![]() |
eScan -> mwav.log automatisch auswerten! Hallo Boardies, der Regular Haui45 hat sich die Mühe gemacht und eine Batch Datei geschrieben, die die automatische Suche nach infected, tagged, Found, Errors, Scanned, Date und Time Elapsed aus der mwav.log übernimmt. Die o.g. Einträge aus der Virus Log Information erleichtern uns die Analyse eines infizierten Systems. Vorteil: - Zeitersparnis bei TO und Helfern - TO wird als 'Fehlerquelle' beim Übertragen der einzelnen Einträge ausgeschlossen Nachteil: - TO muss nicht mehr so intensiv mit seinem Problem beschäftigen.;) Zitat:
Code: if not exist c:\bases\mwav.log goto 1 Danke an Haui45. :daumenhoc [1] Zitat:
Zitat:
|
Und wenn wir dann "diese Datei" dann nach folgendem Schema verlinken: verstehts auch der ONU ;) SCNR Dank an Cidre für den Hinweis und noch grösseren Dank an Haui für die Batch-Datei :daumenhoc: |
@ cronos Sorry, kann ja mal passieren. :D ;) |
jep, jetzt könnte man ja noch eine allroundbehebung aller bekannten downloadtrojaner dadurch iniziieren. da die trojaner extrahierbar aus der log sind, wäre es doch ohne weiteres möglich, im autoexec.bat die infizierten dateien als "del infizierte dateiurl" einzufügen. danach wäre nach einem boot die trojanerdateien gelöscht. allerdings bei backdoors und exe-viren... jedenfalls thx für die Info Cidre und big thx an Haui45 :daumenhoch: |
@ cidre mal ist gut *duck*;) Im Ernst.Die vorgehensweise erscheint mir doch sehr viel besser. Bekannt, ob das auf allen Systemen problemlos läuft? |
Dank an Cidre für den Thread und seinen Verbesserungsvorschlag (Einbau der Statistiken). Erwähnt werden sollte jedoch, dass die Datei so, wie jetzt ist, nur unter Win2000 und WinXP funktionieren wird (Grund ist der Befehl "findstr"). Falls jemand Win95/98/ME verwendet und Zeit/Lust hat, kann er das Ganze auch ausprobieren, muss aber wahrscheinlich "findstr" durch "find" ersetzen. Falls kein positives Ergebnis zu Stande kommt, wäre es empfehlenswert, die Datei über die Eingabeaufforderung zu starten. Hier ein kurzes Beispiel: Code: echo Funde für infected >c:\find2.txt |
Code: if not exist c:\bases\mwav.log goto 1 btw: vor jedem Scan mit eScan sollte die alte mwav.log gelöscht werden! P.S.: unter XP funktioniert es (oder nicht) je nach Speicherort der .bat :confused: |
@Chris14 Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker). Link müsste ich suchen. In eine Batch würde ich das nicht einbauen. Sie soll uns lediglich die Funde zeigen und dem Hilfesuchenden ein wenig Arbeit ersparen :) Naja, wer Lust hat, kann ja ein bisschen rumprobieren, ich hab dazu zu wenig Zeit... :( |
Zitat:
Zitat:
|
Zitat:
Dazu auch Lutz |
Kleiner Verbesserungsvorschlag: Neben folgendem: Code: findstr /i /n "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt Zumindest bei "Total Objects Scanned" fallen erfahrungsgemäß immer wieder Einstellungsfehler des Scans durch User auf. Bei "Virus Database Date" könnte man sich anderweitig sicher sein, dass User, die mehrere Male ihren Log posten, ihr Programm auch aktualisiert haben. Oder ist das Extra weggelassen worden? |
Zitat:
findstr /i /n "Scanned:" c:\bases_x\mwav.log >> C:\find.txt findstr /i /n "Date:" c:\bases_x\mwav.log >> C:\find.txt findstr /i /n "Count:" c:\bases_x\mwav.log >> C:\find.txt Zitat:
|
Ich hab's noch mit eingebaut, der Link bleibt gleich -> http://www.media-folders.de/user/Haui/Find.bat Den Eintrag Virus Database Count: halte ich nicht wirklich für wichtig, deshalb habe ich ihn weggelassen. Da "Date:" mehrmals in der mwav.log vorkommt, erscheint es auch mehrmals in der eScan_neu.txt Zudem habe ich den Befehlszeilenparameter /n weggelassen, da unnötig (als Info für alle, die es interessiert ;)) Wichtig: Je nach eScan-Version heißt die ausgegebene Datei "eScan_neu.txt" bzw. "eScan_alt.txt". Die alte mwav.log sollte vor jedem Scan gelöscht werden! |
