Hi, bin neu hier

Habe Adware und Stinger durchlaufen lassen und nichts gefunden.

Wenn ich mich ins Internet verbinde springt sofort mein NOD32 antivirenprogramm an und bringt mir die Meldung dass er ein Trojaner namens Low Zones A Trojaner fand. Er befindet sich im Windows Ordner und heist Re11.reg. Diese Reg Datei lösche ich immer. Was aber wenig bringt, denn beim nächsten verbinden erscheint die Meldung und die Datei wieder.Außerdem erscheinen zwei neue Prozesse namens sp2bbc.exe und test1579547.exe wenn ich mich verbinde.

Hilfe

Hallo,

eine Beschreibung zu Trojan.LowZones findest du hier -> http://securityresponse.symantec.com....lowzones.html

Deaktiviere die beiden Prozesse und lösche anschließend diese Dateien:
sp2bbc.exe, test1579547.exe und Re11.reg

Ob letztlich eine Bereinigung einen Sinn macht, das verrät uns die Virus Log Information von eScan AntiVirus.

Habe herausgefunden dass der Prozess navupdate64.exe die Dateien öffnet. Wenn ich den Prozess vor dem verbinden ins Internet beende, erscheint nichts.

Das liegt also wohl an diesem Prozess. Habe die Datei auf meinem Computer nicht gefunden. Könnt ihr damit was anfangen?


So das alles hat eScan gefunden

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 22 00:07:46 2005 => File C:\WINDOWS\system32\navupdate64.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
Sun May 22 00:07:58 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun May 22 00:11:38 2005 => File C:\DOKUME~1\~2.ART\LOKALE~1\TEMPOR~1\Content.IE5\H0J2LVNO\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus! Action Taken: No Action Taken.
Sun May 22 00:11:38 2005 => File C:\DOKUME~1\~2.ART\LOKALE~1\TEMPOR~1\Content.IE5\H0J2LVNO\med[1].exe infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken.
Sun May 22 00:16:34 2005 => File C:\Dokumente und Einstellungen\.-958GCI9B\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0J2LVNO\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus! Action Taken: No Action Taken.
Sun May 22 00:16:34 2005 => File C:\Dokumente und Einstellungen\.-958GCI9B\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0J2LVNO\med[1].exe infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken.
Sun May 22 00:21:28 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun May 22 00:22:31 2005 => Scanning Folder: C:\Programme\ESET\infected\*.*
Sun May 22 00:22:31 2005 => Scanning File C:\Programme\ESET\infected\FC5ZC3AA.NQF [**]
Sun May 22 00:22:31 2005 => Scanning File C:\Programme\ESET\infected\FC5ZC3AA.NQI [**]
Sun May 22 00:39:19 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FOL5Z3WA\hempy[1].exe infected by "Trojan.WinREG.LowZones.a" Virus! Action Taken: No Action Taken.
Sun May 22 00:39:20 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9ANW9QF\med[1].exe infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken.
Sun May 22 00:47:11 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 22 00:11:34 2005 => File C:\DOKUME~1\~2.ART\LOKALE~1\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Sun May 22 00:11:36 2005 => File C:\DOKUME~1\~2.ART\LOKALE~1\Temp\~vis0001\rebootnt.exe tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Sun May 22 00:16:07 2005 => File C:\Dokumente und Einstellungen\.-958GCI9B\Eigene Dateien\fgf140.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
Sun May 22 00:16:33 2005 => File C:\Dokumente und Einstellungen\.-958GCI9B\Lokale Einstellungen\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Sun May 22 00:16:34 2005 => File C:\Dokumente und Einstellungen\.-958GCI9B\Lokale Einstellungen\Temp\~vis0001\rebootnt.exe tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Sun May 22 00:17:28 2005 => File C:\Downloads\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
Sun May 22 00:22:18 2005 => File C:\Programme\cd covers program (Cover Pro).exe tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Sun May 22 00:27:23 2005 => File C:\Programme\QuickSearch\QuickSearchBar3_28.dll tagged as "not-a-virus:AdWare.ToolBar.Quick.b". Action Taken: No Action Taken.
Sun May 22 00:27:23 2005 => File C:\Programme\QuickSearch\Uninstall_QuickSearchBar.exe tagged as "not-a-virus:AdWare.ToolBar.Quick.b". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 22 00:47:11 2005 => Total Virus(es) Found: 17
Sun May 22 00:47:11 2005 => Total Errors: 61
Sun May 22 00:47:11 2005 => Time Elapsed: 00:39:59
Sun May 22 00:47:11 2005 => Total Objects Scanned: 51304
Sun May 22 00:03:20 2005 => Virus Database Date: 2005/05/22
Sun May 22 00:07:03 2005 => Virus Database Date: 2005/05/22
Sun May 22 00:47:11 2005 => Virus Database Date: 2005/05/22
Sun May 22 00:48:43 2005 => Virus Database Date: 2005/05/22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



Ich hoffe ihr könnt mir irgendwie helfen

Abgesehen davon, daß Du ab und zu mal die "temporary internet files" löschen solltest und daß ich glaube, du hast den eScan nicht im abgesicherten Modus durchgeführt, würde ich bei einer Infektion mit einem Wurm mit Backdoorfunktion das System neu aufsetzen. Dann hast du erst mal alle Probleme los.
cacatoa

Ich habe eScan im abgesicherten Modus durchlaufen lassen