Hallo Leute!

Aaalso...hab gestern auf meinem PC (WindowsME) einen Virenscan mit Antivir9 gemacht und er hat BDS/AgentAY gefunden und "angeblich" gelöscht, jedoch ist 2 Stunden später eine Virenwarnung über den BDS aufgetaucht!
Ich hab mir den escan downgeloadet der mir aber mehr Probleme macht als hilft d.h. beim starten von Windows fängt er sofort zu scannen an, was aber nichts bringt, denn er entfernt NIX! Wollt ihn deinstallieren, ist aber in der Systemsteuerung nicht zu finden!
So und noch etwas - mein Antivir 9 meldet mir beim scan TR/WinadA, löscht oder repariert aber nicht und ich kann nirgenwo einen Beitrag darüber finden!
Hab zwar (wahrscheinlich noch) keine massiven Probleme, aber mein PC ist extrem langsam und manchmal zeigt er auch den Inhalt der Ordner nicht an!

Bitte liebe Leutl´n helft´s mir!!!
Vielen Dank,

Bettina


Erstellungsdatum der Reportdatei: Dienstag, 23. November 2004 09:39

AntiVir®/9x Personal Edition v6.28.00.10 vom 05.11.2004
VDF-Datei v6.28.0.84 (0) vom 22.11.2004




Es wird nach 93278 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-WURGE-0001
FUSE: Grundlizenz
Plattform: Windows 98
Windows-Version: 4.90.3000
Benutzername: Standard
Prozessor: Pentium
Arbeitsspeicher: 63928 KB frei
Guard: aktiv

Versionsinformationen:
AVWIN.DLL : v6.28.00.10 524328 15.11.2004 12:58:28
AVEWIN32.DLL : v6.28.0.12 569856 15.11.2004 12:58:26
SYS_RW16.DLL : v6.19.0 12800 06.07.2004 10:51:50
SYS_RW32.DLL : v6.19.0 16384 06.07.2004 10:51:50
AVGCTRL.EXE : v6.28.00.00 86016 05.10.2004 17:06:24
AVGUARD.VXD : v6.28.0.12 376463 15.11.2004 12:58:28
AVPACK32.DLL : v6.28.0.2 294952 15.11.2004 12:58:28
AVGETVER.DLL : v6.22.00.00 24576 20.01.2004 14:13:58
AVWIN.DLL : v6.28.00.10 524328 15.11.2004 12:58:28
AVSHLEXT.DLL : v6.22.00.00 57344 20.01.2004 14:14:00
AVSched32.EXE : v6.28.00.00 110672 05.10.2004 17:06:28
AVSched32.DLL : v6.28.00.01 122880 05.10.2004 17:06:28
AVREG.DLL : v6.27.00.01 41000 04.08.2004 12:15:34
AVRep.DLL : v6.28.00.24 757800 22.11.2004 10:55:14
INETUPD.EXE : v6.28.00.12 262203 15.11.2004 12:58:28
INETUPD.DLL : v6.28.00.12 159815 15.11.2004 12:58:28
MFC42.DLL : v6.00.8665.0 995383 08.06.2000 17:00:00
MSVCRT.DLL : v6.10.8637.0 290869 08.06.2000 17:00:00
CTL3D32.DLL : v2.31.000 45056 08.06.2000 17:00:00
CTL3DV2.DLL : v2.31.001 27632 08.06.2000 17:00:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\PROGRAMME\AVPERSONAL\AVWIN.INI
Name der Reportdatei: C:\PROGRAMME\AVPERSONAL\LOGFILES\AVWIN.LOG
Startpfad: C:\PROGRAMME\AVPERSONAL
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .ACM .ADE .ADP .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PIF .PKG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\WINDOWS\TEMP
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/9x Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom

Start des Suchlaufs: Dienstag, 23. November 2004 09:39

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk A:
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0005
Bootsektor von Laufwerk C: OK


