Hallo,
ihr habt mit schon mal sehr schnell und ausführlich weitergeholfen.
mal sehen ob es wieder klappt. euer escan hat mir folgendes ergebnis geschickt:
Sat Jun 25 15:54:14 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Jun 25 16:02:26 2005 => System found infected with YourSiteBar Spyware/Adware ({42F2C9BA-614F-47C0-B3E3-ECFD34EED658})! Action taken: No Action Taken.
Sat Jun 25 16:02:26 2005 => Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 25 16:02:27 2005 => System found infected with IstBAR Spyware/Adware ({86227d9c-0efe-4f8a-aa55-30386a3f5686})! Action taken: No Action Taken.
Sat Jun 25 16:02:27 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 25 16:02:27 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat Jun 25 16:02:27 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 25 16:02:29 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sat Jun 25 16:02:29 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 25 16:02:29 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\yoursitebar !!!
Sat Jun 25 16:02:29 2005 => Offending value found in HKLM\Software\yoursitebar !!!
Sat Jun 25 16:02:29 2005 => Offending Folder C:\PROGRA~1\YOURSI~1 present...
Sat Jun 25 16:02:29 2005 => Object "ToolBar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 25 16:02:30 2005 => Offending Folder C:\DOKUME~1\Carsten\FAVORI~1\Living present...
Sat Jun 25 16:02:30 2005 => Object "ISearchTech.ISTdownloader Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 25 16:02:41 2005 => System found infected with ISTsvc Spyware/Adware (shortcuts.txt)! Action taken: No Action Taken.
Sat Jun 25 16:02:41 2005 => Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 25 16:05:14 2005 => File C:\DOKUME~1\Carsten\LOKALE~1\Temp\Del64.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.


Sat Jun 25 16:07:15 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechISTsvc.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.

Sat Jun 25 16:08:29 2005 => File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\Del64.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.


???????? das sieht nach plattmachen der festplatte aus, oder ???

danke im voraus
carsten

Hallo,

ich wage es zu bezweifeln, daß die gepostete Virus Log Information vollständig ist.

Die einzelnen monierten Funde manuell löschen, wie hier beschrieben und anschließend die Registry mit Hilfe von RegSeeker bereinigen, aber zuvor einen Haken setzen bei 'Sichern vor Löschen', damit ein Backup der Registry angelegt wird.

Nee ich glaub mal noch nicht.

Beginne erstmal das wunderbar rauszulöschen.
Killbox hilft dabei wirklich gut.

Hatte sowas heute auch. Zugleich im Netzwerk *g*

Also nicht verzagen und immer schön

still keep fighting

sorry, aber nur zur sicherheit:
ich soll jetzt das folgende machen:

1. Möglichkeit - Total Commander:
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei 'Versteckte und Systemdateien anzeigen (nur für Experten)' -> 'OK'

Navigiere im linken Fenster z.B. zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.

2. Möglichkeit - KillBox:
Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

3. Möglichkeit - eScan-Checkb9 von Seeker:
Lade eScan-Checkb9 und entpacke das Archiv z.B. in den vorgeschlagenen Ordner 'C:\escheck' -> Installieren -> Datei -> eScan-Log öffnen -> mwav.log auswählen -> Haken setzen bei 'Backup der gelöschten Dateien anlegen' und 'Alle Dateien beim Neustart löschen' -> die gewünschten Dateien anhaken und auf den Button 'Dateien löschen' klicken.
Wichtig: Sollte abschließend ein erneuter Scan mit eScan durchgeführt werden, dann ist es zwingend notwendig, daß die 'mwav.log' zuvor gelöscht wird, da diese nicht überschrieben, sondern nur erweitert wird!


korrekt ?

Ja, wähle eine Alternative aus, die dir passend erscheint.

hallo
habe jetzt mit killbox die folgenden C oder E Pfade gelöscht.
das ist der log den escan erstellt hat:
Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ToolBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ISearchTech.ISTdownloader Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\Install.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\YSBactivex.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.
File C:\DOKUME~1\Carsten\LOKALE~1\Temp\Del9.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\DOKUME~1\Carsten\LOKALE~1\Temp\MSW45.tmp tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\Carsten\LOKALE~1\Temp\res65.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\!Submit\Del64.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechISTsvc.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechSlotch.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\Del9.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\MSW45.tmp tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\res65.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\1614248F infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.
File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\478C0E45 infected by "Trojan-Downloader.Win32.Dyfuca.gen" Virus! Action Taken: No Action Taken.
File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\478F3842 tagged as not-a-virus:ToolBar.YourSiteBar.d. No Action Taken.
File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\504C4690 infected by "Trojan-Downloader.Win32.Dyfuca.ei" Virus! Action Taken: No Action Taken.
File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\62FF60CD tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.
File C:\Programme\Norton SystemWorks\Norton CleanSweep\Backup\180s9226.BUD tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ClientAX.dll tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\WINDOWS\system32\Macromed\Shockwave 10\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

werde heute abend nochmals den escan durchführen
mal sehen was dann zu sehen ist.
o.k.
danke
carsten

Nicht vergessen, daß die mwav.log zuvor gelöscht werden sollte.

tja leider wieder einiges gefunden:

Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ToolBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ISearchTech.ISTdownloader Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\Install.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\YSBactivex.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0AC49246-419B-4EE0-8917-8818DAAD6A4E}" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ClientAX.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.
File C:\!Submit\Del64.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\504C4690 infected by "Trojan-Downloader.Win32.Dyfuca.ei" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{372C3ACA-0037-450C-BD7E-D7B977D00B2D}\RP1\A0000004.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{372C3ACA-0037-450C-BD7E-D7B977D00B2D}\RP1\A0000005.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{372C3ACA-0037-450C-BD7E-D7B977D00B2D}\RP1\A0000006.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

das alles wurde auf C gefunden, D ist sauber da sind meine "eigenen Dateien"

was tun ?? C plattmachen und D behalten ?
oder gibt es noch hoffnung ? speziell der trojaner nervt da schon.
wie ist der eigentlich durch norton antivirus durch gekommen?

bis dann
carsten

Zitat:

Zitat von oetti

oder gibt es noch hoffnung ? speziell der trojaner nervt da schon.

das ist imho ein Killbox-Eintrag, kannst du einfach so löschen.

Zitat:

wie ist der eigentlich durch norton antivirus durch gekommen?

Du hast ihn installiert! Vermutlich durch einen unsicheren bzw. unsicher konfigurierten Browser. Ein AV-Programm kann nicht jeden User-Fehler ausbügeln!

Gruß
Yopie