Hallo,
habe seit einiger Zeit Probleme mit einem Trojaner. eTrust zeigt ihn mir als Win32.Winshow.S trojan an. Im Ordner System Volume Information. eTrust kann ihn offenbar aber nicht beseitigen.
Wenn ich das System anschließend scanne (eTrust + Kaspersky) ist der Trojaner nicht aufzufinden.
Habe mal ein logfile mit hijack this erstellt.
Weiß jemand Rat?
Vielen Dank

Logfile of HijackThis v1.98.2
Scan saved at 13:30:42, on 14.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Alwil Software\Avast4\aswUpdSv.exe
D:\EZArmor\ETRUST~1\VetTray.exe
D:\Kaspersky\Kaspersky.AV.Personal.Pro\avpcc.exe
D:\Kaspersky\Kaspersky.AV.Personal.Pro\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\VetMsgNT.exe
D:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dirk\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VetTray] d:\EZArmor\ETRUST~1\VetTray.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Hallo,

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Deaktiviere die Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html , wechsle in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und scanne mit eScan (mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken), danach Neustart und die Virus Log Information des eScan posten.

Zitat:

Zitat von frieda72

Windows XP (WinNT 5.01.2600)
Internet Explorer v6.00 (6.00.2600.0000)

www.windowsupdate.com besuchen und alle Patches und Updates installieren.

@ *Christian*
Hatte ich übersehen, merci.

Hallo,
vielen Dank für die schnelle Antwort. eScan hat leider auch nichts gefunden. Hilft es vielleicht weiter wenn ich hinzufüge, dass das Problem nur auftritt wenn ich den Rechner aus dem Schlafmodus hole? Und dies leider auch nicht zuverlässig, sondern nur ab und zu...
Da das gesamte log file wohl zu lang ist hier nur Auszüge:
Wed Sep 15 09:48:54 2004 => **********************************************************
Wed Sep 15 09:48:54 2004 => eScan AntiVirus Toolkit Utility.
Wed Sep 15 09:48:54 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Wed Sep 15 09:48:54 2004 => **********************************************************
Wed Sep 15 09:48:54 2004 => Version 4.4.7
Wed Sep 15 09:48:54 2004 => Log File: C:\bases\mwav.log
Wed Sep 15 09:48:54 2004 => Database Path in KL Key: C:\Programme\Gemeinsame Dateien\KAV Shared Files\Bases.
Wed Sep 15 09:48:55 2004 => Latest Date of files in KL key: 13 Sep 2004 09:01:48.
Wed Sep 15 09:48:55 2004 => Latest Date of files inside MWAV: 15 Sep 2004 08:11:11.
Wed Sep 15 09:49:02 2004 => AV Library Loaded...
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavss.exe
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\Getvlist.exe
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavss.dll
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavssdi.dll
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavssi.dll
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavvlg.dll
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\msvlclnt.dll
Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\ipc.dll
Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\main.avi
Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\virus.avi
Wed Sep 15 09:49:03 2004 => Virus Database Date: 2004/09/15
Wed Sep 15 09:49:03 2004 => Virus Database Count: 103948

Wed Sep 15 09:49:24 2004 => **********************************************************
Wed Sep 15 09:49:24 2004 => eScan AntiVirus Toolkit Utility.
Wed Sep 15 09:49:24 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Wed Sep 15 09:49:24 2004 =>
Wed Sep 15 09:49:24 2004 => Support: support@mwti.net
Wed Sep 15 09:49:24 2004 => Web: http://www.mwti.net
Wed Sep 15 09:49:24 2004 => **********************************************************
Wed Sep 15 09:49:24 2004 => Version 4.4.7
Wed Sep 15 09:49:24 2004 => Log File: C:\bases\mwav.log
Wed Sep 15 09:49:24 2004 => Database Path in KL Key: C:\Programme\Gemeinsame Dateien\KAV Shared Files\Bases.
Wed Sep 15 09:49:24 2004 => Latest Date of files in KL key: 13 Sep 2004 09:01:48.
Wed Sep 15 09:49:24 2004 => Latest Date of files inside MWAV: 15 Sep 2004 08:11:11.

Wed Sep 15 09:49:24 2004 => Options Selected by User:
Wed Sep 15 09:49:24 2004 => Memory Check: Enabled
Wed Sep 15 09:49:24 2004 => Registry Check: Enabled
Wed Sep 15 09:49:24 2004 => StartUp Folder Check: Enabled
Wed Sep 15 09:49:24 2004 => System Folder Check: Enabled
Wed Sep 15 09:49:24 2004 => System Area Check: Disabled
Wed Sep 15 09:49:24 2004 => Services Check: Enabled
Wed Sep 15 09:49:24 2004 => Drive Check Option Disabled
Wed Sep 15 09:49:24 2004 => Scanning Type: Scan And Clean
Wed Sep 15 09:49:24 2004 => Folder Check: Disabled

