Servus!

Nun, die von Dir zitierten Funde sind alle zusammen mit filesharing-tools in Verbindung zu bringen - was Du als Wink mit dem Zaunpfahl verstehen kannst
Die Beschreibungen dazu sind vielfältig, in einigen wird von einer limitierten "Backdoor-Funktionalität" gesprochen!

Die von Dir ebenfalls kritisierte "fast.exe" sollte normalerweise zu den XP PowerToys gehören und einen schnell(er)en Benutzerwechsel ermöglichen.

Die andere Datei - wdfmgr.exe - gehört wiederum zum Media Player 10 - normalerweise auch kein Grund zur Sorge!

In Deinem Log kann ich momentan nichts entdecken, was auf aktive Malware hinweisen würde - was aber nicht zwingend heißt, dass keine mehr aktiv ist.
Lass daher mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

...Herr Stupormundi,

erstmal vielen Dank! Werde dies grad mal bewerkstelligen, und dann feedback leisten - schliesslich wollen wir alle ja was davon haben...


Hochachtungsvoll,

Herr Caypiranha

Aber hier mal vorab: Mal riesen Dank für diese Unterstützung hier!!!
Finde ich ausgesprochen sozial, das hier kompetente Hilfe angeboten wird! :aplaus:



So, nachdem ich den MWAV laufen lassen habe (gründliches Tool!) und mit der Find .exe (COOLES Tool!) mir die wohlweisslichsten Zeilen habe raussuchen lassen, ist die der Befund:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Feb 07 16:05:46 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Tue Feb 07 16:30:22 2006 => File C:\WINDOWS\$NtServicePackUninstall$\logonui.exe infected by "Trojan.Win32.Agent.on" Virus! Action Taken: No Action Taken.
Tue Feb 07 17:36:00 2006 => Scanning File D:\############2sort\__________Lostfile\DIR2809\Maya Shaders, MAYA Shaders, Shaders for Maya_NEW-Dateien\infectedCell-v1.0-.ma_th.jpg
Tue Feb 07 18:30:32 2006 => Scanning File G:\My Private\== MaYa Needs ==\÷÷÷÷ SHADER ÷÷÷÷\+++++shader_weblib\Maya Shaders, MAYA Shaders, Shaders for Maya_NEW-Dateien\infectedCell-v1.0-.ma_th.jpg
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Feb 07 16:28:11 2006 => File C:\System Volume Information\_restore{90978073-933C-4ABB-81C4-894929F726EC}\RP72\A0054159.dll tagged as "not-a-virus:AdWare.Win32.Visua.a". Action Taken: No Action Taken.
Tue Feb 07 16:28:11 2006 => File C:\System Volume Information\_restore{90978073-933C-4ABB-81C4-894929F726EC}\RP72\A0054160.dll tagged as "not-a-virus:AdWare.Win32.Visua.a". Action Taken: No Action Taken.
Tue Feb 07 16:28:57 2006 => File C:\System Volume Information\_restore{90978073-933C-4ABB-81C4-894929F726EC}\RP75\A0054593.dll tagged as "not-a-virus:AdWare.Win32.Visua.a". Action Taken: No Action Taken.
Tue Feb 07 16:28:57 2006 => File C:\System Volume Information\_restore{90978073-933C-4ABB-81C4-894929F726EC}\RP75\A0054594.dll tagged as "not-a-virus:AdWare.Win32.Visua.a". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Feb 07 15:56:51 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~






Was bedeutet "No Action Taken? Was ist mit den *.JPG´s? Also ich habe wohl mal gehört, das sich in JPG´s auch bösartiger Code einbringen liesse.

Gibts eine Möglichkeit auf den System Volume Information Ordner zuzugreifen?

Ist es ratsam das Tool (nochmal) im abgesicherten Modus laufen zu lassen?

Ich teste es schon mal...





regards!

Hallo Caypiranha,
Schulenglisch ist lang her oder nie gehabt ?Das EScan-Proggi zeigt nur an,was nicht i.O. ist.Es löscht nichts=No Aktion taken
Der AV-Hersteller der einen Virus zuerst entdeckt darf ihn auch taufen,da jeder für sich in Anspruch nimmt einen Virus zuerst gefunden zu haben wird eben auch viel getauft.Deiner hat nun den Namen :infectedCell-v1.0-.ma_th.jpg bekommen.Das muß nicht zwingend mit einem Bildchen zusammen hängen,es kommt darauf an wo der Virus bei dir gefunden wird.
Wenn ich mir dein Log so betrachte keimt der Verdacht auf,das Bill Gates von deinem OS nix weiß,könnte das sein ?
Irrlicht

Well, I think when there would be written something like "Keine Aktion Genommen" ... I should ask the same question, Mate!

Tja, danke aber für Deine Erklärung. Das sagt mir also nun, das ich neue Viren auf meinem Rechner habe, welche noch keine, als bekannt gegebenen Definitionen darstellen? oder sind das evt. dann auch keine viren/troj o.ä.?

zum unwissenden Bill: Tja, wenn der Bill wüste, wie beschissen seine seine Hardwarefreischaltung ist, und das ich nach ein paar Mal schlichtweg keinen Bock hab mir erstmal wieder einen neuen Code zu organisieren... Dann darf er ruhig wissen, das sein "Original" staubgeschützt bestens bei mir in der Schublade aufgehoben ist. Ich mache da keinen Bramborium drum. Wo ist das denn rauszulesen?

Hallo Caypiranha,
wer SP2 auf dem Rechner hat,bekommt von Bill noch was persönliches dazu.Das fehlt bei dir.
Für nicht lizensierte OS gibt`s hier keine Unterstützung,zumindest nicht von mir,mit welcher Ausrede auch immer.
Deine Malware ist nicht neu,das hat nix mit der Namensgebung zu tun.
Onlinescanner und Google sollten helfen können.
Irrlicht

Hallöchen Irrlicht,

Gut, mit dem SP2 das habe ich nicht gewusst. Habe mich im Prinzip schon lang nicht mehr mit OS spezifischen Angelegenheiten beschäftigt. Ich denke es hat wohl was mit der Einsicht Billy´s zu tun? Keine Hardwarechecks mehr? Sodann kann ich mir die Sache noch einmal anschauen.

Finde Dein Benehmen äusserst vorbildlich und erwarte auch keine weitere Hilfe in diesem Fall, bis sich meine Weste auf gründlichste gereinigt hat....

Werde mir dann mal, - wenn meine Mailware nicht neu ist - über Google nun mal Infos einsammeln. Danke.

mfg - Caypiranha