Hallo..

Habe hier mal eine Frage zu der Nutzung der bei Escan gefundenen Informationen..

Lasse ich Escan im abgesicherten Modus laufen und habe nacher die Funde in dem Abschnitt "Virus Log Information" bzw. in der riesigen "mwav.log"
habe ich Probleme die Funde zu nutzen..
D.h. ich kann die Funde direkt in dem Kasten "Virus Log Information" nicht durch makieren und kopieren direkt irgendwo einfügen..

So muss ich immer den 'blöden' Weg beschreiten alle Viren erst in der "mwav.log" zu suchen und jede einzeln zu kopieren..

Da das doch sehr umständlich und super zeitintensiv ist.. Frage ich mich ob es nicht einen besseren oder schnelleren Weg gibt..

Hab da zwar schon in der Anleitung von Escan von .."Find.bat".. gelesen, allerdings weiß ich nicht, wie ich die auf meinen Rechner bekomme und dann nutze..

Wer kann mir da helfen..

Hi,
Hier sind Deine Fragen beantwortet.
cacatoa

Hallo..

Danke für die Rückmeldung..
Das hab ich schon mal probiert und da liegt auch mein Problem..

Wenn ich Find.bat anklicke und sie einfach nur mal öffnen will, dann werde ich gefragt, mit welchem Programm es geöffnet werden soll..

Da bleibe ich dann hängen.

Wenn ich das mit rechtsklick mache und dann "Ziel speichern unter" hab ich es zwar in einem Ordner liegen, aber halt nur als Blatt mit diesem typischen Windowszeichen drin..

Hab ich jetzt da was falsch gemacht oder fehlt mir ein Programm zum öffnen..?
Hoffe hier bricht jetzt kein Gelächter aus..

Du hast die "Find.rar" aber vorher schon mit einem Packprogramm (z.B. Winrar, ist Freeware), entpackt, oder?
cacatoa

Sorry,

ich klicke natürlich die "Find.rar" an und nicht die "Find.bat".

Also habe "Find.rar" mit "Ziel Speichern unter" in einen Ordner rüber geholt.

Jetzt liegt sie in meinem Ornder als dieses eben angesprochene Blatt mit der Bezeichnung "Find.rar"

Als Programm zum entpacken hab ich WinZip.

Ich wüsste jetzt nicht wie ich es irgendwie entpacken kann..?

Mit WinRAR. Downloadlink (probier die links mal durch, von irgendeinem gehts zum runterladen)

Super, hat alles geklappt..

Erst mal danke.. Manche Sachen können so einfach sein, aber wenn erst mal ein Denkfehler drin ist, dann gute Nacht..
Dachte eigentlich das Winzip wenn es was zu entpacken gibt das eigentlich hinbekommt, aber .. weit gefehlt..

Jetzt kommt aber mein eigentliches Problem.. Wo mir jemand beim Auswerten helfen müsste..
Hier mein HJack-Lockfile

und meine Escan Auswertung..

Info: die Proxyserver-einrichtungen sind OK und gewollt.



Logfile of HijackThis v1.99.1
Scan saved at 11:09:48, on 25.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\NWTRAY.EXE
C:\NORMAN\bin\ZLH.EXE
C:\WINNT\mHotkey.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\WINNT\system32\dpmw32.exe
C:\WINNT\system32\mfcrq32.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Novell\ZENworks\NalAgent.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\sysjd32.exe
C:\Dokumente und Einstellungen\Kropff\Startmenü\Programme\Autostart\SCHDPL32.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\bin\cclaw.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSOffice\Office10\WINWORD.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINNT\System32\wisptis.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.erzbistum-paderborn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.30:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;172.16.102.22;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {7DC57C00-AB82-D195-38DF-737FEC07CDCB} - C:\WINNT\system32\iera32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\system32\dpmw32.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINNT\system32\zentray.exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [mfcrq32.exe] C:\WINNT\system32\mfcrq32.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SCHDPL32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: NALDSK.bat
O4 - Global Startup: Outlook Express starten.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: Domain = egv.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: NameServer = 10.0.1.35,10.0.1.40
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: NetIdentity Notification - C:\WINNT\system32\Novell\XtNotify.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\NORMAN\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\System32\oodag.exe
O23 - Service: OracleORACLE6iClientCache80 - Unknown owner - c:\oracle\ORACLE6i\BIN\ONRSD80.EXE
O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINNT\System32\Novell\XTAgent.exe
O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 23 12:37:50 2005 => File C:\WINNT\atlro32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 12:37:54 2005 => File C:\WINNT\javash.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 12:37:54 2005 => File C:\WINNT\javavg.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 12:37:56 2005 => File C:\WINNT\mswp.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 12:38:07 2005 => File C:\WINNT\system32\apixo32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 12:38:12 2005 => File C:\WINNT\system32\atlli32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 12:39:40 2005 => File C:\WINNT\system32\mfcrq32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken.
Tue Aug 23 12:40:55 2005 => File C:\WINNT\system32\sysjd32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:14:43 2005 => File C:\WINNT\atlro32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:20:19 2005 => File C:\WINNT\javash.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:20:19 2005 => File C:\WINNT\javavg.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:20:37 2005 => File C:\WINNT\mswp.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:23:13 2005 => File C:\WINNT\system32\apixo32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:23:17 2005 => File C:\WINNT\system32\atlli32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:24:42 2005 => File C:\WINNT\system32\mfcrq32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:25:54 2005 => File C:\WINNT\system32\sysjd32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Tue Aug 23 13:26:55 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 23 12:42:12 2005 => File C:\DOKUME~1\Kropff\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\1LCNGF1V\msg_1[1].html tagged as "not-a-virus:PSWTool.HTML.Fraud.gen". Action Taken: No Action Taken.
Tue Aug 23 12:51:37 2005 => File C:\Dokumente und Einstellungen\Kropff\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\1LCNGF1V\msg_1[1].html tagged as "not-a-virus:PSWTool.HTML.Fraud.gen". Action Taken: No Action Taken.
Tue Aug 23 13:12:10 2005 => File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
Tue Aug 23 13:12:10 2005 => File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
Tue Aug 23 13:12:10 2005 => File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 23 13:26:55 2005 => Total Virus(es) Found: 26
Tue Aug 23 13:26:55 2005 => Total Errors: 89
Tue Aug 23 13:26:55 2005 => Time Elapsed: 00:51:51
Tue Aug 23 13:26:55 2005 => Total Objects Scanned: 66651
Tue Aug 23 12:26:58 2005 => Virus Database Date: 2005/08/17
Tue Aug 23 12:34:40 2005 => Virus Database Date: 2005/08/17
Tue Aug 23 13:26:55 2005 => Virus Database Date: 2005/08/17
Tue Aug 23 14:33:20 2005 => Virus Database Date: 2005/08/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Leider hast Du Dir das hier eingefangen:
Tue Aug 23 12:37:50 2005 => File C:\WINNT\atlro32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.

