Hallo Foris,

ich bin durch Zufall auf eScan -und dieses Forum- gestoßen und habe nun entdeckt, dass mein Rechner scheinbar ziemlich virenverseucht ist :-(
Hatte bisher nur Antivir drauf und das hat den Kram (bis auf einen Trojaner-Downloader) scheinbar nicht gefunden.

Mich würde jetzt zunächst interessieren, wie gefährlich das Zeugs ist was ich mir so eingefangen hab.

Leider hat das mit dem Installieren der "Find.bat" Datei nicht so ganz hingehauen, bzw. ich hab sie zwar auf dem Rechner kann sie aber irgendwie nicht benutzen.
Genauso wenig hab ich eScan aktualisieren können. Der Ordner Bases_X' existiert bei mir gar nicht, oder zumindest kann ich ihn nicht finden. Ebensowenig die Dateien 'kavupd.exe' und 'mwav.log'.

Naja, der Scan hat aber zumindest fehlerfrei funktioniert und zumindest hab ich mir alle Informationen manuell abgespeichert. Also sowohl die Namen der gefundenen Viren/Trojaner, als auch die Pfade der durchsuchten Dateien.

Ich weiß nicht ob es genügt, sie hier einfach mal anzugeben. Eigentlich sollte -laut Anleitung- ja noch folgendes vorgenommen werden: "Das Log-File nach persönlichen Informationen, wie z.B. den Realname, durchsuchen und editieren, bevor es gepostet wird."

Bin leider eine ziemlich Laie auf dem Gebiet, keine Ahnung was genau ich da "editieren" soll.

Falls die Angaben also nicht genügen damit mir jemand weiterhelfen kann, bitte sagen, was genau ich da zu tun habe.

Achja, ich habe eScan versehentlich auch nicht im abgesicherten Modus laufen lassen (schlimm?) und die Systemwiederherstellung war auch noch aktiv (jaja, wenn man sich nicht alles ganz genau durchliest...,) Wobei die Deaktivierung ja glaub ich sowieso erst beim Entfernen der schädlichen Dateien wichtig ist, oder?

Als nächsten Schritt hatte ich jetzt vor, die entsprechenden Dateien mit "Kill Bill" zu vernichten. Hatte ich mir auch schon runtergeladen.

Ist das wohl ausreichend oder gibt es danach noch etwas, was ich tun sollte?

Vielen Dank im voraus!
Bin für alle Tipps dankbar!

Es grüßt
DeineMudda

Hier nun die schädlichen Dateien:

File C:\WINDOWS\System32\nvms.dll tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\Programme\NaviSearch\bin\nls.exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\WINDOWS\System32\nvms.dll tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\Programme\NaviSearch\bin\nls.exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
Object "BlazeFind Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "BullsEye Network Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "exactutil Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "CWS.smartsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\stoolbar.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\WinStatX.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{09884470-bede-480c-949b-17cac55a7ed9}" refers to invalid object "C:\WINDOWS\System32\baera.dll". Action Taken: No Action Taken.
File C:\WINDOWS\System32\exdl.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\System32\exdl2.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\System32\exul.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\System32\exul2.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\System32\javexulm.vxd tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\System32\mqexdlm.srg tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\System32\omdxmcx.exe infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\System32\supdate.dll infected by "Trojan-Downloader.Win32.Qoologic.p" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Nicole\Eigene Dateien\SONSTIGES (noch zu sortieren)\sonstiges3\bom2011_setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\ACDSee32\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AstroWorld98\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AstroWorldSuite\AstroWorld40ger\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\ICQLite\Unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Mp3pro\DivX 5.02 Pro\DivXPro502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Mp3pro\Radium Mp3 Codec\SETUPL3C.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Mp3pro\Radium Mp3 Codec v.1.263.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Mp3pro\Steinberg MyMP3 Pro 4.0\SetupPro.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\myMP3 PRO 4.0\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Sybex\AstroWorld 2002\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP338\A0200413.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206049.srg tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206050.dll tagged as "not-a-virus:AdWare.BargainBuddy.l". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206077.exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206078.exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206079.exe tagged as "not-a-virus:AdWare.BargainBuddy.aa". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206080.exe tagged as "not-a-virus:AdWare.BargainBuddy.y". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206081.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206082.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206086.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206094.dll tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP347\A0206099.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP348\A0207112.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP348\A0207132.cpl infected by "Trojan-Downloader.Win32.Qoologic.p" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP348\A0207152.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP349\A0208178.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP349\A0208179.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP350\A0208211.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{C80A6151-F77F-46F3-BEB3-C314355802BB}\RP350\A0208212.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\installer_MARKETING32.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl2.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul2.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\javexulm.vxd tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mqexdlm.srg tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\supdate.dll infected by "Trojan-Downloader.Win32.Qoologic.p" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\Temp\GL_25.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\INFECTED\A0179136.EXE.VIR infected by "Trojan-Dropper.Win32.Delf.gi" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\installer_MARKETING32.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl2.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul2.exe tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\javexulm.vxd tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\mqexdlm.srg tagged as "not-a-virus:AdWare.BargainBuddy.q". Action Taken: No Action Taken.
File C:\WINDOWS\system32\supdate.dll infected by "Trojan-Downloader.Win32.Qoologic.p" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\Temp\GL_25.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken

Guggst du hier:
http://www.trojaner-board.de/showthr...687#post154687
Ansonsten gibt es Google und das Virenlexikon http://www.sophos.de/virusinfo/analyses/

Hallo Big Surfer (und alle andren),

Danke für Deine schnelle Antwort!

