Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Archiv (https://www.trojaner-board.de/archiv/)
-   -   eScan -> mwav.log automatisch auswerten! (https://www.trojaner-board.de/16936-escan-mwav-log-automatisch-auswerten.html)

Cidre 21.04.2005 22:03

eScan -> mwav.log automatisch auswerten!
 
Hallo Boardies,

der Regular Haui45 hat sich die Mühe gemacht und eine Batch Datei geschrieben, die die automatische Suche nach infected, tagged, Found, Errors, Scanned, Date und Time Elapsed aus der mwav.log übernimmt.
Die o.g. Einträge aus der Virus Log Information erleichtern uns die Analyse eines infizierten Systems.

Vorteil:
- Zeitersparnis bei TO und Helfern
- TO wird als 'Fehlerquelle' beim Übertragen der einzelnen Einträge ausgeschlossen

Nachteil:
- TO muss nicht mehr so intensiv mit seinem Problem beschäftigen.;)

Zitat:

Zitat von Haui45
Wichtig: Je nach eScan-Version heißt die ausgegebene Datei "eScan_neu.txt" bzw. "eScan_alt.txt". Die alte mwav.log sollte vor jedem Scan gelöscht werden!

Code:

if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Statisktiken: >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt
:1
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:2 exit

Damit sollten wir von meiner Version [1] wegkommen und zur komfortableren 'Haui Version' [2] übergehen.;)

Danke an Haui45. :daumenhoc

[1]
Zitat:

Öffne die mwav.log im Ordner C:\bases_x -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
[2]
Zitat:

Zitat von Haui45
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.


cronos 21.04.2005 22:31

Und wenn wir dann "diese Datei" dann nach folgendem Schema verlinken:


verstehts auch der ONU ;)
SCNR

Dank an Cidre für den Hinweis und noch grösseren Dank an Haui für die Batch-Datei
:daumenhoc:

Cidre 21.04.2005 22:33

@ cronos

Sorry, kann ja mal passieren. :D ;)

Chris14 21.04.2005 22:37

jep, jetzt könnte man ja noch eine allroundbehebung aller bekannten downloadtrojaner dadurch iniziieren. da die trojaner extrahierbar aus der log sind, wäre es doch ohne weiteres möglich, im autoexec.bat die infizierten dateien als "del infizierte dateiurl" einzufügen. danach wäre nach einem boot die trojanerdateien gelöscht. allerdings bei backdoors und exe-viren...
jedenfalls thx für die Info Cidre und big thx an Haui45 :daumenhoch:

cronos 21.04.2005 22:38

@ cidre

mal ist gut *duck*;)
Im Ernst.Die vorgehensweise erscheint mir doch sehr viel besser.
Bekannt, ob das auf allen Systemen problemlos läuft?

Haui45 21.04.2005 22:41

Dank an Cidre für den Thread und seinen Verbesserungsvorschlag (Einbau der Statistiken).

Erwähnt werden sollte jedoch, dass die Datei so, wie jetzt ist, nur unter Win2000 und WinXP funktionieren wird (Grund ist der Befehl "findstr").
Falls jemand Win95/98/ME verwendet und Zeit/Lust hat, kann er das Ganze auch ausprobieren, muss aber wahrscheinlich "findstr" durch "find" ersetzen. Falls kein positives Ergebnis zu Stande kommt, wäre es empfehlenswert, die Datei über die Eingabeaufforderung zu starten.
Hier ein kurzes Beispiel:
Code:

echo Funde für infected >c:\find2.txt
find /N /I "infected" c:\bases_x\mwav.log >>c:\find2.txt
echo ____________________________________________________ >>c:\find2.bat
echo Funde für tagged >>c:\find2.txt
find /N /I "tagged" c:\bases_x\mwav.log >>c:\find2.txt

MfG Haui

Haui45 21.04.2005 22:46

Code:

if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Statisktiken: >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt
:1
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:2 exit

Oder verwendet besser noch dieses und postet mal, wie's auf den verschiedenen Betriebssystemen (auch XP und 2000) funktioniert.

btw: vor jedem Scan mit eScan sollte die alte mwav.log gelöscht werden!


