TR/Spy.WinDB.3 Trojaner???

Lady Babe · 24.05.2005, 10:33

Ich hab ein Problem!!
Mein Antivir hat den oben genannten Virus(?) gefunden aber nicht gelöscht bekommen. Ich hab es auch mal mit a² probiert, das hat auch nix gebracht. Unter Google hab ich nix gefunden. Was sol ich machen??

felix1 · 24.05.2005, 11:18

Mache einen eScan genau nach Cidres Anleitung und poste das Ergebnis hier.
http://www.trojaner-board.de/showthread.php?t=17492

Lady Babe · 24.05.2005, 13:11

Ok!! Hab nen eScan gemacht!! Ich bin mir jetzt jedoch nicht sicher welches das Ergebnis ist. Heißt die Textdatei einfach nur MWAV?
Soll ich denn wirklich ganz hier rein setzten??
Die ist ziemlich groß!!

felix1 · 24.05.2005, 14:46

Lese bitte in der Anleitung Rot Nr. 5

Zitat Cidre

Zitat:

2. Möglichkeit: Wenn du unsicher bist, dann solltest du einen neuen Thread eröffnen und uns die 'Virus Log Information' [5] zur Verfügung stellen, damit wir dein System analysieren können. Gehe wie folgt vor:

[5] Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.

Lady Babe · 24.05.2005, 15:30

Das muss ich übersehen haben!!
>schnarch<

Hier das Dokument!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 24 12:45:09 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Tue May 24 12:45:09 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Tue May 24 12:45:09 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Tue May 24 12:45:09 2005 => System found infected with BearShare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Tue May 24 12:45:10 2005 => System found infected with WhenU Spyware/Adware (wusn)! Action taken: No Action Taken.
Tue May 24 12:51:44 2005 => File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GFPJUUFX\axload[1].cab infected by "Trojan.Win32.Dialer.ep" Virus! Action Taken: No Action Taken.
Tue May 24 12:52:47 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue May 24 14:02:31 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 24 12:46:01 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Tue May 24 12:51:14 2005 => File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\saveinstwm.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: No Action Taken.
Tue May 24 13:26:44 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 24 14:02:31 2005 => Total Virus(es) Found: 10
Tue May 24 14:02:31 2005 => Total Errors: 19
Tue May 24 14:02:31 2005 => Time Elapsed: 01:15:02
Tue May 24 14:02:31 2005 => Total Objects Scanned: 54541
Tue May 24 12:44:01 2005 => Virus Database Date: 2005/05/24
Tue May 24 14:02:31 2005 => Virus Database Date: 2005/05/24
Tue May 24 14:04:02 2005 => Virus Database Date: 2005/05/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

felix1 · 24.05.2005, 15:42

Lade herunter
Spybot S&D update es und lasse es laufen
http://www.chip.de/downloads/c1_downloads_13001443.html
Lade Dir weiterhin:
ClearProg 1.4.1 Final
http://www.clearprog.de/
Haken bei alles löschen->löschen.
Dann nochmals eScan wie beschrieben.

Lady Babe · 24.05.2005, 18:18

Hab das Gefühl dass das nichts gebracht hat!!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 24 12:45:09 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Tue May 24 12:45:09 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Tue May 24 12:45:09 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Tue May 24 12:45:09 2005 => System found infected with BearShare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Tue May 24 12:45:10 2005 => System found infected with WhenU Spyware/Adware (wusn)! Action taken: No Action Taken.
Tue May 24 12:51:44 2005 => File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GFPJUUFX\axload[1].cab infected by "Trojan.Win32.Dialer.ep" Virus! Action Taken: No Action Taken.
Tue May 24 12:52:47 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue May 24 14:02:31 2005 => Total Disinfected Files: 0
Tue May 24 17:49:42 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Tue May 24 17:49:42 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Tue May 24 17:49:42 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Tue May 24 17:49:42 2005 => System found infected with BearShare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Tue May 24 17:55:59 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue May 24 19:07:04 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 24 12:46:01 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Tue May 24 12:51:14 2005 => File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\saveinstwm.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: No Action Taken.
Tue May 24 13:26:44 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Tue May 24 17:50:32 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
Tue May 24 18:30:57 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 24 14:02:31 2005 => Total Virus(es) Found: 10
Tue May 24 19:07:04 2005 => Total Virus(es) Found: 7
Tue May 24 14:02:31 2005 => Total Errors: 19
Tue May 24 19:07:04 2005 => Total Errors: 30
Tue May 24 14:02:31 2005 => Time Elapsed: 01:15:02
Tue May 24 19:07:04 2005 => Time Elapsed: 01:14:54
Tue May 24 14:02:31 2005 => Total Objects Scanned: 54541
Tue May 24 19:07:04 2005 => Total Objects Scanned: 53088
Tue May 24 12:44:01 2005 => Virus Database Date: 2005/05/24
Tue May 24 14:02:31 2005 => Virus Database Date: 2005/05/24
Tue May 24 14:04:02 2005 => Virus Database Date: 2005/05/24
Tue May 24 17:48:32 2005 => Virus Database Date: 2005/05/24
Tue May 24 19:07:04 2005 => Virus Database Date: 2005/05/24
Tue May 24 19:07:37 2005 => Virus Database Date: 2005/05/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Cidre · 24.05.2005, 22:37

