Hallo,

nachdem meine firewall verdächtige warnmelungen gemacht hat habe ich hier im forum nachgeschaut, eine HTJ logfile erstellt, escan drüber laufen lassen usw.

habe mir den p2pnetwork.exe, winupdate, worm....., backdoor... und was es sonst noch gibt, eingefangen.

das ich das system Neuaufsetzen muss habe ich hier im forum schon rausgelesen, verzichte deshalb auch auf das posten der logfiles.

habe auch schon den threat "neuaufsetzen" gelesen und mir alle updates und programme von einem mac runtergeladen.

trotzdem habe ich noch einige fragen

es handelt sich um einen Aldi rechner, win xp
genügt es von der recovery zu booten und den rechner in den auslieferungszustand zu versetzten? oder muss ich vorher formatieren?

was ist mit der 2. und 3. partition, auf D sind die treiber sind die nur ein backup oder werden die von dort geladen wenn ich ihn in den auslieferungszustand versetze?, die habe ich aber noch auf cd.

auf E sind die recover dateien die nötig sind um das ganze zu machen die kann ich also nicht löschen?!

was ist mit den ganzen backups die ich mir vom verseuchten rechner gebrannt habe, mp3 jpg ... kann ich die wieder aufspielen?!

vielen dank schon mal
gruss Dominik

hier doch die logfile

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde f¸r "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 21 13:36:30 2005 => File C:\Programme\winupdates\winupdates.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Tue Jun 21 13:38:42 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Tue Jun 21 13:40:16 2005 => File C:\a.zip infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Tue Jun 21 13:54:46 2005 => Total Disinfected Files: 0
Tue Jun 21 13:56:32 2005 => File C:\Programme\winupdates\winupdates.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Tue Jun 21 13:58:36 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Tue Jun 21 14:00:00 2005 => File C:\a.zip infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Tue Jun 21 14:56:08 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jun 21 14:56:08 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\MD[1].HTM.001
Tue Jun 21 14:56:08 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\MD[1].HTM.VIR
Tue Jun 21 14:56:08 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\MD[2].HTM.VIR
Tue Jun 21 14:56:08 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\p2pnetworking.VIR
Tue Jun 21 14:56:08 2005 => File C:\Programme\AVPersonal\INFECTED\p2pnetworking.VIR infected by "Backdoor.Win32.Rbot.rc" Virus! Action Taken: No Action Taken.
Tue Jun 21 14:56:08 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\p2pnetworking.VIR00
Tue Jun 21 14:56:09 2005 => File C:\Programme\AVPersonal\INFECTED\p2pnetworking.VIR00 infected by "Backdoor.Win32.Rbot.rc" Virus! Action Taken: No Action Taken.
Tue Jun 21 14:56:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\winupdate.VIR
Tue Jun 21 14:56:09 2005 => File C:\Programme\AVPersonal\INFECTED\winupdate.VIR infected by "Trojan.Win32.Crypt.e" Virus! Action Taken: No Action Taken.
Tue Jun 21 14:56:09 2005 => C:\Programme\AVPersonal\INFECTED\WUDMATE.EXE.VIR.mwt File already Scanned once... not able to clean.
Tue Jun 21 14:56:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\WUDMATE.EXE.VIR.mwt [**]
Tue Jun 21 14:56:09 2005 => C:\Programme\AVPersonal\INFECTED\wudmate.VIR.mwt File already Scanned once... not able to clean.
Tue Jun 21 14:56:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\wudmate.VIR.mwt [**]
Tue Jun 21 14:56:09 2005 => C:\Programme\AVPersonal\INFECTED\wudmate.VIR00.mwt File already Scanned once... not able to clean.
Tue Jun 21 14:56:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\wudmate.VIR00.mwt [**]
Tue Jun 21 14:56:09 2005 => C:\Programme\AVPersonal\INFECTED\wudmate.VIR01.mwt File already Scanned once... not able to clean.
Tue Jun 21 14:56:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\wudmate.VIR01.mwt [**]
Tue Jun 21 15:32:26 2005 => File C:\s.tmp infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Tue Jun 21 16:35:05 2005 => Total Disinfected Files: 0
Sun Jun 26 14:54:21 2005 => Total Disinfected Files: 0
Sun Jun 26 14:54:59 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde f¸r "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 21 13:36:30 2005 => File C:\PROGRA~2\MEDIAA~1\MEDIAA~1.EXE tagged as "not-a-virus:AdWare.WinAD.au". Action Taken: No Action Taken.
Tue Jun 21 13:43:46 2005 => File C:\Dokumente und Einstellungen\Azoyd\crebates.exe tagged as "not-a-virus:AdWare.WinAD.aw". Action Taken: No Action Taken.