Ich habe schon versucht per Viren-Lexika und Google genauere Infos herauszubekommen, aber bisher hatte ich damit keinen Erfolg.

Über Google lande ich immer wieder nur in diesen oder anderen Foren, wo die selben Viren/Trojaner von anderen Leuten in deren Logfiles (nennt man doch so?) aufgeführt werden. Infos, worum es genau geht und welchen Schaden man hat, hab ich dadurch nicht herausfinden können.

Und in den Viren-Lexika (auch in dem von Dir aufgeführten) hab ich überhaupt keine Informationen bekommen.

Im Endeffekt ist es mir eigentlich auch egal, was genau jeder einzelne Schädling anrichtet. Mich interessiert in erster Linie, ob etwas ganz Gefährliches dabei ist. Und ob es genügt, die Dateien zu entfernen oder ob es unbedingt erforderlich ist, das System neu aufzuziehen. Denn das möchte ich gern vermeiden.
Ich möchte mich aber auch wieder sicher genug fühlen, um bspw. Internetbanking durchzuführen.

Und ich dachte, hier sind vielleicht Experten, die mir mit kurzem Blick auf die Liste gleich was dazu sagen können.

Ansonsten kann ich nur sagen (wobei das vermutlich jeder von sich behauptet), dass ich mich eigentlich immer ziemlich gewissenhaft im Internet verhalte. Ich benutze kein Outlook, öffne keine email-Anhänge die nicht auf Viren gecheckt sind (macht web.de ja automatisch), öffne grundsätzlich keine mails von Leuten die ich nicht kenne, führe keine bzw. nicht irgendwelche exe.Dateien aus, lade mir so gut wie nichts aus dem Internet auf meinen Rechner, führe regelmäßig Windows-updates durch, treibe mich nicht auf Sex-Seiten herum etc.

Vorwerfen kann man mir allerdings, dass ich immer noch keine Firewall habe. Dies aber allein deshalb, weil ich zunächst eine neue Festplatte brauche, da ich auf meinen beiden Festplatten (zusammen grad mal ca. 5 GB) wirklich keinen Milimeter mehr Platz habe. Und, dass ich mich irgendwann dazu habe hinreißen lassen ICQ-Lite und Emule aufzuspielen.
Habe ich zwar beides nur ein paar mal benutzt und seit Monaten gar nicht mehr verwendet, aber dadurch habe ich ja scheinbar irgendwelche Ports geöffnet (was immer das heißen mag), und mein System unsicherer gemacht. Haben mir jedenfalls Freunde so erklärt.

Vor ca. zwei Wochen hab ich allerdings versucht eines dieser nervigen Werbefenster zu schließen, auf die man überall stößt und dabei hat sich GEGEN MEINEN WILLEN etwas -bzw. gleich zwei Sachen wie ich später merkte- auf meinem Rechner installiert. Keine Ahnung, ob ich versehentlich neben das Schließfenster geklickt habe oder ob die Schließfenster inzwischen schon so dreist programmiert sind, dass sich beim Schließen etwas installiert?!? Jedenfalls hab ich so schnell gar nicht registriert, was da eigentlich grad abgeht.
Erst später hab ich dann eins und eins zusammen gezählt.
Denn auf einmal erschien immer so ein Fenster mit Werbung rechts unten im Bildschirm, das bei jedem Seitenwechsel neue Werbung zeigte. Wobei ich da zuerst noch dachte, dass wäre eine neue Werbe-Masche von web.de, bis ich am nächsten Tag feststellte, dass mein PC im Büro diese Werbung nicht anzeigt... Ja, und dann war da noch so ein "Poker-Spiel" auf meinem Rechner. Ich habe jedenfalls beides über Systemsteuerung/Software/Deinstallieren entfernt und dachte damit wäre der Spuk vorbei.
Inzwischen glaube ich aber fast, dass damit die ganzen Trojaner erst Einzug auf meinem Rechner gehalten haben. Kann das sein?

Das wollte ich nur mal kurz erklären. Denn wenn man nach Infos zu dem Thema surft, kommt man sich schon fast wie der letzte Trottel vor, wenn man einen virenverseuchten Rechner hat. Überall werden User die sich Viren eingefangen haben mit Verhaltensrichtlinien zum sicheren Surfen überhäuft und darauf hingewiesen, dass sie selbst das größte Sicherheitsrisiko darstellen und selber Schuld wären etc....