Hallo und zur Ergänzung wegen dem eScanCheck-Tool. Es ist mittlerweile in der Beta 9 unter http://www32.brinkster.com/idontknowit/download/ zu finden. Habe deswegen bei http://tinyurl.com/amzwe nachgefragt. |
Hallo Wolfgang, danke für die Info! :daumenhoc Ich habe die aktuelle Version auch auf meiner 'Ausweichseite' abgelegt. ;) Zu finden unter http://derbilk.de/escancheckb9.sfx.exe |
Da die Datei leider nur unter Win2000/XP funktioniert, habe ich noch eine 2te Version hochgeladen. Unter Win95 hat sie tadellos funktioniert. Wer Lust bzw. Gelegenheit hat, kann es ja mal ausprobieren. => Für Win95/98/Me -> http://www.media-folders.de/user/Haui/Find_alt.bat => Für Win2000/XP wie gehabt -> http://www.media-folders.de/user/Haui/Find.bat |
Hallo, gibts das noch? Der Link führt momentan ins Leere Donni |
Ja, siehe dazu mein Posting. |
DANKE ;) *knuddel* |
@ll Die 'alten Links' funktionieren wieder :daumenhoc |
Hallo! Ich habe Windows ME, habe beide Files ausprobiert, aber es kommt immer eine leere Textdatei dabei heraus :schmoll: |
Hallo snowangel, woran das liegt, kann ich so pauschal nicht sagen. Speichere den nachfolgenden Text bitte im Windows-Editor als Find.bat direkt unter C: ab. Wichtig ist hierbei die Dateiendung .bat Code: if not eXist c:\bases_x\mwav.log goto 1 Falls es nicht funktionieren sollte, kannst du die Datei auch mal über die Eingabeauforderung starten. Dazu musst du diese starten (Start-> Programme-> Zubehör-> Eingabeaufforderung) und C:\Find.bat eingeben. Mit Enter bestätigen. Ergebnis? |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo! Ich habe es grade nochmal probiert, kommt aber immer dasselbe raus... eine Leere Textdatei :headbang: Ich hänge mal an, was das DOS-fenster bei mir am Ende anzeigt. |
Dann versuch' das Gleiche bitte noch mal, aber verwende diesmal nur diese beiden Zeilen. Zitat:
|
Funktioniert leider immer noch nicht. Egal, ich suche einfach dann per WordPad. Danke für die Hilfe :) |
Du kannst es auch mit eScanCheck (s. eScan-Anleitung) probieren. eScanChech starten-> Datei-> eScan-Log öffnen-> mwav.log auswählen-> Rechtsklick auf die Liste-> Alle auswählen-> Auswertung kopieren-> mit Strg+V in ein neues Dokument einfügen-> Fertig HTH |
Ich hab nen Problem - mein System war von W32.Alcra.B befallen. Ich habs gelöscht, aber trotzdem fährt mein PC nicht den kompletten Autostart hoch (Taskleiste: Lautstärke, Temperaturmesser, etc). Ich bin hierher über einen Link von Giga hergekommen. Ich hänge die Datei an... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 01 20:28:45 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Fri Jul 01 20:28:46 2005 => System found infected with MyBar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken. Fri Jul 01 21:08:06 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\14B95EBC.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken. Fri Jul 01 21:08:07 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\14B95EBC.tmp infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken. Fri Jul 01 21:08:08 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\14BD08B8.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken. Fri Jul 01 21:08:09 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\27BF7F83 infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken. Fri Jul 01 21:08:09 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\2AEC3E4F.