Hi,
habe euer forum heute gefunden. Leider kann ich Hijack nicht auswerten, bzw. bin ziemlich unsicher. Mag mir jemand helfen?
Vielen, vielen Dank im Voraus

Logfile of HijackThis v1.98.2
Scan saved at 22:15:52, on 23.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\virenschutzavpersonal\AVGUARD.EXE
C:\Programme\virenschutzavpersonal\AVWUPSRV.EXE
C:\temp\fanspeed\fanspeedNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\virenschutzavpersonal\AVGNT.EXE
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Scanner\AM32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\smartsurfer\SmartSurfer.exe
C:\DOKUME~1\Andrea\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\virenschutzavpersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HDDHealth] C:\temp\harddisk suche\HDD Health\hddhealth.exe -wl
O4 - Startup: Verknüpfung mit FRLOSUNG.EXE.lnk = C:\Programme\losungen\Losung\Francais\FRLOSUNG.EXE
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\Scanner\AM32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
O16 - DPF: {10101010-1101-1111-1111-111011101101} - file://c:\windows\system32\calc.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/SSC/Shar...in/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.co...veX/winrep.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/filesharing/activex/upload.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://fotoservice.web.de/static/download/WDU_1251.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

@ana123

schau mal selbst nach
http://www.sophos.de/virusinfo/analy...2agobotaa.html

ist was ungutes.

Das beste ist es wenn du dein system komplett neu aufsetzt, dein system dürfte kompromitiert sein.
unbedingt beim neue system passwörter wechseln.



chaosman

Was meinst Du mit kompromitiert?
Habe doch ständig Antivir drüber laufen gelasen und es wurde nichts gefunden?!
Mit welchem Virenscanner soll ich es mal noch versuchen, bevor ich alles platt mache?

@ana123

d.h. daß ein ander dein systm unte kontrolle hat,
lese doch mal den link.
du kannst gerne mit escan
http://www.trojaner-board.de/42731-escan-anleitung.html
dein glück versuchen, nur betrachte alle deine passwörter als bekannt.

du gehst ein großes risiko ein, ich würde neu aufsetzen.

zur escan, downloaden updaten scannen, mache es genauso wie in der beschreibung. poste danach ein HJT log hier im board.

chaosman

Hallo ana123,

kompromittiert bedeutet, dass sich Trojaner auf einem System befinden. Bei manchen Trojaner ist es ratsam sein System neu aufzusetzen.

Lade Dir einfach mal den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083

Teile uns dann bitte das Ergebnis des eScan, also die Namen des Virus/der Viren mit, die auf Deinem System gefunden worden sind, erstelle ein neues Logfile mit Hijack This und poste es.

Gruss
Shadowdance

[edit] @ Chaosman .. hab Dich erst nach dem posten entdeckt [/edit]

Hallo,
danke für die Tipps bisher.
Habe escan laut Beschreibugn laufen lassen.
Hier der neue Logfile von Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 13:48:42, on 25.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Scanner\AM32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\virenschutzavpersonal\AVGUARD.EXE
C:\Programme\virenschutzavpersonal\AVWUPSRV.EXE
C:\temp\fanspeed\fanspeedNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\smartsurfer\SmartSurfer.exe
C:\TOOLS\WINZIP\wzqkpick.exe
C:\TOOLS\WINZIP\winzip32.exe
C:\Programme\virenschutz\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\virenschutzavpersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Verknüpfung mit FRLOSUNG.EXE.lnk = C:\Programme\losungen\Losung\Francais\FRLOSUNG.EXE
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\Scanner\AM32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\tools\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {10101010-1101-1111-1111-111011101101} - file://c:\windows\system32\calc.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.co...veX/winrep.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83251D6C-CFED-4C20-93F5-1A6D27990F91}: NameServer = 62.104.191.241 62.104.196.134

hi ... der kommt mir verdaechtig vor ...
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
...
Gruss 2low4zero ... also save mal das Register ... per
Start ... ausfuehren ... dann regedit eingeben ...
dann datei
dann exportieren ,,, und einen Datei-namen eingeben ... damit
ist noch nichts kaputt gegangen ... ausser dass du Die Reg-Datei gesichert hast

Was genau hat E-Scan gefunden (siehe SDs Posting)?


Sagt dir dieses Programm etwas:

C:\temp\fanspeed\fanspeedNT.exe

Überprüfe es bitte hier:

http://virusscan.jotti.org/de


Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


O16 - DPF: {10101010-1101-1111-1111-111011101101} - file://c:\windows\system32\calc.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB

Starte neu, lösche die calc.exe und aktiviere die Systemwiederherstellung.