Wed Sep 15 09:49:24 2004 => ***** Scanning Memory Files *****
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\services.exe
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\lsass.exe
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\Explorer.EXE
Wed Sep 15 09:49:24 2004 => Scanning File C:\bases\mwavscan.com
Wed Sep 15 09:49:25 2004 => Scanning File C:\bases\kavss.exe

Wed Sep 15 09:49:25 2004 => ***** Scanning Registry Files *****

Wed Sep 15 09:49:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Wed Sep 15 09:49:25 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Wed Sep 15 09:49:25 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\System32\webcheck.dll
Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\System32\stobject.dll

Wed Sep 15 09:49:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Wed Sep 15 09:49:25 2004 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Wed Sep 15 09:49:25 2004 => Scanning File D:\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.DLL
Wed Sep 15 09:49:25 2004 => {53707962-6F74-2D53-2644-206D7942484F} = D:\SPYBOT~1\SDHelper.dll
Wed Sep 15 09:49:25 2004 => Scanning File D:\SPYBOT~1\SDHelper.dll

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\Explorer.exe
Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\system32\userinit.exe

Wed Sep 15 09:49:26 2004 => Scanning HKCU\Control Panel\Desktop
Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\System32\logon.scr

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wed Sep 15 09:49:26 2004 => Scanning File d:\EZArmor\ETRUST~1\VetTray.exe

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Wed Sep 15 09:49:26 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Wed Sep 15 09:49:27 2004 => Scanning HKCR\txtfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\comfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\exefile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\dllfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\batfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\piffile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\scrfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\scrfile\shell\config\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\regfile\shell\open\command

Wed Sep 15 09:49:27 2004 => ***** Scanning StartUp Folders *****

Wed Sep 15 09:49:27 2004 => ***** Scanning C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart Folder *****
Wed Sep 15 09:49:27 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart\*.*
Wed Sep 15 09:49:27 2004 => Scanning File C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart\desktop.ini

Wed Sep 15 09:49:27 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Wed Sep 15 09:49:27 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*
Wed Sep 15 09:49:27 2004 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini


Wed Sep 15 09:52:51 2004 => ***** Checking for specific ITW Viruses *****
Wed Sep 15 09:52:52 2004 => Checking for Welchia Virus...
Wed Sep 15 09:52:52 2004 => Checking for LovGate Virus...
Wed Sep 15 09:52:52 2004 => Checking for CodeRed Virus...
Wed Sep 15 09:52:52 2004 => Checking for OpaServ Virus...
Wed Sep 15 09:52:52 2004 => Checking for Sobig.e Virus...
Wed Sep 15 09:52:52 2004 => Checking for Winupie Virus...
Wed Sep 15 09:52:52 2004 => Checking for Swen Virus...
Wed Sep 15 09:52:52 2004 => Checking for JS.Fortnight Virus...
Wed Sep 15 09:52:52 2004 => Checking for Novarg Virus...
Wed Sep 15 09:52:52 2004 => Checking for Pagabot Virus...
Wed Sep 15 09:52:52 2004 => Checking for Parite.b Virus...
Wed Sep 15 09:52:52 2004 => Checking for Parite.a Virus...

Wed Sep 15 09:52:52 2004 => ***** Scanning complete. *****

Wed Sep 15 09:52:52 2004 => Total Number of Files Scanned: 2109
Wed Sep 15 09:52:52 2004 => Total Number of Virus(es) Found: 0
Wed Sep 15 09:52:52 2004 => Total Number of Disinfected Files: 0
Wed Sep 15 09:52:52 2004 => Total Number of Files Renamed: 0
Wed Sep 15 09:52:52 2004 => Total Number of Deleted Files: 0
Wed Sep 15 09:52:52 2004 => Total Number of Errors: 1
Wed Sep 15 09:52:52 2004 => Time Elapsed: 00:03:27
Wed Sep 15 09:52:52 2004 => Virus Database Date: 2004/09/15
Wed Sep 15 09:52:53 2004 => Virus Database Count: 103948

Wed Sep 15 09:52:53 2004 => Scan Completed.

Wed Sep 15 09:53:21 2004 => Virus Database Date: 2004/09/15
Wed Sep 15 09:53:21 2004 => Virus Database Count: 103948
Wed Sep 15 09:53:27 2004 => AV Library Unloaded (3)...

habt ihr euer problem lösen können !???
wenn nicht schreibt es !!
der weg ist sehr unterschiedlich .... daher erst mal nur in kurzform :

Der eigentliche virus ist weg !!!!
er würde nur wieder aktiv wenn ihr eine systemwiederherstellung macht !!!!!!

also SOLLTE man(n) schon etwas unternehmen den eintrag zu entfernen ...
alleine schon wegen den lästigen meldungen ...

Wenn wie von Cidre beschrieben mit der Systemwiederherstellung verfahren wird, sind alle alten Wiederherstellungspunkte gelöscht inklusive des Schädlings, eine Wiederherstellung kann ihn also auch nicht mehr zurückbringen.