P.S.: unter XP funktioniert es (oder nicht) je nach Speicherort der .bat :confused:

Haui45 21.04.2005 22:55

@Chris14
Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker). Link müsste ich suchen.
In eine Batch würde ich das nicht einbauen. Sie soll uns lediglich die Funde zeigen und dem Hilfesuchenden ein wenig Arbeit ersparen :)

Naja, wer Lust hat, kann ja ein bisschen rumprobieren, ich hab dazu zu wenig Zeit... :(

Cidre 21.04.2005 23:00

Zitat:

Zitat von Haui45
Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker)

Momentan nicht verfügbar.
Zitat:

In eine Batch würde ich das nicht einbauen.
Full Ack.

Haui45 21.04.2005 23:30

Zitat:

Zitat von Cidre
Momentan nicht verfügbar.

Hab ich auch bemerkt, einen Downloadlink gibt's aber trotzdem ->
Dazu auch Lutz

cronos 22.04.2005 01:16

Kleiner Verbesserungsvorschlag:

Neben folgendem:

Code:

findstr /i /n "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i /n "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i /n "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt

sollte es doch möglich sein die Anzahl der durchsuchten Dateien und das Datum der Virusdefinition auch noch zu übermitteln.
Zumindest bei "Total Objects Scanned" fallen erfahrungsgemäß immer wieder Einstellungsfehler des Scans durch User auf.
Bei "Virus Database Date" könnte man sich anderweitig sicher sein, dass User, die mehrere Male ihren Log posten, ihr Programm auch aktualisiert haben.

Oder ist das Extra weggelassen worden?

Cidre 22.04.2005 06:36

Zitat:

Zumindest bei "Total Objects Scanned" fallen erfahrungsgemäß immer wieder Einstellungsfehler des Scans durch User auf.
Hast natürlich Recht, diese Einträge sollten nicht fehlen:
findstr /i /n "Scanned:" c:\bases_x\mwav.log >> C:\find.txt
findstr /i /n "Date:" c:\bases_x\mwav.log >> C:\find.txt
findstr /i /n "Count:" c:\bases_x\mwav.log >> C:\find.txt

Zitat:

Oder ist das Extra weggelassen worden?
Nein, wurde vergessen...;)

Haui45 22.04.2005 13:37

Ich hab's noch mit eingebaut, der Link bleibt gleich -> http://www.media-folders.de/user/Haui/Find.bat
Den Eintrag Virus Database Count: halte ich nicht wirklich für wichtig, deshalb habe ich ihn weggelassen. Da "Date:" mehrmals in der mwav.log vorkommt, erscheint es auch mehrmals in der eScan_neu.txt
Zudem habe ich den Befehlszeilenparameter /n weggelassen, da unnötig (als Info für alle, die es interessiert ;))

Wichtig: Je nach eScan-Version heißt die ausgegebene Datei "eScan_neu.txt" bzw. "eScan_alt.txt". Die alte mwav.log sollte vor jedem Scan gelöscht werden!

Wolfgang30 22.04.2005 15:13

Hallo und zur Ergänzung wegen dem eScanCheck-Tool.
Es ist mittlerweile in der Beta 9 unter
http://www32.brinkster.com/idontknowit/download/ zu finden.

Habe deswegen bei http://tinyurl.com/amzwe nachgefragt.

Lutz 22.04.2005 15:56

Hallo Wolfgang,

danke für die Info! :daumenhoc
Ich habe die aktuelle Version auch auf meiner 'Ausweichseite' abgelegt. ;)
Zu finden unter http://derbilk.de/escancheckb9.sfx.exe

Haui45 01.05.2005 17:04

Da die Datei leider nur unter Win2000/XP funktioniert, habe ich noch eine 2te Version hochgeladen. Unter Win95 hat sie tadellos funktioniert. Wer Lust bzw. Gelegenheit hat, kann es ja mal ausprobieren.

=> Für Win95/98/Me -> http://www.media-folders.de/user/Haui/Find_alt.bat
=> Für Win2000/XP wie gehabt -> http://www.media-folders.de/user/Haui/Find.bat

Platzregen 02.06.2005 19:29

Hallo,

gibts das noch?
Der Link führt momentan ins Leere

Donni

Haui45 02.06.2005 19:31

Ja, siehe dazu mein Posting.

Platzregen 02.06.2005 20:24

DANKE ;)

*knuddel*

Haui45 04.06.2005 15:01

@ll
Die 'alten Links' funktionieren wieder :daumenhoc

snowangel 14.06.2005 19:49

Hallo!
Ich habe Windows ME, habe beide Files ausprobiert, aber es kommt immer eine leere Textdatei dabei heraus :schmoll:

Haui45 14.06.2005 22:14

Hallo snowangel,

woran das liegt, kann ich so pauschal nicht sagen.