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken. Fri Jul 01 21:08:10 2005 => File C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine\52F36642.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken. Fri Jul 01 21:22:42 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri Jul 01 22:03:54 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 01 20:28:05 2005 => File C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken. Fri Jul 01 21:21:44 2005 => File C:\Programme\ACAD2000\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 01 22:03:54 2005 => Total Virus(es) Found: 11 Fri Jul 01 22:03:54 2005 => Total Errors: 147 Fri Jul 01 22:03:54 2005 => Time Elapsed: 01:35:16 Fri Jul 01 22:03:54 2005 => Total Objects Scanned: 58532 Fri Jul 01 20:26:39 2005 => Virus Database Date: 2005/07/01 Fri Jul 01 22:03:53 2005 => Virus Database Date: 2005/07/01 Fri Jul 01 22:04:04 2005 => Virus Database Date: 2005/07/01 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
@Rednexx deinstalliere über systemsteuerung, software, MyBar und MyWay lade HJT, http://www.trojaner-board.de/showthread.php?t=17493 wechsle dann in den abgesicherten modus und fixe mit HJT O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm lösche danach manuell C:\WINDOWS\web\related.htm neu booten. leere deine C:\Internetsicherheit\Norton\Norton AntiVirus\Quarantine ordner. lade clearprog , alle häkchen bei windows und IE setzen. löschen chaosman |
soweit bis auf das fixen mit hjt verstanden. Kannst du mir das mit ein paar worten erklären? und welches clearprog downloaden? |
ok. hjt hat sich erledigt - hab ich jetzt selbst kapiert |
@Rednexx ClearProg 1.4.1 Final soweit bis auf das fixen mit hjt verstanden. Kannst du mir das mit ein paar worten erklären? Einsetzen von HJT – Einträge fixen: Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken. Übersetzt heißt das: systemwiederherstellung deaktivieren, in den abgesicherten modus starten, HJT scannen lassen, die einträge suchen die ich dir gepostet habe und anklicken, dann auf "Fix Checked" klicken. neu booten, systemwiederherstellung aktivieren. chaosman |
ok - vielen dank - hät ich jetzt falsch gemacht :o . Danke!!!!! |
@ Rednexx kannst auch hier mal lesen da ist alles erklärt. Wichtig für dich das Kapitel Einträge fixen |
Hallo also ich hab mich jetzt gesanned und dann selber n paar reinigungen vorgenommen, aber n paar sachen gehn einfach ned weg ... wäre froh wenn ihr mir helfen könntet ... 1: Im 'Log Information' Feld seh ich bei jedem durchlauf als erstets: Object "Power scan Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. und Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{AF320921-9381-11d1-9C3C-0000F875AC61}" refers to invalid object "Y:\PFiles\Common\System\OLEDB\MSDAIPP.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken. Entry "HKCR\CLSID\{E1D2BF40-A96B-11d1-9C6B-0000F875AC61}" refers to invalid object "Y:\PFiles\Common\System\OLEDB\MSDAIPP.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{E1D2BF42-A96B-11d1-9C6B-0000F875AC61}" refers to invalid object "Y:\PFiles\Common\System\OLEDB\MSDAIPP.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{FF151822-B0BF-11D1-A80D-000000000000}" refers to invalid object "Y:\PFiles\Common\System\OLEDB\MSDAURL.DLL". Action Taken: No Action Taken. ... Y:\ ist ein CD Laufwerk. 2: und als ergebnis vom find.bat ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sun Jul 03 20:27:13 2005 => Scanning Folder: F:\ORCAD\AVPersonal\INFECTED\*.* Sun Jul 03 20:48:49 2005 => Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.