Hallo!

Ich hab mir da irgendwas eingefangen und weiss nicht, was es ist. Zwei Dateien sind definitiv da, die nicht dahingehören, aber darf ich sie einfach so löschen? Es handelt sich um die Dateien peniszuklein.exe und TOO_SMAL.EXE

Hier der Malwarescan beider Dateien:

Datei: peniszuklein.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Joke/SmallPen.B joke gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Joke.SmallPen.B-2 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Joke/Delf.M gefunden
Kaspersky Anti-Virus not-virus:BadJoke.Win32.Delf.m gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden


Datei: TOO_SMAL.EXE
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Joke/SmallPen.B joke gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Joke.SmallPen.B-2 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Joke/Delf.M gefunden
Kaspersky Anti-Virus not-virus:BadJoke.Win32.Delf.m gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Joke.Win32.Delf gefunden
VBA32 Keine Viren gefunden

Und beim EScan kam Folgendes raus (editiert):


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: -------------------- INFECTED --------------------
2: 1: Sat Oct 08 15:38:52 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
3: 2: Sat Oct 08 15:38:52 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
4: 3: Sat Oct 08 15:38:52 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
5: 4: Sat Oct 08 15:39:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\suche\lycos\nachrichten\internet.url
6: 5: Sat Oct 08 15:39:07 2005 => System found infected with ezula Spyware/Adware (internet.url)! Action taken: No Action Taken.
7: 6: Sat Oct 08 15:39:08 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Recent\image.lnk
8: 7: Sat Oct 08 15:39:08 2005 => System found infected with powerreg scheduler Spyware/Adware (image.lnk)! Action taken: No Action Taken.
9: 8: Sat Oct 08 15:39:11 2005 => Offending file found: C:\Temp\Temporary Internet Files\content.ie5\5t7szxog\index[1].html
10: 9: Sat Oct 08 15:39:11 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
11: 10: Sat Oct 08 15:39:12 2005 => Offending file found: C:\Temp\Temporary Internet Files\content.ie5\afihlqtu\ads[1].htm
12: 11: Sat Oct 08 15:39:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
13: 12: Sat Oct 08 15:39:13 2005 => Offending file found: C:\Temp\Temporary Internet Files\content.ie5\j3iycqhy\ads[1].htm
14: 13: Sat Oct 08 15:39:13 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.
15: 14: Sat Oct 08 15:39:15 2005 => Offending file found: C:\Temp\Temporary Internet Files\content.ie5\xxdhniqh\aol[1].htm
16: 15: Sat Oct 08 15:39:15 2005 => System found infected with whenu.savenow Spyware/Adware (aol[1].htm)! Action taken: No Action Taken.
17: 16: Sat Oct 08 15:39:15 2005 => Offending file found: C:\Temp\Temporary Internet Files\content.ie5\xxdhniqh\index[1].html
18: 17: Sat Oct 08 15:39:15 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.
19: 16: Sat Oct 08 15:39:15 2005 => Offending file found: C:\Temp\Temporary Internet Files\content.ie5\xxdhniqh\index[1].html
20: 18: Sat Oct 08 15:58:10 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
21: 19: Sat Oct 08 17:28:21 2005 => File C:\_Games&Media\programms\peniszuklein.exe infected by "not-virus:BadJoke.Win32.Delf.m" Virus! Action Taken: No Action Taken.
22: 20: Sat Oct 08 17:28:28 2005 => File C:\_Games&Media\programms\TOO_SMAL.EXE infected by "not-virus:BadJoke.Win32.Delf.m" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: --------------------- TAGGED ---------------------
.
.
.

14: 13: Sat Oct 08 17:28:22 2005 => File C:\_Games&Media\programms\sex2000.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.
15: 14: Sat Oct 08 17:31:18 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\GenericTaggedComponent.java [**]
16: 15: Sat Oct 08 17:31:18 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\GenericTaggedProfile.java [**]
17: 16: Sat Oct 08 17:31:19 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\TaggedComponent.java [**]
18: 17: Sat Oct 08 17:31:19 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\TaggedComponentBase.java [**]
19: 18: Sat Oct 08 17:31:19 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\TaggedComponentFactories.java [**]
20: 19: Sat Oct 08 17:31:19 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\TaggedComponentFactoryFinder.java [**]
21: 20: Sat Oct 08 17:31:19 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\TaggedProfile.java [**]
22: 21: Sat Oct 08 17:31:19 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\TaggedProfileFactoryFinder.java [**]
23: 22: Sat Oct 08 17:31:19 2005 => Scanning File C:\_Java\com\sun\corba\se\internal\ior\TaggedProfileTemplate.java [**]
24: 23: Sat Oct 08 17:34:27 2005 => Scanning File C:\_Java\org\omg\IOP\TaggedComponent.java [**]
25: 24: Sat Oct 08 17:34:27 2005 => Scanning File C:\_Java\org\omg\IOP\TaggedComponentHelper.java [**]
26: 25: Sat Oct 08 17:34:27 2005 => Scanning File C:\_Java\org\omg\IOP\TaggedComponentHolder.java [**]
27: 26: Sat Oct 08 17:34:27 2005 => Scanning File C:\_Java\org\omg\IOP\TaggedProfile.java [**]
28: 27: Sat Oct 08 17:34:27 2005 => Scanning File C:\_Java\org\omg\IOP\TaggedProfileHelper.java [**]
29: 28: Sat Oct 08 17:34:27 2005 => Scanning File C:\_Java\org\omg\IOP\TaggedProfileHolder.java [**]
.
.
.

