brauche hilfe...!
 

hallo...
Als ich heute im MSN war, sandte mir ein Freund einen Link zu. Da ich recht vorsichtig in Sachen Links im MSN bin, öffnete ich ihn nicht. Doch leider war ich zu neugierig und öffnete den Link. Danach kam eine Aufforderung zum speichern einer .exe datei. Ich wusste, dass dies ein Risiko war, trotzdem speicherte ich sie ab und öffnete sie anschliessend. Ich wusste von Anfangan, dass da was nicht stimmen konnte. Und so war es :headbang:
Plötzlich öffnete sich ein Fenster und der Link verschickte sich selber im MSN weiter. Auf einaml gingen Fenster auf und ich konnte nicht anders, als dem Pc einfach den Saft abzudrehen.
Ich hoffe es schadete dem Pc nicht.
Und weil ich nicht weiss, was das genau war, wollte ich um Hilfe bitten.
-Kann mir jemand sagen, was es ist?????-
hier dieser Link:
h**p://viewpics.myphotos.cc/views.php?dir=pics&section=hot&clip=14

...Ich weiss, es war dumm von mir, diesen Link zu öffnen und ich werde mich in Zukunft noch mehr achten! :headbang:
Vielen Dank für euhre Hilfe
-izi

Sehr schöne Geschichte. :) :D Sorry fürs Grinsen, aber das hast du so schön beschrieben...

Mach mal http://www.trojaner-board.com/showthread.php?t=17492

Gruß :daumenhoc
Yopie

Gut öhh.. Danke :daumenhoc
Aber für was muss man denn dieses "Ding" entpacken? (oder wie nennt man das??? :confused: :D

Ding? Programm! Warum? Damit die Anleitung funktioniert! ;)
Das Entpacken geht übrigens auch mit dem (empfehlenswerten) Total Commander.

Gruß :daumenhoc
Yopie

okay.... :D

...und öhh, wenn ich nun die Systemwiederherstellung deaktiviere, is das nicht ein wenig gefährlich?? :confused: :crazy: :( ...oder so?? :D

Nein. Dadurch werden nur Wiederherstellungspunkte und die in ihnen enthaltenen Viren gelöscht. Für eine ernsthafte Rettungsaktion taugt die Systemwiederherstellung idR sowieso nicht.

Gruß :daumenhoc
Yopie

:lach: stimme voll zu die ist für den :lmaa:

sorry für den Spam

Sooo dann mal vielen Dank...!!!! :bussi: ;) :lach:
...ich versuchs jetzt einfach mal...
vielleicht lebt der PC danach noch... :P
-izi

also...
Ich hab den Pc in den abges. Modus gestellt und danach das Programm laufen lassen... -war das richtig so?
Ich habe nun eine Datei MWAV Textdokument. Ich weiss nicht, ob es sich um eine Log-Datei handelt... :o
Anschliessend habe ich die Systemwiederherstellung aktiviert...
und jetzt?? :)
-izi

Und jetzt postest du uns die Virus Log Information, wie in der Anleitung beschrieben.

btw:
Die Datei heißt mwav.log und ist die richtige, die zur Auswertung herangezogen wird. ;)

...Nun ich mache dies heut zum Ersten mal...
Muss diese Log-Datei wirklich so irre lang und 18mb gross sein?
Jetzt wollte ich die Log-Datei bearbeiten, doch sie hat sich aufgehängt...
:( :confused:
Ich denke ich geh erstmals schlafen und versuche es morgen erneut.... :sleepy:

Vielen Dank für eure Hilfe! :) :daumenhoc :D
-izi

Probiers mal mit dem in der Anleitung unter [5] angesprochenen Tool.