Tue Jun 21 13:56:32 2005 => File C:\PROGRA~2\MEDIAA~1\MEDIAA~1.EXE tagged as "not-a-virus:AdWare.WinAD.au". Action Taken: No Action Taken.
Tue Jun 21 14:03:13 2005 => File C:\Dokumente und Einstellungen\Azoyd\crebates.exe tagged as "not-a-virus:AdWare.WinAD.aw". Action Taken: No Action Taken.
Tue Jun 21 14:43:34 2005 => File C:\Program Files\Media Access\MediaAccC.dll tagged as "not-a-virus:AdWare.WinAD.av". Action Taken: No Action Taken.
Tue Jun 21 14:43:34 2005 => File C:\Program Files\Media Access\MediaAccess.exe tagged as "not-a-virus:AdWare.WinAD.at". Action Taken: No Action Taken.
Tue Jun 21 14:49:55 2005 => Scanning File C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Attributes.apln
Tue Jun 21 14:49:55 2005 => Scanning File C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Export Filter.apln
Tue Jun 21 14:49:55 2005 => Scanning File C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Import Filter.apln
Tue Jun 21 15:22:56 2005 => File C:\Programme\Mozilla Firefox\plugins\npzango.dll tagged as "not-a-virus:AdWare.WinAD.aw". Action Taken: No Action Taken.
Tue Jun 21 16:34:27 2005 => File D:\Treiber\PERIPHERIE\WEBCAMS\MD 9369\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 16:34:34 2005 => File D:\Treiber\PERIPHERIE\WEBCAMS\PENCAM MD 9456\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jun 26 14:54:10 2005 => File C:\PROGRA~2\MEDIAA~1\MEDIAA~1.EXE tagged as "not-a-virus:AdWare.WinAD.au". Action Taken: No Action Taken.
Sun Jun 26 14:54:10 2005 => File C:\PROGRA~2\MEDIAA~1\MEDIAA~2.EXE tagged as "not-a-virus:AdWare.WinAD.at". Action Taken: No Action Taken.
Sun Jun 26 14:54:10 2005 => File C:\PROGRA~2\MEDIAA~1\MEDIAA~1.DLL tagged as "not-a-virus:AdWare.WinAD.av". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 21 13:54:46 2005 => Total Virus(es) Found: 6
Tue Jun 21 16:35:05 2005 => Total Virus(es) Found: 15
Sun Jun 26 14:54:21 2005 => Total Virus(es) Found: 3
Sun Jun 26 14:54:59 2005 => Total Virus(es) Found: 0
Tue Jun 21 13:54:46 2005 => Total Errors: 37
Tue Jun 21 16:35:05 2005 => Total Errors: 38
Sun Jun 26 14:54:21 2005 => Total Errors: 0
Sun Jun 26 14:54:59 2005 => Total Errors: 0
Tue Jun 21 13:54:46 2005 => Time Elapsed: 00:18:44
Tue Jun 21 16:35:05 2005 => Time Elapsed: 02:38:22
Sun Jun 26 14:54:21 2005 => Time Elapsed: 00:00:43
Sun Jun 26 14:54:59 2005 => Time Elapsed: 00:00:07
Tue Jun 21 13:54:46 2005 => Total Objects Scanned: 18011
Tue Jun 21 16:35:05 2005 => Total Objects Scanned: 108786
Sun Jun 26 14:54:21 2005 => Total Objects Scanned: 411
Sun Jun 26 14:54:59 2005 => Total Objects Scanned: 141
Tue Jun 21 13:34:50 2005 => Virus Database Date: 2005/06/21
Tue Jun 21 13:54:45 2005 => Virus Database Date: 2005/06/21
Tue Jun 21 13:54:49 2005 => Virus Database Date: 2005/06/21
Tue Jun 21 13:55:43 2005 => Virus Database Date: 2005/06/21
Tue Jun 21 16:35:05 2005 => Virus Database Date: 2005/06/21
Tue Jun 21 16:40:56 2005 => Virus Database Date: 2005/06/21
Sun Jun 26 14:53:02 2005 => Virus Database Date: 2005/06/21
Sun Jun 26 14:54:21 2005 => Virus Database Date: 2005/06/21
Sun Jun 26 14:54:29 2005 => Virus Database Date: 2005/06/21
Sun Jun 26 14:54:59 2005 => Virus Database Date: 2005/06/21
Sun Jun 26 14:55:02 2005 => Virus Database Date: 2005/06/21
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hallo azzzoid,

du bist einer der wenigen, die durch Eigeninitiative und Engagement das Problem selber lösen können.

Zitat:

genügt es von der recovery zu booten und den rechner in den auslieferungszustand zu versetzten? oder muss ich vorher formatieren?

I.d.R. sollte die Recovery CD völlig ausreichend sein, um die Malware zu eleminieren und den Auslieferungszustand wieder herzustellen. Zusätzlich formatieren brauchst du nicht.

Zitat:

was ist mit der 2. und 3. partition,

Normalerweise sollten diese Partitionen unberührt bleiben, aber das ist von Hersteller zu Hersteller verschieden. Zur Sciherheit könnte imho ein manuelles Image nicht schaden. Siehe auch http://www.pcwelt.de/know-how/softwa...40/index1.html.

Zitat:

auf E sind die recover dateien die nötig sind um das ganze zu machen die kann ich also nicht löschen?!

Nein, wäre sonst absurd.

Zitat:

was ist mit den ganzen backups die ich mir vom verseuchten rechner gebrannt habe, mp3 jpg ... kann ich die wieder aufspielen?!

Bevor du diese wieder in dein sauberes System integrierst, sollten sie auf jeden Fall mittels eScan gegengecheckt werden.