Speichere den nachfolgenden Text bitte im Windows-Editor als Find.bat direkt unter C: ab. Wichtig ist hierbei die Dateiendung .bat
Code:

if not eXist c:\bases_x\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~ >> C:\eScan_neu.txt
find /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~ >> C:\eScan_neu.txt
find /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~ >> C:\eScan_neu.txt
find /i "Scanned:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
find /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
find /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
find /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  ~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:1 exit

Starte sie durch einen Doppelklick.
Falls es nicht funktionieren sollte, kannst du die Datei auch mal über die Eingabeauforderung starten. Dazu musst du diese starten (Start-> Programme-> Zubehör-> Eingabeaufforderung) und C:\Find.bat eingeben. Mit Enter bestätigen.

Ergebnis?

snowangel 15.06.2005 13:46

Liste der Anhänge anzeigen (Anzahl: 1)
Hallo!
Ich habe es grade nochmal probiert, kommt aber immer dasselbe raus... eine Leere Textdatei :headbang:
Ich hänge mal an, was das DOS-fenster bei mir am Ende anzeigt.

Haui45 16.06.2005 22:44

Dann versuch' das Gleiche bitte noch mal, aber verwende diesmal nur diese beiden Zeilen.
Zitat:

find /i "infected" c:\bases_x\mwav.log > C:\eScan_neu.txt
find /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
Evtl. funktioniert es dann...

snowangel 17.06.2005 12:02

Funktioniert leider immer noch nicht.
Egal, ich suche einfach dann per WordPad. Danke für die Hilfe :)

Haui45 17.06.2005 12:48

Du kannst es auch mit eScanCheck (s. eScan-Anleitung) probieren.
eScanChech starten-> Datei-> eScan-Log öffnen-> mwav.log auswählen-> Rechtsklick auf die Liste-> Alle auswählen-> Auswertung kopieren-> mit Strg+V in ein neues Dokument einfügen-> Fertig

HTH

Rednexx 01.07.2005 21:58

Ich hab nen Problem - mein System war von W32.Alcra.B befallen. Ich habs gelöscht, aber trotzdem fährt mein PC nicht den kompletten Autostart hoch (Taskleiste: Lautstärke, Temperaturmesser, etc). Ich bin hierher über einen Link von Giga hergekommen. Ich hänge die Datei an...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jul 01 20:28:45 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Fri Jul 01 20:28:46 2005 => System found infected with MyBar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Fri Jul 01 21:08:06 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\14B95EBC.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Fri Jul 01 21:08:07 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\14B95EBC.tmp infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Fri Jul 01 21:08:08 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\14BD08B8.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Fri Jul 01 21:08:09 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\27BF7F83 infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Fri Jul 01 21:08:09 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\2AEC3E4F.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Fri Jul 01 21:08:10 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\52F36642.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Fri Jul 01 21:22:42 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Jul 01 22:03:54 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jul 01 20:28:05 2005 => File C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
Fri Jul 01 21:21:44 2005 => File C:\Programme\ACAD2000\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jul 01 22:03:54 2005 => Total Virus(es) Found: 11
Fri Jul 01 22:03:54 2005 => Total Errors: 147
Fri Jul 01 22:03:54 2005 => Time Elapsed: 01:35:16
Fri Jul 01 22:03:54 2005 => Total Objects Scanned: 58532
Fri Jul 01 20:26:39 2005 => Virus Database Date: 2005/07/01
Fri Jul 01 22:03:53 2005 => Virus Database Date: 2005/07/01
Fri Jul 01 22:04:04 2005 => Virus Database Date: 2005/07/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

chaosman 01.07.2005 22:08

@Rednexx
deinstalliere über systemsteuerung, software, MyBar und MyWay


lade HJT, http://www.trojaner-board.de/showthread.php?t=17493

wechsle dann in den abgesicherten modus und fixe mit HJT
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
lösche danach manuell
C:\WINDOWS\web\related.htm
neu booten.

leere deine C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine ordner.

lade clearprog , alle häkchen bei windows und IE setzen. löschen

chaosman

Rednexx 01.07.2005 22:11

soweit bis auf das fixen mit hjt verstanden. Kannst du mir das mit ein paar worten erklären?

und welches clearprog downloaden?

