HI,

bin heute zum ersten mal hier!
Hab irgendeinen Dreck auf dem Rechner und weiß mir keinen Rat!
Habe escan laufen lassen und es hat 5 Vieren gefunden 2 gelöscht und 3 umbenannt. Was heißt das? Warum umbenannt und nicht gelöscht wie die anderen beiden? Was soll ich jetzt machen? Bin für jeden Tipp dankbar.

Hallo juniemond,

hattest Du den eScan wie beschrieben erst online geupdatet und dann offline im abgesicherten Modus ausgeführt? Wie heissen die Viren, die gefunden worden sind? Dateien werden umbenannt, wenn sie nicht gelöscht werden können.

Erstelle ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste hier ins Forum.

SD

hat sich erledigt: Doppelposting siehe 7677

SD

Hallo

Ich habe escan wie beschrieben in C:\bases runtergeladen. Durch einen Doppelklick entpackt es sich automatisch..(startet)... Wie kann ich jetzt ein update machen?
Die Datei kavupd.exe existiert bei mir nirgends.

Im Abgesicherten Modus hat escan ohne update folgendes gefunden:

1. Sun Sep 19 13:56:19 2004 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.SdBot.oy" Virus. Action Taken: File Renamed.
2. Sun Sep 19 13:56:03 2004 => *** Killing Infected Process C:\WINDOWS\System32\wupdate.exe...
3. Sun Sep 19 13:56:45 2004 => File C:\WINDOWS\System32\msimn.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
4. Sep 19 13:56:59 2004 => File C:\WINDOWS\System32\scrgrd.exe infected by "Trojan.Win32.Pakes" Virus. Action Taken: File Deleted.

Was jetzt ?

Zitat:

ch habe escan wie beschrieben in C:\bases runtergeladen. Durch einen Doppelklick entpackt es sich automatisch..(startet)... Wie kann ich jetzt ein update machen?

Wie oft willst du das noch posten? http://www.trojaner-board.de/showthread.php?t=7720

Zitat:

Was jetzt ?

http://www.trojaner-board.de/showpos...96&postcount=9

Danke für deine Hilfe!!

Mein Problem ist aber noch nicht gelöst!!!

Deine Antwort:

Du sollst auch nicht doppelklicken!
Rechtklick auf das Archiv -> Dateien entpacken -> Unter Zielverzeichnis folgendes eingeben: C:\bases -> OK

Meinst Du mit "Rechtsklick auf das Archiv", den rechtsklickauf die runtergeladene Datei? Wenn ja, dort finde ich kein Archiv??????
Ich großes schwarzes Loch!!!! Sorry

Rechtklick auf die mwav.exe und danach die weitere Vorgehensweise ausführen.

Mein PC ist anders bei dem geht das nicht!!!!!!!!

Wenn ich einen rechtsklick mache...... kann ich leider nicht die beschriebene
Vorgehensweise tätigen, weil ich nicht die Option habe "Dateien entpacken" sonst würde ich das schon hinbekommen! Prost, jetzt brauch ich ein Bier.

Weist Du Dir jetzt noch einen Rat?

@juniemond


du must Winrar oder Winzip benutzen zum entpacken, danach findest du die gesuchte dateien.



chaosman

Entweder du installierst einen Entpacker, wie chaosman bereits postete, oder du doppelklickst auf die mwav.exe (Signaturen müssten eigentlich aktuell sein) und scannst.

Ansonsten Prost.

Danke

Hat alles funktioniert!!!!
Habe WinZip runtergeladen und dann hat alles geklappt.
Echt geil!

Ihr seit spitze.
Escan hat 4 Fehler gefunden vermudlich die vier Vieren die es ohne das update schon gefunden hatte. Muss ich jetzt noch aktiv werden wenn escan die Vieren gelöscht bzw. umbenannt hat?

ich nochmal:

Hier noch mein HijackThis Logs.
Würde mich über eine Auswertung freuen!



Logfile of HijackThis v1.98.2
Scan saved at 23:18:37, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Lavasoft\Trojancheck 6\tcguard.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\frn_inss\frn_inss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://diraba.teledata.de/dab_neu/mu...nh=0&dp=depot1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Lavasoft\Trojancheck 6\tcguard.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095604666859
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 62.104.191.241 62.104.196.134


Danke


p.s.: Was ist mit meiner vorrangegangenen Frage?

Hallo juniemond,

- scanne bitte mit dem online-scan von Kaspersky folgende Datei:

C:\Programme\frn_inss\frn_inss.exe

- teile uns bitte das Ergenis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Solltest Du diese beiden Seiten nicht kennen, kannst Du sie im abgesicherten Modus mit Hijack This fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://diraba.teledata.de/dab_neu/m...&nh=0&dp=depot1

- besuche dann www.windowsupdate.com und lade das SP2 runter.

Zitat:

Escan hat 4 Fehler gefunden vermudlich die vier Vieren die es ohne das update schon gefunden hatte. Muss ich jetzt noch aktiv werden wenn escan die Vieren gelöscht bzw. umbenannt hat?

In welcher Weise willst Du aktiv werden? Die Viren sind entweder gelöscht oder umbenannt. Kennst Du die Namen der Viren? Vielleicht kannst Du sie uns zusammen mit dem Ergebnis der zu überprüfenden Datei mitteilen.

Gruss
Shadowdance

Hi Shadowdance

Die Datei: C:\Programme\frn_inss\frn_inss.exe ist sauber.


Escan hat im abgesicherten Modus folgende Vieren gefunden:

Backdoor.SdBot.oy
wupdate.exe
Backdoor.Rbot.gen
Trojan.Win32.Pakes

Gruß juniemond

Sorry wenn ich mich jetzt nochmal melde, aber meine Frage, ob ich mit dem Ergebniss von escan jetzt ruhig schlafen kann oder nicht, habt Ihr noch nicht beantwortet!

Die Datei: C:\Programme\frn_inss\frn_inss.exe ist sauber.


Escan hat im abgesicherten Modus folgende Vieren gefunden:

Backdoor.SdBot.oy
wupdate.exe
Backdoor.Rbot.gen
Trojan.Win32.Pakes

und hat sie umbenannt.

Ist jetzt alles OK?

MFG juniemond