* Sun Jul 03 21:32:30 2005 => File J:\quar\foto.js infected by "Trojan-Downloader.JS.Zapchast.b" Virus! Action Taken: No Action Taken. Sun Jul 03 21:38:45 2005 => Scanning Folder: K:\AVPersonal\INFECTED\*.* Sun Jul 03 22:51:13 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sun Jul 03 20:18:41 2005 => File F:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 21:17:44 2005 => File F:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 21:18:23 2005 => File H:\FIZI\Info\SCR_cfbgsiii.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:01:31 2005 => File M:\aida\aida32.bin tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. Sun Jul 03 22:01:31 2005 => File M:\aida\aida32.exe tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. Sun Jul 03 22:01:34 2005 => File M:\aida\aida32ee_393.zip tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. Sun Jul 03 22:01:36 2005 => File M:\aida\aida_directx.dll tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. Sun Jul 03 22:01:39 2005 => File M:\Brenner_a\Bildung_Prog\ASTRO\DS4_SE.ZIP tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:03:22 2005 => File M:\Brenner_a\DOS\UTIL.LZH tagged as not-a-virus:Tool.DOS.Reboot. No Action Taken. Sun Jul 03 22:03:29 2005 => File M:\Brenner_a\E_mail-Internet\netctrl2.exe tagged as not-a-virus:RemoteAdmin.Win32.NetControl2.295. No Action Taken. Sun Jul 03 22:05:43 2005 => File M:\Brenner_a\Programme\activeshutdown.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:05:45 2005 => File M:\Brenner_a\Programme\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:06:02 2005 => File M:\Brenner_a\Programme\webscene.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:15:57 2005 => File M:\Installation\AntiVirus\ikarus_demo_dn030909.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:18:36 2005 => File M:\Installation\Iomega\iomegaware-w32-x86-311_w98-xp.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:18:38 2005 => File M:\Installation\Iomega\ioware-w32-x86-311.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:18:40 2005 => File M:\Installation\Iomega\ioware-w32-x86-402.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:20:33 2005 => File M:\Installation\Zus_Prog\webscene.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:22:54 2005 => File M:\MS_&Service Packs\IE6\downlod_manager\flash_get_f140_downlodmanager.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken. Sun Jul 03 22:28:34 2005 => File M:\Prog\SNAGIT\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:29:02 2005 => File M:\Prog\SNAGIT\snagit_neu\snagitv7.0.1crackrevenge.zip tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. Sun Jul 03 22:30:06 2005 => File M:\SAT\Programme\VNC\vnc-3.3.7-x86_win32.zip tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken. Sun Jul 03 22:33:25 2005 => File M:\SAT\SNAGIT\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:33:48 2005 => File M:\SAT\SNAGIT\Techsmith\SNAGIT\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:34:10 2005 => File M:\SAT\vnc\VNC.zip tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken. Sun Jul 03 22:34:10 2005 => File M:\SAT\vnc\vncviewer.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken. Sun Jul 03 22:50:35 2005 => File Q:\Prog\SNAGIT\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jul 03 22:51:02 2005 => File Q:\Prog\SNAGIT\snagit_neu\snagitv7.0.1crackrevenge.zip tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sun Jul 03 22:51:13 2005 => Total Virus(es) Found: 35 Sun Jul 03 22:51:13 2005 => Total Errors: 35 Sun Jul 03 22:51:13 2005 => Time Elapsed: 02:35:52 Sun Jul 03 22:51:13 2005 => Total Objects Scanned: 130457 Sun Jul 03 20:13:33 2005 => Virus Database Date: 2005/07/03 Sun Jul 03 22:51:13 2005 => Virus Database Date: 2005/07/03 Sun Jul 03 23:15:31 2005 => Virus Database Date: 2005/07/03 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Was kann ich da noch machen (1) bzw sind alle 'tagged as not-a-virus' wirklich ungefärlich ( wircklich infiziert is ja nix mehr) ? Hoffe ihr könnt mir helfen. |