--------------------------------------------------
--------------------- ERRORS ---------------------
.
.
.

36: 36: Sat Oct 08 15:39:28 2005 => Entry "HKCR\CLSID\{A4845882-333F-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
37: 37: Sat Oct 08 15:39:29 2005 => Entry "HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object "D:\player\WMMP.EXE". Action Taken: No Action Taken.
38: 38: Sat Oct 08 15:39:29 2005 => Entry "HKCR\CLSID\{E07D3492-32B5-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
39: 39: Sat Oct 08 15:39:29 2005 => Entry "HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object "D:\player\WMMP.EXE". Action Taken: No Action Taken.
40: 40: Sat Oct 08 15:39:29 2005 => Entry "HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object "D:\player\WMMP.EXE". Action Taken: No Action Taken.
41: 41: Sat Oct 08 15:39:30 2005 => Entry "HKCR\TypeLib\{4E5A5CBD-2CE8-4085-B515-A20137D70D3D}" refers to invalid object "C:\Programme\Norton Personal Firewall\ACDisp.dll". Action Taken: No Action

Taken.
42: 42: Sat Oct 08 15:39:30 2005 => Entry "HKCR\TypeLib\{873EFD18-33BC-4E25-921F-EBD42EB51126}" refers to invalid object "C:\Temp\goldFisch Installer.exe". Action Taken: No Action Taken.
43: 43: Sat Oct 08 15:39:30 2005 => Entry "HKCR\TypeLib\{F09ED691-830E-11D4-91D7-009027CAC227}" refers to invalid object "C:\Programme\Sophos SWEEP for NT\SAVMSCM.DLL". Action Taken: No

Action Taken.
44: 44: Sat Oct 08 15:39:30 2005 => Entry "HKCR\TypeLib\{F57B25DE-1945-4BE1-8B3D-A1065F8B31A9}" refers to invalid object "D:\player\WMMP.EXE". Action Taken: No Action Taken.
45: 45: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.acl" refers to invalid object "ACLFile". Action Taken: No Action Taken.
46: 46: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.aw" refers to invalid object "AWFile". Action Taken: No Action Taken.
47: 47: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.col" refers to invalid object "COLFile". Action Taken: No Action Taken.
48: 48: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.det" refers to invalid object "DETFile". Action Taken: No Action Taken.
49: 49: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.elm" refers to invalid object "ELMFile". Action Taken: No Action Taken.
50: 50: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.ffa" refers to invalid object "FFAFile". Action Taken: No Action Taken.
51: 51: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.ffl" refers to invalid object "FFLFile". Action Taken: No Action Taken.
52: 52: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.fft" refers to invalid object "FFTFile". Action Taken: No Action Taken.
53: 53: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.ffx" refers to invalid object "FFXFile". Action Taken: No Action Taken.
54: 54: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.frg" refers to invalid object "Access.Fragment". Action Taken: No Action Taken.
55: 55: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.idc" refers to invalid object "idcfile". Action Taken: No Action Taken.
56: 56: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.ldb" refers to invalid object "Access.LockFile.9". Action Taken: No Action Taken.
57: 57: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.lex" refers to invalid object "LEXFile". Action Taken: No Action Taken.
58: 58: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.opc" refers to invalid object "OPCFile". Action Taken: No Action Taken.
59: 59: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.pcb" refers to invalid object "PCBFile". Action Taken: No Action Taken.
60: 60: Sat Oct 08 15:39:30 2005 => Entry "HKCR\.pip" refers to invalid object "PIPFile". Action Taken: No Action Taken.
61: 61: Sat Oct 08 15:39:31 2005 => Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.
62: 62: Sat Oct 08 15:39:31 2005 => Entry "HKCR\.stf" refers to invalid object "STFFile". Action Taken: No Action Taken.
63: 63: Sat Oct 08 15:39:31 2005 => Entry "HKCR\.tuw" refers to invalid object "TUWFile". Action Taken: No Action Taken.
64: 64: Sat Oct 08 15:39:31 2005 => Entry "HKCR\.wll" refers to invalid object "Word.Addin.8". Action Taken: No Action Taken.
65: 65: Sat Oct 08 15:39:32 2005 => Entry "HKCR\ed2k\shell\open\command" refers to invalid object ""C:\Programme\eMule\eMule.exe" "%1"". Action Taken: No Action Taken.
66: 66: Sat Oct 08 17:01:25 2005 => Result: ERROR!!! File C:\_Fachhochschule\Informatik\Java\JavaCD\Tools\WINZIP70.EXE is Not Scanned
67: 67: Sat Oct 08 17:01:47 2005 => Result: ERROR!!! File C:\_Fachhochschule\Kopie von Informatik\Java\JavaCD\Tools\WINZIP70.EXE is Not Scanned
68: 68: Sat Oct 08 17:50:26 2005 => Result: ERROR!!! File G:\_Backup\Sicherung\_Fachhochschule\Informatik\Java\JavaCD\Tools\WINZIP70.EXE is Not Scanned
69: 69: Sat Oct 08 17:50:45 2005 => Result: ERROR!!! File G:\_Backup\Sicherung\_Fachhochschule\Kopie von Informatik\Java\JavaCD\Tools\WINZIP70.EXE is Not Scanned