Rednexx 01.07.2005 22:19

ok. hjt hat sich erledigt - hab ich jetzt selbst kapiert

chaosman 01.07.2005 22:20

@Rednexx
ClearProg 1.4.1 Final

soweit bis auf das fixen mit hjt verstanden. Kannst du mir das mit ein paar worten erklären?

Einsetzen von HJT – Einträge fixen:

Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.

Übersetzt heißt das: systemwiederherstellung deaktivieren, in den abgesicherten modus starten, HJT scannen lassen, die einträge suchen die ich dir gepostet habe und anklicken, dann auf "Fix Checked" klicken.
neu booten, systemwiederherstellung aktivieren.
chaosman

Rednexx 01.07.2005 22:22

ok - vielen dank - hät ich jetzt falsch gemacht :o .
Danke!!!!!

Gigamail 01.07.2005 22:25

@ Rednexx

kannst auch hier mal lesen da ist alles erklärt. Wichtig für dich das Kapitel Einträge fixen

Loric 04.07.2005 00:06

Hallo also ich hab mich jetzt gesanned und dann selber n paar reinigungen vorgenommen, aber n paar sachen gehn einfach ned weg ...

wäre froh wenn ihr mir helfen könntet ...

1: Im 'Log Information' Feld seh ich bei jedem durchlauf als erstets:

Object "Power scan Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

und

Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{AF320921-9381-11d1-9C3C-0000F875AC61}" refers to invalid object "Y:\PFiles\Common\System\OLEDB\MSDAIPP.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{E1D2BF40-A96B-11d1-9C6B-0000F875AC61}" refers to invalid object "Y:\PFiles\Common\System\OLEDB\MSDAIPP.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{E1D2BF42-A96B-11d1-9C6B-0000F875AC61}" refers to invalid object "Y:\PFiles\Common\System\OLEDB\MSDAIPP.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FF151822-B0BF-11D1-A80D-000000000000}" refers to invalid object "Y:\PFiles\Common\System\OLEDB\MSDAURL.DLL". Action Taken: No Action Taken.

... Y:\ ist ein CD Laufwerk.


2: und als ergebnis vom find.bat

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 03 20:27:13 2005 => Scanning Folder: F:\ORCAD\AVPersonal\INFECTED\*.*
Sun Jul 03 20:48:49 2005 => Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.*
Sun Jul 03 21:32:30 2005 => File J:\quar\foto.js infected by "Trojan-Downloader.JS.Zapchast.b" Virus! Action Taken: No Action Taken.
Sun Jul 03 21:38:45 2005 => Scanning Folder: K:\AVPersonal\INFECTED\*.*
Sun Jul 03 22:51:13 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 03 20:18:41 2005 => File F:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 21:17:44 2005 => File F:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 21:18:23 2005 => File H:\FIZI\Info\SCR_cfbgsiii.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:01:31 2005 => File M:\aida\aida32.bin tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Sun Jul 03 22:01:31 2005 => File M:\aida\aida32.exe tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Sun Jul 03 22:01:34 2005 => File M:\aida\aida32ee_393.zip tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Sun Jul 03 22:01:36 2005 => File M:\aida\aida_directx.dll tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Sun Jul 03 22:01:39 2005 => File M:\Brenner_a\Bildung_Prog\ASTRO\DS4_SE.ZIP tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:03:22 2005 => File M:\Brenner_a\DOS\UTIL.LZH tagged as not-a-virus:Tool.DOS.Reboot. No Action Taken.
Sun Jul 03 22:03:29 2005 => File M:\Brenner_a\E_mail-Internet\netctrl2.exe tagged as not-a-virus:RemoteAdmin.Win32.NetControl2.295. No Action Taken.
Sun Jul 03 22:05:43 2005 => File M:\Brenner_a\Programme\activeshutdown.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:05:45 2005 => File M:\Brenner_a\Programme\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:06:02 2005 => File M:\Brenner_a\Programme\webscene.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:15:57 2005 => File M:\Installation\AntiVirus\ikarus_demo_dn030909.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:18:36 2005 => File M:\Installation\Iomega\iomegaware-w32-x86-311_w98-xp.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:18:38 2005 => File M:\Installation\Iomega\ioware-w32-x86-311.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:18:40 2005 => File M:\Installation\Iomega\ioware-w32-x86-402.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:20:33 2005 => File M:\Installation\Zus_Prog\webscene.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:22:54 2005 => File M:\MS_&Service Packs\IE6\downlod_manager\flash_get_f140_downlodmanager.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
Sun Jul 03 22:28:34 2005 => File M:\Prog\SNAGIT\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:29:02 2005 => File M:\Prog\SNAGIT\snagit_neu\snagitv7.0.1crackrevenge.zip tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
Sun Jul 03 22:30:06 2005 => File M:\SAT\Programme\VNC\vnc-3.3.7-x86_win32.zip tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
Sun Jul 03 22:33:25 2005 => File M:\SAT\SNAGIT\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:33:48 2005 => File M:\SAT\SNAGIT\Techsmith\SNAGIT\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:34:10 2005 => File M:\SAT\vnc\VNC.zip tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken.
Sun Jul 03 22:34:10 2005 => File M:\SAT\vnc\vncviewer.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken.
Sun Jul 03 22:50:35 2005 => File Q:\Prog\SNAGIT\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Jul 03 22:51:02 2005 => File Q:\Prog\SNAGIT\snagit_neu\snagitv7.0.1crackrevenge.zip tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 03 22:51:13 2005 => Total Virus(es) Found: 35
Sun Jul 03 22:51:13 2005 => Total Errors: 35
Sun Jul 03 22:51:13 2005 => Time Elapsed: 02:35:52
Sun Jul 03 22:51:13 2005 => Total Objects Scanned: 130457
Sun Jul 03 20:13:33 2005 => Virus Database Date: 2005/07/03
Sun Jul 03 22:51:13 2005 => Virus Database Date: 2005/07/03
Sun Jul 03 23:15:31 2005 => Virus Database Date: 2005/07/03
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Was kann ich da noch machen (1) bzw sind alle 'tagged as not-a-virus' wirklich ungefärlich ( wircklich infiziert is ja nix mehr) ?