uups hier muss ich posten sorry Zitat:
|
Zitat:
Poste bitte in deinem alten Thread. |
Zitat:
http://www.derbilk.de/malware/1_anleitungen_escan.php unten bei: 3. Möglichkeit - eScan-Checkb10 von Seeker: oder rechts oben unter infos und software. |
So jezt hier mal mein Ergebnis: Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Aug 29 13:36:47 2005 => Scanning Folder: C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\*.* Mon Aug 29 13:36:47 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\A0127654.EXE.VIR Mon Aug 29 13:36:50 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\IUN6002.EXE.VIR Mon Aug 29 13:36:52 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\TXP3SETUP.EXE.VIR Mon Aug 29 13:37:01 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\WBOPEN.EXE.VIR Mon Aug 29 13:38:11 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Mon Aug 29 14:57:49 2005 => File C:\Programme\Winamp\Skins\bc-selfexec.wsz infected by "Exploit.Win32.LnkRun" Virus! Action Taken: Keine Aktion vorgenommen. Mon Aug 29 15:00:52 2005 => C:\RECYCLER\NPROTECT\00000103. possibly infected and removed by background antivirus package! Mon Aug 29 15:00:52 2005 => File C:\RECYCLER\NPROTECT\00000103. infected by "BkCln.Unknown" Virus! Action Taken: Keine Aktion vorgenommen. Mon Aug 29 15:00:55 2005 => C:\RECYCLER\NPROTECT\00000154. possibly infected and removed by background antivirus package! Mon Aug 29 15:00:55 2005 => File C:\RECYCLER\NPROTECT\00000154. infected by "BkCln.Unknown" Virus! Action Taken: Keine Aktion vorgenommen. Mon Aug 29 15:49:16 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Aug 29 15:49:16 2005 => Total Virus(es) Found: 4 Mon Aug 29 15:49:16 2005 => Total Errors: 2297 Mon Aug 29 15:49:16 2005 => Time Elapsed: 03:48:18 Mon Aug 29 15:49:16 2005 => Total Objects Scanned: 142666 Mon Aug 29 11:58:13 2005 => Virus Database Date: 2005/08/27 Mon Aug 29 15:49:16 2005 => Virus Database Date: 2005/08/27 Mon Aug 29 16:26:49 2005 => Virus Database Date: 2005/08/27 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Ende Habe eSCheck ausgeführt und was sicher auch Sinnvoll ist es standen nicht die Vieren aus der Quarantäne von Antivier mit drin obwohl sie bei eScan geführt wurden. Habe nur die 2 C:\RECYCLER\NPROTECT gelöscht und das Skin von Winamp. Bei C:\RECYCLER könnten doch 2 früherer Virus drin sein ,oder? Warum das Skin von Winamp ein Virus haben soll weiß ich nicht. 2297 Fehler klingt auch viel. Was mit Altnet ist (=> Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken) weiß ich auch nicht das findet eScan auch aber ich weiß nicht wie und wo ich das lösche, mit Altnet surf hat das sicher nichts zu tun. |
Wegen Altnet musst du in die Datei selbst rein schauen (die log von escan) und diesen dann per Hand aus der registry löschen. |
Ich blicke debei nicht so durch, ich finde den eigentlichen Eintrag. Ist das HKLM\Software\microsoft\downloadmanager !!! oder noch "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll". Action Taken: No Action Taken.??? Siehe aus log: Mon Aug 29 22:55:17 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Mon Aug 29 22:55:17 2005 => Loading Spyware Signatures from FIXED Database... Mon Aug 29 22:55:24 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Mon Aug 29 22:55:25 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Mon Aug 29 22:55:42 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Mon Aug 29 22:55:42 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll". Action Taken: No Action Taken. --- Finde da nicht die Grenze! |
