Lies die Anleitung komplett, achte auf den unteren Teil mit der FIND.BAT.

@Mellosun
Würde aber trotzdem eine alternative(Miranda, Trillian) benutzen, denn als sonderlich seriös kann man ein solches Vorgehen ja nicht bezeichen, besonders das es nicht möglich ist das Sposorenprogramm über Systemsteuerung>>Software zu deinstallieren.



Grüße Wildone

OK, dank Dir Wildone. Hab mir grad mal Trillian geladen. Werde es morgen mal Installieren und nuzen!

Gruß Mellosun

das is das logfile :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 10 00:18:26 2006 => System found infected with emule P2P-worm (emule.exe)! Action taken: No Action Taken.
Mon Jul 10 00:18:26 2006 => System found infected with emule P2P-worm (template.emuleskin.ini)! Action taken: No Action Taken.
Mon Jul 10 00:18:24 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken.
Mon Jul 10 00:18:26 2006 => Object "dope wars Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Jul 10 00:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr00.156\emule44bv16-webcache-rar\emule.exe
Mon Jul 10 00:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr00.156\emule44bv16-webcache-rar\template.emuleskin.ini
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Jul 10 00:18:26 2006 => Offending Folder found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr01.109\nokia 3650-3660 software\software für nokia 7650 und 3650\games\dopewars
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Jul 10 00:18:23 2006 => Offending Key found: HKCU\Software\emule !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 10 00:20:37 2006 => Virus Database Date: 7/9/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




..und so wie ich das jetzt erkenne is emule dran schuld..scheiss prog.

wo finde ich das tool Blacklight?

hmm... emule p2p worm ist nicht sehr genau. Es gibt verschiedene Varianten, die idR Backdoors sind. Scanne die infizierten Dateien bei Virustotal oder/ und Jotti und poste das Ergebnis.

Blacklight? Unter Google. 1 Klick. Wetten!

logfile zitat:
Mon Jul 10 00:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr00.156\emule44bv16-webcache-rar\emule.exe

Mon Jul 10 00:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr00.156\emule44bv16-webcache-rar\template.emuleskin.ini

Mon Jul 10 00:18:26 2006 => Offending Folder found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr01.109\nokia 3650-3660 software\software für nokia 7650 und 3650\games\dopewars

denke mal das das der fad is wos gefunden worden ist...habe ich alles bei Jotti gescannt und dort habe ich nix an viren gefunden

hallo :)
ich habe jetzt mal ein online scann gemacht....wie kann ich die viren jetzt löschen?oder soll ich kleich das system neu machen?(datrauf habe ich garkein bock:heulen: :heulen: )

Kaspersky Anti-Virus database records: 206071
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 118904
Number of viruses found: 6
Number of infected objects: 23 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:57:05

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0002 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0003 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0006 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip ZIP: infected - 4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32_viewer.zip/vnc-4.0-x86_win32_viewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32_viewer.zip ZIP: infected - 1 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temp\Rar$DR01.109\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE/data0003 Infected: not-a-virus:AdWare.Win32.Locator.e skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temp\Rar$DR01.109\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE NSIS: infected - 1 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\37NRZ0P9\ErrorSafeScannerInstallDE[1].cab/UERSU_0001_N68M1402NetInstaller.exe Infected: not-a-virus:Downloader.Win32.WinFixer.d skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\37NRZ0P9\ErrorSafeScannerInstallDE[1].cab CAB: infected - 1 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006071020060711\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Startmenü\RealVNC\vnc-4.0-x86_win32_viewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\drwtsn32.log Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped
C:\WINDOWS\Internet Logs\ZOCKER-1985.ldb Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\ZLT02f93.TMP Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\emule\Incoming\18 Pocket PC Applications.zip/Pocket PC Software/Area Code Reverse Lookup Install File (PocketPC).exe/data0004 Infected: not-a-virus:AdWare.Win32.OnFlow skipped
D:\emule\Incoming\18 Pocket PC Applications.zip/Pocket PC Software/Area Code Reverse Lookup Install File (PocketPC).exe Infected: not-a-virus:AdWare.Win32.OnFlow skipped
D:\emule\Incoming\18 Pocket PC Applications.zip ZIP: infected - 2 skipped
D:\Incoming\Nero-7.2.0.3b.exe Infected: Backdoor.Win32.Bifrose.sz skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
D:\System Volume Information\_restore{C8279290-F7D6-43B3-999E-42BC1387FF4C}\RP9\A0004326.exe/data0079 Infected: not-a-virus:AdWare.Win32.Lop.ai skipped
D:\System Volume Information\_restore{C8279290-F7D6-43B3-999E-42BC1387FF4C}\RP9\A0004326.exe Inno: infected - 1 skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE/data0003 Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE NSIS: infected - 1 skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar/NOKIA 3650-3660 Software/Software für Nokia 7650 und 3650/SmartMovie+Crack/SMARTMOVIE_KEYGEN.EXE/data0003 Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar/NOKIA 3650-3660 Software/Software für Nokia 7650 und 3650/SmartMovie+Crack/SMARTMOVIE_KEYGEN.EXE Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar RAR: infected - 2 skipped
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.

