Trojaner-Board - Bitte eScan-Log auswerten !!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte eScan-Log auswerten !!! (https://www.trojaner-board.de/20024-bitte-escan-log-auswerten.html)

[B]Bitte eScan-Log auswerten !!![/B]

Hey Leute,
soll den Rechner meines Schwiegervaters in spe wieder herrichten bis er am WE aus dem Urlaub wiederkommt. Hab bisher alles versucht aber die Kiste bleibt verseucht... Hab mich jetzt hier an eure Anweisungen gehalten und möchte die Spezialisten unter euch nun bitten, mal den Log auszuwerten und mir zu sagen was ich tun kann...
Gruß und danke im voraus,
Nico

Tue Jul 19 00:52:27 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Jul 19 00:52:27 2005 => System found infected with Zango Spyware/Adware ({99410cde-6f16-42ce-9d49-3807f78f0287})! Action taken: No Action Taken.
Tue Jul 19 00:52:27 2005 => Object "Zango Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jul 19 00:50:11 2005 => File C:\WINDOWS\System32\q38fbkee.dll tagged as "not-a-virus:AdWare.Sahat.ad". Action Taken: No Action Taken.

Tue Jul 19 00:50:11 2005 => File c:\programme\180searchassistant\salmhook.dll tagged as "not-a-virus:AdWare.180Solutions.j". Action Taken: No Action Taken.

Tue Jul 19 00:50:15 2005 => File C:\programme\180searchassistant\salm.exe tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.

Tue Jul 19 00:52:18 2005 => File C:\Dokumente und Einstellungen\a\Desktop\Nicht verwendete Desktopverknüpfungen\Routenplaner\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Jul 19 00:52:50 2005 => File C:\WINDOWS\undqm98l.exe tagged as "not-a-virus:AdWare.Sahat.ah". Action Taken: No Action Taken.

Tue Jul 19 00:54:18 2005 => File C:\WINDOWS\system32\q38fbkee.dll tagged as "not-a-virus:AdWare.Sahat.ad". Action Taken: No Action Taken.

Tue Jul 19 00:54:36 2005 => File C:\WINDOWS\system32\v18ocnh3.exe tagged as "not-a-virus:AdWare.Sahat.f". Action Taken: No Action Taken.

Tue Jul 19 00:54:40 2005 => File C:\WINDOWS\system32\WinDmy.dll tagged as "not-a-virus:AdWare.Mirar.a". Action Taken: No Action Taken.

Tue Jul 19 00:55:23 2005 => File C:\DOKUME~1\a\LOKALE~1\Temp\GL_10.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Jul 19 00:55:27 2005 => File C:\DOKUME~1\a\LOKALE~1\Temp\MirarSetup.exe tagged as "not-a-virus:AdWare.SaveNow.bj". Action Taken: No Action Taken.

Tue Jul 19 00:56:11 2005 => File C:\DOKUME~1\a\LOKALE~1\Temp\res7.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.

Tue Jul 19 00:58:33 2005 => File C:\Dokumente und Einstellungen\a\Desktop\Nicht verwendete Desktopverknüpfungen\Routenplaner\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Jul 19 01:00:35 2005 => File C:\Dokumente und Einstellungen\a\Lokale Einstellungen\Temp\GL_10.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Jul 19 01:00:37 2005 => File C:\Dokumente und Einstellungen\a\Lokale Einstellungen\Temp\MirarSetup.exe tagged as "not-a-virus:AdWare.SaveNow.bj". Action Taken: No Action Taken.

Tue Jul 19 01:02:30 2005 => File C:\Dokumente und Einstellungen\a\Lokale Einstellungen\Temp\res7.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.

Tue Jul 19 01:17:12 2005 => File C:\Programme\180searchassistant\salmhook.dll tagged as "not-a-virus:AdWare.180Solutions.j". Action Taken: No Action Taken.

Tue Jul 19 02:15:27 2005 => File I:\Software\Quarterdeck\CleanSweep\Sichern\MON7926.BUD tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Jul 19 00:52:39 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Tue Jul 19 00:52:39 2005 => Object "WindUpdate Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jul 19 01:04:14 2005 => File C:\eied_s7.cab infected by "Trojan-Downloader.Win32.Mediket.an" Virus! Action Taken: No Action Taken.

Tue Jul 19 01:40:38 2005 => File C:\System Volume Information\_restore{26BFC4E5-AC3D-4652-A992-BA6DF1F69484}\RP77\A0022051.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.

Tue Jul 19 02:19:54 2005 => Total Objects Scanned: 92679
Tue Jul 19 02:19:54 2005 => Total Virus(es) Found: 41

Reicht euch dass oder braucht ihr noch mehr ???
Hoffe ihr kriegt was raus....

Wollte mich nur nochmal in Erinnerung bringe, könntet ihr mir bitte helfen ???? Wäre euch wirklich sehr dankbar !!!

Hallo swooosh,

deinstalliere über Systemsteuerung/Software "180searchassistant" oder ähnlich lautende Software.
Downloade Adaware und spybot S&D . Installieren und updaten.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html, lösche alle Funde (Dateien/Ordner) und leere diesen Ordner "C:\Dokumente und Einstellungen\a\Lokale Einstellungen\Temp" (entweder manuell oder mit clearprog).
Scanne nacheinander mit Adaware und Spybot und lösche alle Funde.

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Poste bitte ein Hijackthis-Logfile
Editiere alle Links und persönliche Daten.

dartus

EDIT: Hallo Gigamail ;)

Hi,

so schlimm sieht es ja gar nicht aus ;)
Lade Dir Spybot-S&D und
Ad-Aware und update beide Programme.
Lade die Killbox

Deinstalliere unter Systemsteuerung/Software
180searchassistant und --> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und lösche folgendes von Hand mit Hilfe der Killbox.
Klicke bei der Killbox auf Delete on Reboot, danach Dateien nacheinander rein laden und auf das rote Kreuz drücken. Wenn du gefragt wirst „ Do you want to reboot?“ auf no, erst bei der letzten Datei auf yes drücken.

c:\programme\180searchassistant --> kompletten Ordner wenn noch vorhanden
C:\WINDOWS\System32\q38fbkee.dll
C:\WINDOWS\undqm98l.exe
C:\WINDOWS\system32\v18ocnh3.exe
C:\WINDOWS\system32\WinDmy.dll

Datenträgerbereinigung:
Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Windowstaste+R --> temp --> <enter>
Inhalt löschen
Papierkorb leeren

scanne jetzt nacheinander mit Ad-aware und Spybot und lösche alle Funde

Neu booten und erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Edit:
Servus Dartus :party:

Danke erstmal für die Hilfe ! Werd mich so schnell es geht an den Rechner setzen und versuchen das so zu machen wie ihr sagt !
Melde mich dann wieder !
Nico