ALSO du öffnest die registry und suchst dem Pfad entsprechend die Funde raus. Den Downloadmanager kannst du als Verzeichniss in der Registry löschen. Die anderen sind als Dateien angegeben und lassen sich so auch finden. Du weist wie du da rein kommst in die Registry? HKLM\Software\microsoft\downloadmanager (verzeichniss löschen) und da HKLM\Software\Microsoft\Windows\CurrentVersion\Mod uleUsage schaust du mal nach der Datei EPUWalcontrol.dll und die C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll lässt du bei virustotal.com oder http://virusscan.jotti.org/de/ durchsuchen was die dazu sagen und wenn sie auch was finden dann löschen. Hast du die Systemwiederhestellung an? |
Ja, mach ich sonnst mit regedit.vbs aber da steht nichts weil der auch Anfang fehlt. Weiß nich in welchen Ordner ich da muß. Die EPUWalcontrol.dll gibt es nicht mehr in Windows. Kann sein das das bei eSCheck gelöscht wurde, ich weiß jetzt gar nicht wo man das einlesen kann da ist doch ein Backup gemacht wurden. Bei “http://virusscan.jotti.org/de/” stand bei C:\WINDOWS\Downloaded Program Files dann“The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file” was ist das? Scripte an und Cokis mit IE, habe Firefox und Sicherheit hoch. Die Wiederherstellung habe ich immer noch aus bis alles runter ist, kleines Risiko ich weiß. |
Also HKLM\Software\microsoft\downloadmanager habe ich gelöscht aber was ist mit den: Tue Aug 30 21:08:03 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Tue Aug 30 21:08:03 2005 => Loading Spyware Signatures from FIXED Database... Tue Aug 30 21:08:13 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Tue Aug 30 21:08:21 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Tue Aug 30 21:10:16 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Tue Aug 30 21:10:16 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll". Action Taken: No Action Taken. Tue Aug 30 21:10:58 2005 => Entry "HKCR\CLSID\{86FC1FD1-BCF3-11D1-B76F-58BB04C10000}" refers to invalid object "H:\RUNTIME\mDxEmul.mom". Action Taken: No Action Taken. Tue Aug 30 21:10:58 2005 => Entry "HKCR\CLSID\{86FC1FD3-BCF3-11D1-B76F-58BB04C10000}" refers to invalid object "H:\RUNTIME\mDxEmul.mom". Action Taken: No Action Taken. Tue Aug 30 21:10:58 2005 => Entry "HKCR\CLSID\{894288e0-0948-11d2-8109-004845000eb5}" refers to invalid object "vdremote.dll". Action Taken: No Action Taken. Tue Aug 30 21:10:59 2005 => Entry "HKCR\CLSID\{9D2E5600-9099-11D0-B0AC-006097707A2C}" refers to invalid object "E:\Eigene Dateien\codec\SVCD MPEG2 CODEC\mmsplit.dll". Action Taken: No Action Taken. Tue Aug 30 21:10:59 2005 => Entry "HKCR\CLSID\{A0783E60-CFDB-11D0-8586-00A024D181B8}" refers to invalid object "E:\Eigene Dateien\codec\SVCD MPEG2 CODEC\mmsplit.dll". Action Taken: No Action Taken. Tue Aug 30 21:11:07 2005 => Entry "HKCR\CLSID\{FACF11A2-5095-11D3-A9DE-00C0268E5C48}" refers to invalid object "H:\RUNTIME\mDxEmul.mom". Action Taken: No Action Taken. Soll ich alles von oben in der Reg. Löschen? H:\RUNTIME\mDxEmul.mom ist ein Virtuelles Laufwerk. Und die C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll zeigt es im Ordner nicht an da stehen nur Active X Steuerelemente von Windows Install update , Macromedia und Java Sun. Wo finde ich die EPUWalcontrol.dll denn? |
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board