C:\WINDOWS\Temporary Internet Files\Content.IE5\QHWL0O58
Fwd_ Fw_ Weiterl._ Das große Lexikon......dat
ArchiveType: MIME
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Jet2Web\IE50
TEMPFILE.CAB
ArchiveType: CAB (Microsoft)
--> ADVPACK.DLL
HINWEIS! Der Archivheader ist defekt
--> KO.INF
HINWEIS! Der Archivheader ist defekt
--> GULIMCHE.TTF
HINWEIS! Der Archivheader ist defekt
--> UNKO.INF
HINWEIS! Der Archivheader ist defekt



Ende des Suchlaufs: Dienstag, 23. November 2004 09:54
Benötigte Zeit: 14:35 min


2451 Verzeichnisse wurden durchsucht
34047 Dateien wurden geprüft
0 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

Hallo kenn.mi.ned.aus,

--> hast Du Dir diese Anleitung sehr genau druchgelesen, als Du den eScan a) gedownloadet und b) auf Deinem Rechner ausgeführt hast? Lies noch mal: Anleitung zum eScan. Hier steht alles, was Du wissen musst. Wenn Du Dich an diese Anleitung hältst, sollte es zum einen möglich sein, dass der eScan richtig auf Deinem Rechner läuft und zum anderen, dass der eScan alle auf Deinem Rechner befindliche Malware findet. Beachte jedoch, dass der eScan in der Version 4.5.1 die gefundene Malware nicht automatisch löscht. Wir geben hier im Forum Anleitung, wie man die gefundene Malware manuell löschen kann.

--> TR/WinadA scheint unter diesem Namen nicht bekannt zu sein, zumindest finde ich keine Information dazu.

--> "C:\WINDOWS\Temporary Internet Files\Content.IE5" ... dieser Ordner kann geleert werden, entweder von Hand oder mit dem ClearProg. Lade es runter und leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

--> Kopiere den eScan in den von Dir erstellten Ordner "C:\basis", update ihn online und führe ihn offline im abgesicherten Modus aus. Alle Anweisungen dazu findest Du in der bereits erwähnten Anleitung. Teile uns dann das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

--> Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Zitat:

Zitat von Shadowdance

Hallo kenn.mi.ned.aus,






--> Kopiere den eScan in den von Dir erstellten Ordner "C:\basis",



SD

Kleine Korrektur meinerseits.Shadowdance wirds mir hoffentlich verzeihen,da sie sich verschrieben hat.
Sie meint nämlich C:\bases

Gruss

Cronos

stimmt: C:\bases

danke @ cronos

[das kommt davon, dass ich neuerdings nachts ohne Licht schreiben muss ;-(, wenn ich von meinem Schreibtisch aufstehe, falle ich über die Kabel, die ich auch nicht sehe und am Compi vertippe ich mich permanent .. sowas nennt man dann blind schreiben ]

SD

Hallo Leute!
Vielen Dank erstmal! :-)
Tja, kann den escan nirgenwo als Datei finden - gibt nirgends ein Icon und in der Systemsteuerung is er auch ned! Ist immer nur dann zu sehen, wenn ich den PC starte! :-(!

Liebe Grüße,
Bettina

Hier die Logfile -
Logfile of HijackThis v1.98.2
Scan saved at 19:48:34, on 24.11.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.chello.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.chello.at:8080
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/031a77bf...dxIE601_de.cab

Ähem......was vergessen!

Werd morgen mal den Windows Temporary Internet Files Ordner heimsuchen ;-) !

Danke

Zitat:

Tja, kann den escan nirgenwo als Datei finden

Navigiere zu diesem Ordner C:\bases, danach Doppelklick auf mwavscan.com .

Zitat:

Ist immer nur dann zu sehen, wenn ich den PC starte!

Wenn du dies nicht mehr möchtest, dann fixe diesen Eintrag:
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s

btw:

Zitat:

MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Installiere IE 6 SP1 http://www.microsoft.com/downloads/d...displaylang=de

Danach
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org