Hoffe ihr könnt mir helfen.

Basti1000 28.07.2005 19:19

uups hier muss ich posten sorry
Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Thu Jul 28 18:21:52 2005 => System found infected with WebP2P Spyware/Adware ({1D6711C8-7154-40BB-8380-3DEA45B69CBF})! Action taken: No Action Taken. Thu Jul 28 18:21:52 2005 => System found infected with AltnetBDE Spyware/Adware ({8b0fef15-54dc-49f5-8377-8172de975f75})! Action taken: No Action Taken. Thu Jul 28 18:21:52 2005 => System found infected with AltnetBDE Spyware/Adware ({9bbcf06c-dcd7-495d-80df-cdd5399d0ff8})! Action taken: No Action Taken. Thu Jul 28 18:21:54 2005 => System found infected with AltnetBDE Spyware/Adware (altnet signing module.exe)! Action taken: No Action Taken. Thu Jul 28 18:21:54 2005 => System found infected with AltnetBDE Spyware/Adware (adm.exe)! Action taken: No Action Taken. Thu Jul 28 18:21:54 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Thu Jul 28 18:45:31 2005 => Scanne Verzeichniss: C:\Programme\Antivir\INFECTED\*.* ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Thu Jul 28 18:49:37 2005 => File C:\Programme\INSTAFINK\instafink.dll tagged as "not-a-virus:AdWare.ToolBar.404Search.h". Action Taken: No Action Taken. Thu Jul 28 18:50:32 2005 => File C:\Programme\Kazaa\TopSearch.dll tagged as "not-a-virus:AdWare.Altnet.d". Action Taken: No Action Taken. Thu Jul 28 18:52:34 2005 => File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL_tobedeleted tagged as "not-a-virus:AdWare.ToolBar.MyWay.g". Action Taken: No Action Taken. Thu Jul 28 19:22:58 2005 => File D:\kazaa\TopSearch.dll tagged as "not-a-virus:AdWare.Altnet.d". Action Taken: No Action Taken. Thu Jul 28 19:25:00 2005 => File D:\Program Files\Altnet\Download Manager\asm.exe tagged as "not-a-virus:AdWare.Altnet.l". Action Taken: No Action Taken. Thu Jul 28 19:25:00 2005 => File D:\Program Files\Altnet\Download Manager\asmps.dll tagged as "not-a-virus:AdWare.Altnet.b". Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~

Haui45 28.07.2005 19:54

Zitat:

Zitat von Basti1000
uups hier muss ich posten sorry

Nein, musst/sollst/(darfst) du nicht.
Poste bitte in deinem alten Thread.

europanorama 19.08.2005 01:43

Zitat:

Zitat von Lutz
Hallo Wolfgang,

danke für die Info! :daumenhoc
Ich habe die aktuelle Version auch auf meiner 'Ausweichseite' abgelegt. ;)
Zu finden unter http://derbilk.de/escancheckb9.sfx.exe

hier ist jeweils der aktuellste escancheck-link:
http://www.derbilk.de/malware/1_anleitungen_escan.php
unten bei:
3. Möglichkeit - eScan-Checkb10 von Seeker:
oder rechts oben unter infos und software.

Anti Troja 29.08.2005 22:04

So jezt hier mal mein Ergebnis:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 13:36:47 2005 => Scanning Folder: C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\*.*
Mon Aug 29 13:36:47 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\A0127654.EXE.VIR
Mon Aug 29 13:36:50 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\IUN6002.EXE.VIR
Mon Aug 29 13:36:52 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\TXP3SETUP.EXE.VIR
Mon Aug 29 13:37:01 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\WBOPEN.EXE.VIR
Mon Aug 29 13:38:11 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Aug 29 14:57:49 2005 => File C:\Programme\Winamp\Skins\bc-selfexec.wsz infected by "Exploit.Win32.LnkRun" Virus! Action Taken: Keine Aktion vorgenommen.
Mon Aug 29 15:00:52 2005 => C:\RECYCLER\NPROTECT\00000103. possibly infected and removed by background antivirus package!
Mon Aug 29 15:00:52 2005 => File C:\RECYCLER\NPROTECT\00000103. infected by "BkCln.Unknown" Virus! Action Taken: Keine Aktion vorgenommen.
Mon Aug 29 15:00:55 2005 => C:\RECYCLER\NPROTECT\00000154. possibly infected and removed by background antivirus package!
Mon Aug 29 15:00:55 2005 => File C:\RECYCLER\NPROTECT\00000154. infected by "BkCln.Unknown" Virus! Action Taken: Keine Aktion vorgenommen.
Mon Aug 29 15:49:16 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 15:49:16 2005 => Total Virus(es) Found: 4
Mon Aug 29 15:49:16 2005 => Total Errors: 2297
Mon Aug 29 15:49:16 2005 => Time Elapsed: 03:48:18
Mon Aug 29 15:49:16 2005 => Total Objects Scanned: 142666
Mon Aug 29 11:58:13 2005 => Virus Database Date: 2005/08/27
Mon Aug 29 15:49:16 2005 => Virus Database Date: 2005/08/27
Mon Aug 29 16:26:49 2005 => Virus Database Date: 2005/08/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ende
Habe eSCheck ausgeführt und was sicher auch Sinnvoll ist es standen nicht die Vieren aus der Quarantäne von Antivier mit drin obwohl sie bei eScan geführt wurden.
Habe nur die 2 C:\RECYCLER\NPROTECT gelöscht und das Skin von Winamp.
Bei C:\RECYCLER könnten doch 2 früherer Virus drin sein ,oder? Warum das Skin von Winamp ein Virus haben soll weiß ich nicht.
2297 Fehler klingt auch viel.
Was mit Altnet ist (=> Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken) weiß ich auch nicht das findet eScan auch aber ich weiß nicht wie und wo ich das lösche, mit Altnet surf hat das sicher nichts zu tun.

Platzregen 29.08.2005 23:12

Wegen Altnet musst du in die Datei selbst rein schauen (die log von escan) und diesen dann per Hand aus der registry löschen.

Anti Troja 29.08.2005 23:23

Ich blicke debei nicht so durch, ich finde den eigentlichen Eintrag.

Ist das HKLM\Software\microsoft\downloadmanager !!! oder noch "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll". Action Taken: No Action Taken.???

Siehe aus log:

Mon Aug 29 22:55:17 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Aug 29 22:55:17 2005 => Loading Spyware Signatures from FIXED Database...
Mon Aug 29 22:55:24 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Mon Aug 29 22:55:25 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.


Mon Aug 29 22:55:42 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Aug 29 22:55:42 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll". Action Taken: No Action Taken.

---
Finde da nicht die Grenze!

Platzregen 29.08.2005 23:36

ALSO

du öffnest die registry und suchst dem Pfad entsprechend die Funde raus. Den Downloadmanager kannst du als Verzeichniss in der Registry löschen. Die anderen sind als Dateien angegeben und lassen sich so auch finden.

