Man...man..man! Wie mir DAS auf den Keks mit den Viren geht kann sich wohl der eine oder andere vorstellen

Immer wenn ich meinen PC hochfahre, öffnet sich ein kleines Fenster in dem steht: ESS.BAT kann nicht gefunden werden

Also ich habe jetzt alles so gemacht wie HIER beschrieben und hoffe, dass jemand von euch was mit meiner eScan_neu.txt anfangen kann . Ich habe auch keine Lust mein System zu schrotten, da ich es mir mühselig zusammengebaut habe und kein aktuelles Backup habe . Das, was ich habe ist schon 1,5 Jahre alt.

Ich wäre Euch echt dankbar für jede kleine Hilfe!!!

hier meine eScan_neu.txt:


EDIT:

So wie es aussieht, ist meine Datei wohl zu gross (44Kb) um sie hochzufahren. Welche Möglichkeit gibt es denn noch, damit Ihr euch sie mal ansehen könnt und mir dann sagen könnt, wie ich weiter vorzugehen habe.

MfG
Icequade

@Icequade
Guck mal in dem Forum: http://www.informationsarchiv.net/fo...rag-17789.html und vergleiche dein HJT-Log mit dem geposteten.
BTW: Datei von 44kB ist nicht zu groß .

@Rene-gad

Zitat:

Guck mal in dem Forum: http://www.informationsarchiv.net/f...trag-17789.html und vergleiche dein HJT-Log mit dem geposteten.

Danke für die schnelle Antwort . Das werde ich dann gleich machen.
Eins vorweg: Was genau soll ich da beachten, bei Abweichungen?

PS: Werde nochmal versuchen, die Datei hochzuladen.

eScan_neu.txt

Zitat:

Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 19,5 KB Bytes. Ihre Datei ist 43,7 KB Bytes groß.

Auch wenn ich sie ins PDF- Format konvertiere, ist sie immernoch knapp 25KB groß.
Und wenn ich sie als ganzen Text in den Threat einfügen möchte, dann kommt nach ca. 20 Sekunden ein "Fatal Error......../htdocs/u.s.w

MfG
Icequade

@Icequade
Du brauchts wohl nicht, den kompletten Log zu posten. Nur "Infected" und "tagged", sowie Total files, Total viruses -Daten.

Alles klar. habe ich verstanden
Also ich habe jetzt nochmal im abgesicherten Modus HJT scannen lassen. Die Datei st nur 8 kb gross.
Kann ich diese und die von eScan einfach hier so reinposten??? Wie gesagt, ich kenne mich damit eigentlich überhaupt nicht aus. Ich denke aber ma, dass ich bis jetzt alles richtig gemacht habe.
Ich vergleiche jetzt nur noch eben schnell und werde mich dann melden, ok!?

By the way: Danke für die schnelle Antwort

MfG
Icequade

@Icequade
Bitte die beiden Anleitungen im Bereich Log Posten durcharbeiten :
eScan Anleitung
HijackthisAnleitung

So! Hier hänge ich jetzt mal die hijackthis.log an:

hijackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 13:41:45, on 10.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Für Virus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.egal.de.vu/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10060398-E85F-430B-37D1-DA549D95900F} - (no file)
O2 - BHO: (no name) - {366DC85E-5EBB-765B-0EA2-2F7A0C71538C} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {AF77D64E-3DEF-1509-75B6-13BF3E924602} - C:\WINDOWS\System32\klwnwcmm.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E1FD2BD6-D255-D7A8-8D05-6E282D931304} - C:\Windows\system32\fspwdbty.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\Windows\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [iolo System Mechanic Utility Bar] "C:\Programme\iolo\System Mechanic 4\SMUtilityBar.exe"
O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104699126890
O17 - HKLM\System\CCS\Services\Tcpip\..\{9716713F-EA1F-4ECD-A380-13479B28004F}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6D0678B-0CC9-4F71-B846-38AC194F313F}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - D:\Internet\Macromedia\coldfusion\runtime\bin\jrunsvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: kiwemwubbrlk (MsUpdate6) - Unknown owner - C:\Windows\system32\msupd6.exe (file missing)
O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvsvc32.exe
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



MfG
Icequade

Lass mal folgende Datei:

C:\WINDOWS\update\ess.bat

Hier checken:

http://virusscan.jotti.org/de/
www.malwareupload.com

Danke für die schnelle Antwort

Also ich habe jetzt die hijackthis.log scannen lassen aber es wurden keine Viren gefunde!?

Danach habe ich mal die eScan_neu.txt scannen lassen, aber es wurden ebenfalls keine Viren gefunden!?
Verstehe ich nicht!!!???

Gibt es noch eine Möglichkeit?

MfG
Icequade

Nochmal lesen, was cronos geschrieben hat?

Gruß
Yopie

öhm...

Ich finde die ess.bat nicht. Auch wenn ich alle Programme anzeigen lasse

Da sind nur folgende Dateien:
Ordner: Charts, files, Wu_cache_0, Wu_cache_1, Wu_cache_2.

exe: hide.exe, pv.exe, start.exe, Winupdate.exe.

und eine temp.sah

MfG
Icequade

Du kannst mal die *exe-Dateien überprüfen. Vermutlich irgendein *Bot, dann müsstest Du formatieren und neu aufsetzen.

Vorsorglich hier schon mal die Anleitung:
http://www.trojaner-info.de/report_i...nleitung.shtml

Gruß
Yopie

Danke für die schnelle Antwort

Hide.exe

Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)

Kaspersky Anti-Virus---
not-a-virus:RiskWare.Tool.HideWindows gefunden

-------------------------------------------------------------------------

pv.exe

Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)

Kaspersky Anti-Virus---
not-a-virus:RiskWare.PrcView.3724 gefunden

-------------------------------------------------------------------------

start.exe

Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)

Kaspersky Anti-Virus---
not-a-virus:NetCalc.SETI@Home.c gefunden

Entdeckte Packprogramme:
ASPACK

-----------------------------------------------------------------------

WinUpdate.exe

Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)

Keine Viren gefunden...

und jetzt???


MfG
Icequade

Poste mal die eScan-Funde!

Gruß
Yopie

Danke für die schnelle Antwort

oha...

Dann muss ich diese erst einmal abarbeiten. Die ist nämlich knapp 44kb gross und lässt sich ja nicht hochladen.

Wäre vielleicht nett, wenn Du mir mit einfachen Worten erklären könntest, wie und was ich rausfiltern kann und darf.
Und was ich nicht aus der eScan_neu.txt löschen sollte...


EDIT

So: habe Sie mal ins pdf- Format konvertiert. ich hoffe, dass das weiterhilft





MfG
Icequade