@Marc

Wie du es schon sagtest,was tagtäglich von statten geht!


Nun,auf der einen Seite kann ich das voll und ganz nachvollziehen,auf der anderen Seite sage und denke ich mir,dass kann es nicht sein,sicher ist es auch richtig(wie du schon sagtest)dass im Einzelfall zu entscheiden!Nun herrschen hier ja viele verschiedene Charaktere,und ich denke dass ich mich mal zu den Hardlinern zählen kann,ein System was einen Trojan Downloader etc.hat/hatte gehört meiner Auffassung neu aufgesetzt!

Wieso und weshalb erspare ich mir!

Um das mit dir abzuschliessen,wie gesagt,ich akzeptiere die Arbeit die du machst,dagegen habe ich keinen Einwand,im Gegenteil,aber über die Removal-Tool`s sollten wir uns mal unterhalten!


@themitch666

Wende Dich an Sabina,ich kenne dieses Programm nicht,und kann es auch nicht auswerten!Den escan hast du wahrscheinlich immer noch nicht gemacht?!

Hallo@themitch666

oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern
http://nikita.eddys-domain.de/bat/clean.bat
dann erscheint eine clear.bat auf dem Desktop

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "clear.bat" auf dem Desktop doppelklicken und mit "ja" bestätigen, und sofort den PC neustarten.

danach mache bitte zwei Onlinescans:
Kaspersky und panda + berichte, was gefunden wurde
http://nikita.eddys-domain.de/onlinescan.html

Soo....

hab das clean tool im abgesicherten Modus gestartet, hat dann *.* Temp dateien gelöscht, aber die Viruswarnmeldungen von Norton kommen aber immernoch!!!

Das ist das Resultat des 1. Online Scans:


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, September 06, 2005 18:43:10
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/09/2005
Kaspersky Anti-Virus database records: 139123
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 16827
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 3984 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.


Der 2. scant gerade, das muss nicht im abgesicherten Modus gemacht werden oder???


P.S.: Im Taskmanager läuft ein Prozess Names "AVGUARD.EXE" immer mit mindestens 80% der CPU ist meistens mit 100% voll ausgelastet, was bedeutet das?

Noch mal einmisch:
Der AVGUARD ist dein Antivir...
und wie schon mal gesagt, mach doch endlich mal einen eScan des gesamten Systems.
Kaspersky hat gerade mal ~ 17.000 Dateien gescannt (Hast du ja in Auftrag gegeben).
cacatoa

Hallo@themitch666

loesche:
C:\Windows\iun6002.exe

bitte abarbeiten und alles posten:
http://nikita.eddys-domain.de/findqoologic.html

poste bitte hier den Scanreport vom escan, dann sehen wir weiter

Hallo,

befolge die Anweisungen, mache dann auch gleich den escan, hier das 1.Ergebnis:

Find Qoologic last edited 8/30/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
some examples are MRT.EXE NTDLL.DLL.
»»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

If this string search find's both and an exe and dat it's bad.
»»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

* UPX! C:\WINDOWS\AKDEIN~1.EXE
* UPX! C:\WINDOWS\DAEMON.DLL
* aspack C:\WINDOWS\System32\MRT.EXE
* aspack C:\WINDOWS\System32\NTDLL.DLL
»»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»»

(fstarts by IMM - test ver. 0.001) NOT using address check -- 0x7c91df5e

Global Startup:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
.
..
desktop.ini

User Startup:
C:\Dokumente und Einstellungen\Michael Prax\Startmenü\Programme\Autostart
.
..
desktop.ini

»»»»» Search by size and name...
»»»»» Files found by this method are not necessarily bad...
»»»»» Example PNGFILT.DLL ctl3d32.dll are windows files...

das ist das neue log file:

habe diese datei gelöscht:

aspack C:\WINDOWS\System32\MRT.EXE
aspack C:\WINDOWS\System32\NTDLL.DLL

ist aber immernoch da!!!






Find Qoologic last edited 8/30/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
some examples are MRT.EXE NTDLL.DLL.
»»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

If this string search find's both and an exe and dat it's bad.
»»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

* UPX! C:\WINDOWS\AKDEIN~1.EXE
* UPX! C:\WINDOWS\DAEMON.DLL
* aspack C:\WINDOWS\System32\MRT.EXE
* aspack C:\WINDOWS\System32\NTDLL.DLL
»»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»»

(fstarts by IMM - test ver. 0.001) NOT using address check -- 0x7c91df5e

Global Startup:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
.
..
desktop.ini

User Startup:
C:\Dokumente und Einstellungen\Michael Prax\Startmenü\Programme\Autostart
.
..
desktop.ini

»»»»» Search by size and name...
»»»»» Files found by this method are not necessarily bad...
»»»»» Example PNGFILT.DLL ctl3d32.dll are windows files...

Zitat:

Zitat von themitch666

habe diese datei gelöscht:

aspack C:\WINDOWS\System32\MRT.EXE
aspack C:\WINDOWS\System32\NTDLL.DLL

ist aber immernoch da!!!

diese beiden Dateien sind Systemdateien und gehören zu Windows. Wenn du sie löschst werden sie wiederhergestellt.
Das nenn ich doch Sicherheit von SP2

<Servus Sabina>

Hallo@themitch666

nun ja,(seufz) niemand hat gesagt, dass du loeschen sollst, was angezeigt wird es werden mit diesem Tool nicht nur "Viren" erkannt.....

suche bitte (aber nicht loeschen !!!) den vollstaendigen Namen dieser exe.
Rechtsklick--> Eigenschaften-->Erstellungsdatum
C:\WINDOWS\AKDEIN...exe

bleiben wir bei dem, was alle wollen und ich inzwischen auch
poste bitte hier den Scanreport vom escan, dann sehen wir weiter

Hi...

ja also mal sorry dass ich das so voreilig gelöscht hab , dachte das wäre was schlechtes, naja hab ja nochmal glück gehabt.

Okay ich hab en escan zwar gemacht, hat auch an die 2,5 stunden gedauert, allerdings ist die log datei 34MB groß, und unmöglich hier rein zu kopieren, der escan hat ca 64000 Viren gefunden!!!

Was soll ich jetzt also machen???

64000 Malware (warscheinlich -600000 Errors)
Ich glaube hier ist Neuaufsetzen sinnvoller. selbst wenn davon 60000 fehler sind,haben wir immernoch 4000 "viren"
und lösch mal mind. 4000 dateien und einträge in der registrierung - have a lot of fun!
da ist ein Neuaufsetzen des systems schneller.
nach dieser Anleitung aber das dann bitte.

Aber warte noch bis ein Regular aus dem Board hier was zu postet. ich bin mir in der situation nicht so ganz sicher..

Poste doch erst mal die Statistik aus der mwav.log

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

also errors waren es 104, es waren wirklich um die 640000 Viren aber ich glaube der hat die im Quaranty Bereich vom Norton Anti Virus gefunden, kann das sein???

...hmmm die mwav.log datei ist sofort überschrieben sobald ich den escan nochmal starte oder? hab ich nämlich gerade dummerweise gemacht ich scan morgen nochmal, aber mit den 64000 gefunden Viren bin ich mir 100% sicher und den 104 errrors auch , insgesamt gescannte Dateien waren es um die 200.000, sonst wurde nix gefunden.


Trotzdem mal danke für die Hilfe, werde wie gesagt morgen nochmal scannen!!!

Nein, die mwav.log wird weitergeführt.