Gigamail!

Hab jetzt im abgesicherten Modus gescannt, mit AntiVir (Update von gestern) und anschliessend mit a² Guard, beide Programme haben nichts gefunden!

Melde mich, wenn ich mit Deinem Hinweis durch bin!

Gruss,
Karo

Hi Gigamail!

Es ist ein- und derselbe Trojaner, den AntiVir auch schon gefunden hatte.
Es wurde kein weiterer gefunden, bis auf diese hier im folgenden genannten!!!


Tue Mar 15 15:17:20 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Mar 15 15:17:20 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\qttask.VIR


Gruss,
Karo

die Auswertung ist für uns interssant
sieht so aus und steht in Deiner Logdatei

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Hier ist es:

Tue Mar 15 16:11:55 2005 => Total Files Scanned: 40140
Tue Mar 15 16:11:55 2005 => Total Virus(es) Found: 1
Tue Mar 15 16:11:55 2005 => Total Disinfected Files: 0
Tue Mar 15 16:11:55 2005 => Total Files Renamed: 0
Tue Mar 15 16:11:55 2005 => Total Deleted Files: 0
Tue Mar 15 16:11:55 2005 => Total Errors: 6
Tue Mar 15 16:11:55 2005 => Time Elapsed: 01:11:48
Tue Mar 15 16:11:55 2005 => Virus Database Date: 2005/03/11
Tue Mar 15 16:11:55 2005 => Virus Database Count: 121166

Tue Mar 15 16:11:55 2005 => Scan Completed.

Tue Mar 15 16:18:55 2005 => Virus Database Date: 2005/03/11
Tue Mar 15 16:18:55 2005 => Virus Database Count: 121166
Tue Mar 15 16:19:07 2005 => AV Library Unloaded (3)...


Gruss...

dann leere mal das Infectedverzeichnis von Antivir
C:\Programme\AVPersonal\INFECTED\qttask.VIR
mach das aber bei deaktivierter Systemwiederherstellung sonst ist er beim nächsten Systempunkt zurücksetzen wieder da. Hilfe dazu gibt es hier

wenn Du das erledigt hast
erstelle mal noch ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Wird dieses aus mwXface.log - Editor auch gebraucht?

[msvLclnt.dll] [0x00000afc] 15/03/2005 14:48:44:888 :ModuleName = C:\Dokumente und Einstellungen\Tanja\Eigene Dateien\bases\mwavscan.com
[msvLclnt.dll] [0x00000afc] 15/03/2005 14:48:45:048 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000afc] 15/03/2005 14:48:49:735 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000afc] 15/03/2005 14:48:49:735 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000afc] 15/03/2005 14:48:49:735 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000afc] 15/03/2005 14:48:49:735 :Priority : NORMAL
[msvLclnt.dll] [0x00000afc] 15/03/2005 14:48:51:808 :VirusCount = 121166 Latest Date = 2005/03/11
[msvLclnt.dll] [0x00000344] 15/03/2005 14:58:22:290 :ModuleName = C:\Dokumente und Einstellungen\Tanja\Eigene Dateien\bases\mwavscan.com
[msvLclnt.dll] [0x00000344] 15/03/2005 14:58:22:310 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000344] 15/03/2005 14:58:26:997 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000344] 15/03/2005 14:58:27:007 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000344] 15/03/2005 14:58:27:007 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000344] 15/03/2005 14:58:27:007 :Priority : NORMAL
[msvLclnt.dll] [0x00000344] 15/03/2005 14:58:28:098 :VirusCount = 121166 Latest Date = 2005/03/11
[msvLclnt.dll] [0x000003fc] 15/03/2005 15:42:56:375 :[00000001] File C:\System Volume Information\_restore{6DA40B28-4A58-4816-A6F6-3F95DF509680}\RP179\A0051953.exe infected by not-a-virus:RiskWare.Tool.Destart
[msvLclnt.dll] [0x000003fc] 15/03/2005 16:11:55:386 :VirusCount = 121166 Latest Date = 2005/03/11
[msvLclnt.dll] [0x00000344] 15/03/2005 16:18:55:730 :VirusCount = 121166 Latest Date = 2005/03/11

Zitat:

C:\Dokumente und Einstellungen\Tanja\Eigene Dateien\bases\mwavscan.com

daran kann man z. B. erkennen damit der eScann nicht im richtigen Ordner ausgeführt wurde und damit auch nicht richtig upgedated ist. Lese einige Post's weiter unten die erklärung nochmal durch, das blaue sind Link's draudrücken und schon wird alles erklärt.
Hast Du meine letzten beiden Postings auch schon abgearbeitet?