Wie schon gesagt wurde, auf deinem Rechner war ein Schädling aktiv, der anderen nicht mehr vollständig nachvollziehbare Manipulationen erlaubt hat, auch wenn nun Virenscanner nichts mehr finden, bedeutet das keine 100%ige Sicherheit. Die wäre nur durch ein Neuaufsetzen des Systems wiederzuerlangen.

http://oschad.de/wiki/index.php/Kompromittierung


Für die Zukunft beachten:

http://www.mathematik.uni-marburg.de...ompromise.html

Hallo mountainking und 2low4zero und Shadowdance und chaosman,

hier die Liste der Viren, die der Ecasn gefunden hat:
Sat Sep 25 11:58:10 2004 => File C:\WINDOWS\system32\rjdpagd.dll infected by "I-Worm.Tanatos.b.dam2" Virus. Action Taken: File Deleted.
Sat Sep 25 12:02:50 2004 => File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.

Sat Sep 25 12:09:16 2004 => File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CZB7IS51\wbk6E.tmp infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: File Renamed.

Sat Sep 25 12:17:25 2004 => File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3OVO7S5\wbk184.tmp infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: File Renamed.

Sat Sep 25 12:17:25 2004 => File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3OVO7S5\wbk187.tmp infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: File Renamed.

Sat Sep 25 12:17:26 2004 => File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3OVO7S5\wbk18A.tmp infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: File Renamed.

Sat Sep 25 12:17:26 2004 => File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3OVO7S5\wbk18C.tmp infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: File Renamed.

Sat Sep 25 12:17:26 2004 => File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3OVO7S5\wbk199.tmp infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: File Renamed.

Sat Sep 25 12:17:39 2004 => File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3OVO7S5\wbk375.tmp infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: File Renamed.

Sat Sep 25 12:51:21 2004 => File C:\Programme\Photoline\pl741oem.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sat Sep 25 12:57:55 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc10.VIR01 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:55 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc11.VIR00 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:55 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc12.VIR infected

Sat Sep 25 12:57:55 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc13.VIR03 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:55 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc14.VIR02
Sat Sep 25 12:57:56 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc14.VIR02 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc15.VIR01
Sat Sep 25 12:57:56 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc15.VIR01 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc16.VIR00
Sat Sep 25 12:57:56 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc16.VIR00 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc17.VIR
Sat Sep 25 12:57:56 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc17.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc18.VIR
Sat Sep 25 12:57:56 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc18.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc19.VIR
Sat Sep 25 12:57:56 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc19.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc2.VIR06
Sat Sep 25 12:57:57 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc2.VIR06 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:57:57 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc20.VIR
Sat Sep 25 12:57:57 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc20.VIR infected by "Worm.Win32.Sasser.a" Virus. Action Taken: File Deleted.

Sat Sep 25 12:58:03 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc3.VIR05 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:58:03 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc4.VIR04
Sat Sep 25 12:58:04 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc4.VIR04 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:58:04 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc5.VIR03
Sat Sep 25 12:58:05 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc5.VIR03 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:58:05 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc6.VIR02
Sat Sep 25 12:58:06 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc6.VIR02 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:58:06 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc7.VIR01
Sat Sep 25 12:58:07 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc7.VIR01 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:58:07 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc8.VIR00
Sat Sep 25 12:58:08 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc8.VIR00 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:58:08 2004 => Scanning File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc9.VIR
Sat Sep 25 12:58:09 2004 => File C:\RECYCLER\S-1-5-21-2621537104-1709162666-557728558-1008\Dc9.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Sat Sep 25 12:59:57 2004 => File C:\System Volume Information\_restore{FAA2D25A-C75B-4710-8E1B-2532E58B5813}\RP23\A0007250.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.

Sat Sep 25 13:08:32 2004 => File C:\System Volume Information\_restore{FAA2D25A-C75B-4710-8E1B-2532E58B5813}\RP32\A0013360.dll infected by "I-Worm.Tanatos.b.dam2" Virus. Action Taken: File Deleted.



DAs Programm#
C:\temp\fanspeed\fanspeedNT.exe
habe ich mal installiert, um den Ventilator leiser zu machen.

Könnt Ihr mit dem Log des Escan etwas anfangen?

Gruss
ANA123