Du weist wie du da rein kommst in die Registry?


HKLM\Software\microsoft\downloadmanager (verzeichniss löschen)
und da
HKLM\Software\Microsoft\Windows\CurrentVersion\Mod uleUsage
schaust du mal nach der Datei EPUWalcontrol.dll

und

die C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll
lässt du bei virustotal.com oder http://virusscan.jotti.org/de/ durchsuchen was die dazu sagen und wenn sie auch was finden dann löschen.

Hast du die Systemwiederhestellung an?

Anti Troja 30.08.2005 12:20

Ja, mach ich sonnst mit regedit.vbs aber da steht nichts weil der auch Anfang fehlt.
Weiß nich in welchen Ordner ich da muß.
Die EPUWalcontrol.dll gibt es nicht mehr in Windows. Kann sein das das bei eSCheck gelöscht wurde, ich weiß jetzt gar nicht wo man das einlesen kann da ist doch ein Backup gemacht wurden.
Bei “http://virusscan.jotti.org/de/” stand bei C:\WINDOWS\Downloaded Program Files dann“The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file” was ist das? Scripte an und Cokis mit IE, habe Firefox und Sicherheit hoch.
Die Wiederherstellung habe ich immer noch aus bis alles runter ist, kleines Risiko ich weiß.

Anti Troja 30.08.2005 21:42

Also HKLM\Software\microsoft\downloadmanager habe ich

gelöscht aber was ist mit den:

Tue Aug 30 21:08:03 2005 => ***** Scanning Registry and File

system for Adware/Spyware *****
Tue Aug 30 21:08:03 2005 => Loading Spyware Signatures from

FIXED Database...
Tue Aug 30 21:08:13 2005 => Offending value found in

HKLM\Software\microsoft\downloadmanager !!!
Tue Aug 30 21:08:21 2005 => Object "AltNet Spyware/Adware"

found in File System! Action Taken: No Action Taken.


Tue Aug 30 21:10:16 2005 => ***** Scanning Registry for

errors created because of Adware/Spyware *****
Tue Aug 30 21:10:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage"

refers to invalid object "C:\WINDOWS\Downloaded Program

Files\EPUWalcontrol.dll". Action Taken: No Action Taken.

Tue Aug 30 21:10:58 2005 => Entry

"HKCR\CLSID\{86FC1FD1-BCF3-11D1-B76F-58BB04C10000}" refers

to invalid object "H:\RUNTIME\mDxEmul.mom". Action Taken: No

Action Taken.

Tue Aug 30 21:10:58 2005 => Entry

"HKCR\CLSID\{86FC1FD3-BCF3-11D1-B76F-58BB04C10000}" refers

to invalid object "H:\RUNTIME\mDxEmul.mom". Action Taken: No

Action Taken.

Tue Aug 30 21:10:58 2005 => Entry

"HKCR\CLSID\{894288e0-0948-11d2-8109-004845000eb5}" refers

to invalid object "vdremote.dll". Action Taken: No Action

Taken.

Tue Aug 30 21:10:59 2005 => Entry

"HKCR\CLSID\{9D2E5600-9099-11D0-B0AC-006097707A2C}" refers

to invalid object "E:\Eigene Dateien\codec\SVCD MPEG2

CODEC\mmsplit.dll". Action Taken: No Action Taken.

Tue Aug 30 21:10:59 2005 => Entry

"HKCR\CLSID\{A0783E60-CFDB-11D0-8586-00A024D181B8}" refers

to invalid object "E:\Eigene Dateien\codec\SVCD MPEG2

CODEC\mmsplit.dll". Action Taken: No Action Taken.

Tue Aug 30 21:11:07 2005 => Entry

"HKCR\CLSID\{FACF11A2-5095-11D3-A9DE-00C0268E5C48}" refers

to invalid object "H:\RUNTIME\mDxEmul.mom". Action Taken: No

Action Taken.


Soll ich alles von oben in der Reg. Löschen?
H:\RUNTIME\mDxEmul.mom ist ein Virtuelles Laufwerk.
Und die C:\WINDOWS\Downloaded Program

Files\EPUWalcontrol.dll zeigt es im Ordner nicht an da

stehen nur Active X Steuerelemente von Windows Install

update , Macromedia und Java Sun. Wo finde ich die

EPUWalcontrol.dll denn?


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131