@ Lady Babe

Lösche in der Registry diese Schlüssel manuell:

Zitat:

HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_LOCAL_MACHINE\software\classes\clsid\{558ec983-bedb-9168-b2de-31dbf0ee543e}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17}\componentid
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17}\isinstalled
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17}\locale
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5f95e1af-2620-4f15-bdf9-7fdce4607e17}\version

Quelle: http://www3.ca.com/securityadvisor/p...x?id=453060286

btw:
Du hast vor dem erneuten Scan, die mwav.log nicht gelöscht, darum werden auch die alten Funde noch angezeigt!

Lady Babe · 25.05.2005, 11:27

Ich dachte dass ein neuse log erstellt wird!
Wie kann ich das genau löschen???

Lady Babe · 25.05.2005, 11:44

Ok!!
Hab's gefunden!!!
Soll ich danach noch nen eScan machen??

felix1 · 25.05.2005, 13:59

Zu Deiner Sicherheit solltest Du es tun.

24.05.2005, 11:18	#2
felix1 /// Helfer-Team	TR/Spy.WinDB.3 Trojaner??? Mache einen eScan genau nach Cidres Anleitung und poste das Ergebnis hier. http://www.trojaner-board.de/showthread.php?t=17492 __________________

24.05.2005, 15:42	#6
felix1 /// Helfer-Team	TR/Spy.WinDB.3 Trojaner??? Lade herunter Spybot S&D update es und lasse es laufen http://www.chip.de/downloads/c1_downloads_13001443.html Lade Dir weiterhin: ClearProg 1.4.1 Final http://www.clearprog.de/ Haken bei alles löschen->löschen. Dann nochmals eScan wie beschrieben.

25.05.2005, 13:59	#11
felix1 /// Helfer-Team	TR/Spy.WinDB.3 Trojaner??? Zu Deiner Sicherheit solltest Du es tun.

24.05.2005, 10:33	#1
Lady Babe	TR/Spy.WinDB.3 Trojaner??? Ich hab ein Problem!! Mein Antivir hat den oben genannten Virus(?) gefunden aber nicht gelöscht bekommen. Ich hab es auch mal mit a² probiert, das hat auch nix gebracht. Unter Google hab ich nix gefunden. Was sol ich machen??

24.05.2005, 13:11	#3
Lady Babe	TR/Spy.WinDB.3 Trojaner??? Ok!! Hab nen eScan gemacht!! Ich bin mir jetzt jedoch nicht sicher welches das Ergebnis ist. Heißt die Textdatei einfach nur MWAV? Soll ich denn wirklich ganz hier rein setzten?? Die ist ziemlich groß!! __________________

25.05.2005, 11:27	#9
Lady Babe	TR/Spy.WinDB.3 Trojaner??? Ich dachte dass ein neuse log erstellt wird! Wie kann ich das genau löschen???

25.05.2005, 11:44	#10
Lady Babe	TR/Spy.WinDB.3 Trojaner??? Ok!! Hab's gefunden!!! Soll ich danach noch nen eScan machen??

TR/Spy.WinDB.3 Trojaner???

Plagegeister aller Art und deren Bekämpfung: TR/Spy.WinDB.3 Trojaner???