Vielleicht gibt es ja trotzdem Leute die bereit sind mir weiterzuhelfen.

Grad bei den Fragen zu eScan (siehe erster Beitrag) bin ich nämlich unsicher. Soll ich das scan nochmal -im abgesicherten Modus- durchführen? Und wie schaffe ich es, eScan zu aktualisieren, wo mir die entsprechende Datei doch fehlt?

Fragen über Fragen....

Vielen Dank für Eure Hilfe!

Gruß
DeineMudda

Hallo DeineMudda,

den Ordner "C:\bases_x" muss von Dir zunächst erstellt werden.
Dann sollte die "mwav.exe" dorthin entpackt werden. Somit findest Du dann auch die "kavupd.exe".
Ein Scan im abgesicherten Modus ist auf jeden Fall aussagekräftiger.
Eine Firewall ist unnötig, konfiguriere die "Windows-Dienste" sicherer -->
http://www.ntsvcfg.de/ oder http://www.dingens.org/

dartus

wie naiv kann man sein? kein antiviren scanner findet einen gut gestealthten trojaner! da kann man mit adware software virenscannern oder firewalls ausgerüstet sein wie man will... dies ist nur nützlich gg direkte angriffe aber gg einen trojaner bringt dir das rein gar nichts...

hi, ich hatte auch mal son Virus in dem angegeben system volume info. ordner

allerdings auch in einem bestimmten Programm.

Schleichen sich die Viren immer da ein wo es ihnen grad passt, oder kann es auch an dem Programm liegen?

vllt auch eine blöde Frage, aber ich hab davon nicht so die Ahnung

Hallo DeineMudda,

Zitat:

Ich benutze kein Outlook...treibe mich nicht auf Sex-Seiten herum etc.

Das ist schon mal der richtige Ansatz. Weitere Absicherungsmaßnahmen sollten dennoch folgen, siehe dazu den 'Neuaufsetzen Link' in meiner Signatur.

Zitat:

dass ich immer noch keine Firewall habe.

Eine PFW ist nicht von Nöten. Warum das so ist, kann hier nachgeslesen werden -> http://www.cidres-security.de/firewall.html

Zitat:

Überall werden User die sich Viren eingefangen haben mit Verhaltensrichtlinien zum sicheren Surfen überhäuft und darauf hingewiesen, dass sie selbst das größte Sicherheitsrisiko darstellen und selber Schuld wären etc

Tja, Aufklärung tut Not, wenn man diesen Umstand in Zukunft vermeiden will...

Zitat:

Grad bei den Fragen zu eScan (siehe erster Beitrag) bin ich nämlich unsicher.

Deswegen werde ich dies nochmals aufdröseln.

Zitat:

"Find.bat" Datei nicht so ganz hingehauen, bzw. ich hab sie zwar auf dem Rechner kann sie aber irgendwie nicht benutzen.

Nutzbar ist die Find.bat erst dann, wenn eScan gemäß der Anleitung entpackt, installiert und ebenso gescannt wurde. Erst dann wird eine Text Datei (mwav.log) erstellt und diese wird mit Hilfe der Batch Datei (Find.bat) automatisch durchsucht.

Zitat:

Der Ordner Bases_X' existiert bei mir gar nicht, oder zumindest kann ich ihn nicht finden. Ebensowenig die Dateien 'kavupd.exe' und 'mwav.log'.

Weil du eScan nicht gemäß der Anleitung mit einem Packprogramm entpackst hast. Vermutlich hast du eScan nur temporär entpackt.
Ein genaues Lesen und erneutes abarbeiten der Anleitung, sollte dich hier weiterbringen.

Zitat:

not-a-virus:AdWare.BargainBuddy.n

Siehe http://www.doxdesk.com/parasite/BargainBuddy.html

Zitat:

infected by "Trojan-Downloader.Win32.Qoologic.p"

http://www3.ca.com/securityadvisor/v....aspx?id=43264

Zitat:

infected by "Trojan-Dropper.Win32.Delf.gi

http://www3.ca.com/securityadvisor/p...x?id=453088364

Dein Wissendurst sollte jetzt erstmal gestillt sein.

Hallo zusammen,
vielen Dank für Eure Tipps. Ich werde versuchen zukünftig alles davon zu berücksichtigen. Windows sicherer machen etc.

Habe mir inzwischen schon Spybot und Adaware aufgespielt und bin nun die meisten Viren/Trojaner schon los. Einiges habe ich auch mit Killbox gelöscht.

Jetzt bekomme ich aber einen einzigen Trojaner-Downloader nicht weg.
eScan findet ihn immer noch und ich weiß nicht wie ich ihn vom Rechner entfernen soll, da ich ihn (also die Datei installer_Marketing32) nicht finde kann.

Weiß jemand Rat?

Hier die Angaben aus eScan:

Fri Jul 22 01:35:01 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MARKETING32.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus! Action Taken: No Action Taken.

Vielen Dank schon mal im voraus.

Liebe Grüße
DeineMudda

Hallo DeineMudda

probiere es mit der Einstellung

Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"