Dabei handelt es sich um folgendes Schadenspotential:
http://www.sophos.de/virusinfo/analy...ojagentde.html

Deshalb kann ich Dir nur dazu raten:
http://www.trojaner-board.de/showthread.php?t=12154

Halte Dich genau an die Anleitung.

Blöd blöd..

Wollte jetzt nicht so sehr ausfallend werden..

Letzte Frage:

Kann ich vorab schon etwas machen, bzw. löschen um dieses Mistding zu zerstören..?

Werd ja dann erst mal komplett meine Passwörter ändern müssen..!!

PC vom Netz nehmen. Die Dateien löschen, obwohl es sinnlos sein wird. Neuaufsetzen.

Zitat:

Werd ja dann erst mal komplett meine Passwörter ändern müssen..!!

Wird auch nichts bringen.

@waemsa:
Also, die beiden Trojs kannst du durch löschen der Dateien und der Entfernung der registry-Einträge wegbringen.
Wie sinnvoll das ist, darüber läßt sich streiten. Insofern geb ich Felix recht.
@ felix1:
Guck mal in deine PN!
cacatoa

Zitat:

Zitat von Waemsa

Sorry,

ich klicke natürlich die "Find.rar" an und nicht die "Find.bat".

Also habe "Find.rar" mit "Ziel Speichern unter" in einen Ordner rüber geholt.

Jetzt liegt sie in meinem Ordner als dieses eben angesprochene Blatt mit der Bezeichnung "Find.rar"

Als Programm zum entpacken hab ich WinZip.

Ich wüsste jetzt nicht wie ich es irgendwie entpacken kann..?

es ist ein fehler in der anleitung:
[5] Rechtsklick auf die Find.rar -> Ziel speichern unter... z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
anstatt find.rar steht find.bat-ausserdem ist der link tot.
hier: http://www.cidres-security.de/escan.html
ist die anleitung richtig und der linkt funzt.

vor dem scan find.bat clicken. am ende eScan_neu.txt öffnen.

2. weiter oben ist die reihenfolge auch verwirrend.

[2] Rechtsklick auf die Datei 'mwav.exe' -> 'Dateien entpacken' auswählen -> unter Zielverzeichnis 'C:\Bases_X' eingeben -> 'OK'

muss vor:
Um eScan zu aktualisieren, muss zunächst zum Ordner 'C:\Bases_X' navigiert und die Datei 'kavupd.exe' ausgeführt werden. Ein kleines DOS - Fenster öffnet sich, Signaturen werden erneuert und nach getaner Arbeit wird das Fenster wieder geschlossen.
stehen.

habe das bereits vor länger zeit erfolglos gemeldet.
sonst: trojaner-board: SUPPI! weiter so.

Zitat:

Zitat von europanorama

es ist ein fehler in der anleitung:

Wann glaubst du mir endlich, daß kein Fehler in der Anleitung ist. Ich weiß jetzt nicht auswendig, wieviel zig tausend User die Anleitung schon problemlos bzw. erfolgreich hier ausgeführt haben -und nicht nur hier, sondern auch in vielen anderen Boards/Foren wird meine Anleitung praktiziert-.

Die Anleitung im Trojaner Board und auch auf meiner HP sind identisch. Der Link funktioniert ebenso.

Zitat:

2. weiter oben ist die reihenfolge auch verwirrend.

Die Reihenfolge ist nicht verwirrend. Die 'Fußnoten' wurden von mir eingesetzt, um den Lesefluß nicht zu stören, denn im Normalfall weiß jeder ONU wie man Dateien entpackt. Falls er/sie es nicht weiß, dann springt er augenscheinlich zur angegebenen Fußnote -kompensiert dadurch das nicht vorhandene Wissen- und liest die genaue Vorgehensweise nach.

winme: rechtsklick auf find.bat
der link konnte nicht gespeichert werde. die webseite wurde entweder entfernt oder ihr name wurde verändert. vielleicht funzt es in win2k.

klick auf find.bat
http://www.media-folders.de/user/Haui/Find.bat
the requested url.......was not found on this server....

danke für die fundierte erklärung. im prinzip richtig aber es finden sich immer wieder laien die von sehr wenigem etwas verstehen und alles satz für satz abarbeiten. ob die dann hier etwas zu suchen haben?

@europanorama

Vllt. solltest du mal deinen cache oder sonst was löschen.
Die find.rar ist in jeder Anleitung auf:

http://www.cidres-security.de/picture/Find.rar

verlinkt und funktioniert.