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\_Games&Media\programms\peniszuklein.exe => not-virus:BadJoke.Win32.Delf.m
2: C:\_Games&Media\programms\TOO_SMAL.EXE => not-virus:BadJoke.Win32.Delf.m

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sat Oct 08 18:01:20 2005 => Total Objects Scanned: 148768
Sat Oct 08 18:01:20 2005 => Total Virus(es) Found: 16
Sat Oct 08 18:01:20 2005 => Total Errors: 69
Sat Oct 08 18:01:20 2005 => Virus Database Date: 2005/09/27
Sat Oct 08 18:01:20 2005 => Virus Database Count: 151405
Sat Oct 08 18:35:37 2005 => Total Objects Scanned: 148768
Sat Oct 08 18:35:37 2005 => Total Virus(es) Found: 16
Sat Oct 08 18:35:37 2005 => Total Errors: 69



Wer kann mir weiterhelfen? Einen anderen PC hab ich bereits mit nem Virus "zerschossen", jetzt trau ich mich gar nicht mehr selbst ran ...

Liebe Grüße von der Virenhasserin

Die von Dir genannten sind Spassprogramme. Das Teil mit dem Penis wird von einigen Antivirenprogrammen angemeckert, tun aber nichts. Wenn es Dich beruhigt, lösche sie.

Das könntest Du noch tun:
Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Da Du ja schonmal escan gemacht hast, lösche im Verzeichnis C.\bases_x die Datei mwav.log. Wenn Du dann den escan erneut durchgeführt hast, sollte nicht mehr viel übrig sein.

Die Datei MWAV lässt sich besser mit der Datei find.bat von Haui auswerten. Das steht auch in der Anleitung.

Hi Felix,

sicher, dass das nur Spaßprogramme sind? Woher kommen sie denn so plötzlich? Bisher hat mein Virenprogramm noch nie darüber gemeckert und jetzt bekomme ich alle paar Minuten Warnmeldungen und das nervt ungemein

AntiVir sagt noch:

08.10.2005,13:56:54 [WARNUNG] Ist das Trojanische Pferd TR/Click.Agent.AC!
C:\TEMP\ICD3.TMP\VBSYS2.DLL
08.10.2005,13:59:17 [WARNUNG] Enthält Code des ADSPY/SaveNow.BJ.1-Virus!
C:\TEMP\ICD3.TMP\MIRARSETUP.EXE
08.10.2005,14:06:11 [WARNUNG] Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml!
C:\TEMP\TEMPORARY INTERNET FILES\CONTENT.IE5\5T7SZXOG\T19143[2].HTM
[INFO] Die Datei wurde gelöscht!

Hängt das auch damit zusammen?

Grüße
Virenhasserin

Zitat:

Zitat von Virenhasserin78

Hi Felix,

sicher, dass das nur Spaßprogramme sind? Woher kommen sie denn so plötzlich? Grüße Virenhasserin

Du musst doch wissen, wo die her sind.
Mache erst mal das von mir beschriebene und dann sehen wir weiter.