Hallo,
mal sehen ob ich das verstehe...:confused:
Kaspersky findet ein Laufwerk D und E,die beide im Hijack-Log nicht auftauchen.Auch ist bei HJT keine Rede von "Cracks":koch:
Ich denke mal laut.....:D
Der TO hat eine externe Festplatte und einen USB Stick,auf dem die Bösen und geklauten Sachen sind.Schlaumeier wie er ist,hat er das natürlich nicht mit HJT erfassen lassen.:aplaus:
Lieber schaut er zu,wie sich die Leute über merkwürdige Einträge wundern :pfui:
Neuaufsetzen ist die gerechte Strafe dafür. ;)
Irrlicht

Ich enthalte mich eines Kommentares.:pfui:

also meine platte is in 3 laufwerke geteilt also c,d und e..aber wieso erkent Hijack die platen nicht?
also ich habe an den logfile von Hijack nix aber auch garnix geänder...nich mal den windows benutzer name.

Ps:ja ich weiss das mit den cracks is nicht inordnung.SORRY

Bei der Masse an Befall, denke ich, dass Du den PC neu machen solltest.
Du solltest generell Dein Surfverhalten überprüfen.
Filesharing, Keys aus unsicheren Quellen.
Denkst Du ernsthaft, dass Dir jemand etwas umsonst gibt? Der, der den Keygenerator programmiert hat, macht das bestimmt nicht aus Nächstenliebe oder er Dich so toll findet:mad:
Er hat seine Interessen. Und wenn er nur Deine E-Mail-Adressen haben möchte. Das ist noch das kleinere Übel. Vielleicht sind Deine Konto- oder Ebay-Daten für ihn von Bedeutung. Da sieht es schon schlechter aus.

Hallo,
also ich denke das das bloße löschen der Dateien reichen sollte, ich sehe keienrlei Anzeichen dafür das die Dateien auch ausgeführt worden sind, denn das würde man dann ja (höchstwahrscheinlich) am HijackThis Log sehen.
Der Rest ist aber richtig, solange du mit Cracks rumhantieren wirst, wirst du ein potenziell verseuchtes System haben.
Übrigens ist die Scan Meldung über die Emule.exe wohl ein false positive (wäre ja nicht das erste von Escan).
Wenn du übrigens die Datei:
D:\Incoming\Nero-7.2.0.3b.exe Infected: Backdoor.Win32.Bifrose.sz skipped

ausführst kannst du den Rechner danach direkt formatieren.

Übrigens solltest du mal die Temp Dateien mit Cleanup! löschen und deine Surfgewohnheiten, wie auch schon von felix1 erwähnt, auch gleich überdenken.


Grüße Wildone

Hallo,

deaktiviere zusätzlich die Systemwiederherstellung, Rechner neu booten, danach kann der Haken wieder rein.

Bin mir nicht sicher. Dann müsste sich aber auch nochmal um das Log von HJT gekümmert werden.
Wenn Du Dich entscheidest, den PC nicht neu zu machen und nur die Dateien zu löschen, poste am Ende ein neues HJT-Log.

guten morgen alle zusammen ich habe gester mein pc neu aufgesetzt habe ZoneAlarm und AntiVir PersonalEdition Classic trauf gemacht.aber mein schei** pc spinnt immer noch ich weiss echt ne weiter. das hier is mein neues logfile von HijackThis..vieleicht kann jemand was finden...escan logfile kommt noch muss mal wieder 24 min warten.



Scan saved at 11:24:16, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\test\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe