escan findet trojan kasperlsky personal nicht
 

habe meinen rechner mit escan überprüft und bin positiv überrascht von dem programm, und negativ überrascht wieviel ich auf dem rechner habe.
dank chip.de habe ich ne personal version von kasperlsky, aber das findet meine trojaner nicht, was kann ich tun um sie zu entfernen.

dnake bodo

Poste das Log von eScan und so eins auch.

punkt 1: hier beklagt so mancher, dass sein antivirenprogramm keine trojaner findet. das sind aber 2 paar schuhe...

bekannte antivirenprogramme sind bspw. norton antivirus, antivir, bitdefender, kaspersky , sophos...; trojaner-suchgeräte sind spybot search & destroy, ad-aware, ewido... - einfach mal die sufu nutzen

punkt 2: tjaaa... welchen haste denn nun gefunden? die escan-auswertung mal bitte reinstellen oder besser gleich einen hijackthis-log... nochmal sufu-nutzen ;o)

also ich habe auch freeav, ad-aware und spybot über meine festplatte laufen lassen, ohne erfolg. escan hat jedoch einiges gefunden. file mwav.txt ist allerdings 13 mb groß und dann kann ich den beitrag nicht ins forum stellen, deswegen stell ich erstmal nur die meldungen mit den funden rein, hjoffe das reicht :

Mon Dec 26 15:56:57 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Mon Dec 26 15:56:57 2005 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Mon Dec 26 15:56:58 2005 => Loading Spyware Signatures from new External Database (Size: 146525).
Mon Dec 26 15:56:58 2005 => Indexed Spyware Databases Successfully Created...

Mon Dec 26 15:57:01 2005 => Offending file found: C:\DOKUME~1\Bodo\LOKALE~1\Temp\insthelp.dll
Mon Dec 26 15:57:01 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen.

Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temp\insthelp.dll
Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen.

Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js
Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen.

Mon Dec 26 15:57:04 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\Temporary Internet Files\content.ie5\5u4m3ahi\global[1].js
Mon Dec 26 15:57:04 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen.


Mon Dec 26 15:57:08 2005 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware *****
Mon Dec 26 15:57:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead\NeroDigital\settings.xml". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

danach verweisen über 100 dateien auf ungültige pobjekte und es folgt :
Datei C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\Thunderbird\Profiles\584r9nzt.default\Mail\Local Folders\Inbox infiziert von "Trojan-Spy.HTML.Bankfraud.if" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026599.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026600.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026601.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Ja, mit dem Log von eScan meinte ich auch das "gefilterte" Log, also das Log, das mit der Datei FIND.BAT erstellt wurde :D

@Bodo:
- Cache vom IE leeren
- Systemwiederherstellung deaktivieren

Die Datei insthelp.dll ist m.W. nicht gefährlich. Hatte die auch nach einer Ad-Aware Installation AFAIR im Tempordner drin.
Wie warten noch auf das HJT-Log.

ich kann die datei find.bat leider in dem ordner von escan nicht finden.
was soll ich machen?

hijackthis liefert mir folgendes :

Logfile of HijackThis v1.99.1
Scan saved at 23:50:44, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Office Mouse\moffice.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Office Mouse\MOUSE32A.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\GetRight\GetRight.exe
C:\Programme\GetRight\GetRight.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Bodo\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128211365656
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

benutze IE nicht, sondern firefox 1.5, da wurden auch vor ein paar tagen meine startseite und bookmarks verändert.

wie lange soll ich die systemwiederherstllung deaktivieren, kann ich die dateien dann löschen, oder wie kann ich auf die zugreifen?

Die Datei FIND.BAT ist ein von @Haui erstelltes Script, dass Du Suche nach relevanten Einträgen im MWAV.LOG erheblich vereinfacht. Musst Du hier herunterladen.
Lies aber diese Anleitung dazu.

oha, der neue scan dauert jetzt wieder ne stunde, das pack ich jetzt nicht!
würde gern wissen was die folgende aussage bedeutet :
Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js
Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen.

hört sich recht übel an!

kann ich kasperlsky personal dazu bringen die sachen auch zu finden? beruht doch auf der selben engiene?

danke

Das deutet daraufhin, dass der IE diese Datei dorthin abgelegt hat. Surfst Du noch mit dem IE?

ne mit dem firefox 1.5.
diese befallenen dateien sind doch laufende systemdateien?

Nee, das sind m.W. die Cachedateien vom IE. Die kann man gefahrlos löschen. Sollte man m.E. nach auch regelmäßig tun. Ich hab mir etwas Arbeit abgenommen und leere den Ordner mit Hilfe eines Shutdown-Schriptes.

also ich hab jetzt mal bei ie alles geleert, cookies und verlauf, reicht das? sollte der kram jetzt weg sein? wie krieg ich das aus der systemwiederhgerstellung weg?

Ob das reicht, wage ich vorerst zu bezweifeln. Die Systemwiederherstellung deaktivierst Du über Eigenschaften von Arbeitsplatz und der Rubrik Systemwiederherstellung oder so (sitz hier an einer W2k-Maschine). Dort den Haken setzen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren".

Lass eScan mal komplett durchlaufen. Danach das mit der FIND.BAT gefilterte Log bitte posten.

Nutze mit Kaspersky mal die "erweiterte Datenbank".



Domino

kann ich free av und kasperlsky parallel installieren?
ja ich habe die beiträge schon gelesen, bin aber nicht schlau draus geworden :)
danke

Meinst Du AntiVir UND den Kaspersky-Virenscanner?
Würde ich nicht parallel installieren, die kommen sich gegenseitig ins Gehege...

ich habe probleme mit der find.bat
wenn ich sie starte öffnet sich fürn e zehntellsekunde ein fenster und sonst passiert nix

WELCHES escan verwendest Du? Das, was Cidre in seiner Anleitung meint? Oder die Bezahlversion? Oder die Kaspersky-Suite?

gute frage,
habe version 7.4.5 ist nur der scanner!

escan liefert haupsächlich diese meldung, die mir sorgen macht:

Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Hast Du eine heruntergeladene Datei nach C:\BASES_X\ entpackt? Wenn ja dann schau mal da rein, da müsste die Logdatei MWAV.LOG sein.
Evtl. hat das Script FIND.BAT von Haui auch schon seine Wirkung gezeigt. Wenn ja, dann müsste sich die Textdatei "escan_neu.txt" sich bei Dir im Hauptverzeichnis von C: befinden.

@cosinus,

so wie es aussieht hat @bodo den eScan auf deutsch eingestellt, und dann funktioniert die find.bat nicht.

karaya

Na klar *stirnklatsch*
Hab ich in diesem Gewusel übersehen :balla:

habe kasperlsky personal nochmal drüberlaufen lassen und er hat nix gefunden
escan findet die alten sachen jedoch wieder. ich hab die entsprechenden ordner temopara internet gelöscht, was bei escan zu nur nach mehr fehlermeldungen führt :)

freue mich über weitere tips :)
gehe erstmal pennen.
bis morgen

@ domino
habe die erweiterte datenbank bei den update einstellungen eingerichtet.
kasperlsky findet trotzdem nichts!!

Hi @ all,

lade dir mal folgendes Programm herunter: ClearProg du findest es auf
http://www.clearprog.de.

Lade dir die aktuelle Beta 7 herunter (keine sorge läuft absolut zuverlässig).
Mit diesem Programm kannst du alle Surf spuren vom IE, Firefox und Opera löschen, auch lästige Windows spuren lassen sich mit diesem Tool löschen.
Am besten legst du es in den Autostart von Windows.

Hoffe ich konnte dir helfen

Mfg CyberGott

habe ich schon gemacht und alle internet temporären dateien gelöscht, bei den windows bzw. systemsachen bin ich mir nicht sicher, aber die probleme hab ich immernoch. was für möglichkeiten habe ich die von escan erkannten probleme zu entfernen?