Gruß :daumenhoc
Yopie

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 15 21:24:00 2005 => System found infected with IBIS Spyware/Adware ({1d4db7d2-6ec9-47a3-bd87-1e41684e07bb})! Action taken: No Action Taken.
Sun May 15 21:24:00 2005 => File System Found infected by "IBIS Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 15 21:24:04 2005 => System found infected with FunWebProducts Spyware/Adware! Action taken: No Action Taken.
Sun May 15 21:24:04 2005 => File System Found infected by "FunWebProducts Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 15 21:24:04 2005 => System found infected with mwsoemon Spyware/Adware! Action taken: No Action Taken.
Sun May 15 21:24:04 2005 => File System Found infected by "mwsoemon Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 15 21:42:36 2005 => File C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.1.0.037\npwthost.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Sun May 15 21:42:38 2005 => File C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.1.0.037\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Sun May 15 21:42:42 2005 => File C:\WINDOWS\wt\wtupdates\webd\4.1.1\files\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Sun May 15 21:42:47 2005 => File C:\WINDOWS\wt\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Sun May 15 22:14:21 2005 => File C:\Programme\Norton AntiVirus\Quarantine\4EB04617.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Sun May 15 22:14:21 2005 => File C:\Programme\Norton AntiVirus\Quarantine\4EB37013.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Sun May 15 22:14:21 2005 => File C:\Programme\Norton AntiVirus\Quarantine\4EBD6E08.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Sun May 15 22:14:21 2005 => File C:\Programme\Norton AntiVirus\Quarantine\4EC34201.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
Sun May 15 22:14:21 2005 => File C:\Programme\Norton AntiVirus\Quarantine\4ECA15FA.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
Sun May 15 22:14:21 2005 => File C:\Programme\Norton AntiVirus\Quarantine\4ECD3FF6.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
Sun May 15 22:20:11 2005 => File C:\Recycled\Dc131.rar infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.
Sun May 15 22:20:39 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 15 21:53:41 2005 => File C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\avalanche.jar-33b9f7df-143f5915.zip tagged as not-a-virus:JavaClass.FormURLToy. No Action Taken.
Sun May 15 21:53:43 2005 => File C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\chainz.jar-479dee2e-52bfa358.zip tagged as not-a-virus:JavaClass.FormURLToy. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 15 22:20:39 2005 => Total Virus(es) Found: 16
Sun May 15 22:20:39 2005 => Total Errors: 1
Sun May 15 22:20:39 2005 => Time Elapsed: 00:57:35
Sun May 15 22:20:39 2005 => Total Objects Scanned: 131358
Sun May 15 21:20:37 2005 => Virus Database Date: 2005/05/05
Sun May 15 22:20:39 2005 => Virus Database Date: 2005/05/05
Sun May 15 22:21:53 2005 => Virus Database Date: 2005/05/05
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



Gut ich hoffe es ist richtig so :crazy: :o
-Izi

Leider nein.

Die Virensiganturen sind total veraltet!

Gehe wie folgt vor:
Lösche den Inhalt dieses Ordners: C:\Programme\Norton AntiVirus\Quarantine
Lösche die Datei C:\bases_x\mwav.log (wichtig!)

Führe bei bestehender Internetverbindung die Datei c:\bases_x\KAVUpd.exe aus um die neusten Virensignaturen herunterzuladen.

Starte den PC im abgesicherten Modus und führe den Scan aus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 16 14:39:12 2005 => System found infected with IBIS Spyware/Adware ({1d4db7d2-6ec9-47a3-bd87-1e41684e07bb})! Action taken: No Action Taken.
Mon May 16 14:39:12 2005 => File System Found infected by "IBIS Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon May 16 14:39:16 2005 => System found infected with FunWebProducts Spyware/Adware! Action taken: No Action Taken.
Mon May 16 14:39:16 2005 => File System Found infected by "FunWebProducts Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon May 16 14:39:16 2005 => System found infected with mwsoemon Spyware/Adware! Action taken: No Action Taken.
Mon May 16 14:39:16 2005 => File System Found infected by "mwsoemon Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon May 16 14:55:15 2005 => File C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.1.0.037\npwthost.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Mon May 16 14:55:17 2005 => File C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.1.0.037\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Mon May 16 14:55:21 2005 => File C:\WINDOWS\wt\wtupdates\webd\4.1.1\files\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Mon May 16 14:55:26 2005 => File C:\WINDOWS\wt\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
Mon May 16 15:30:21 2005 => File C:\FOUND.005\FILE0000.CHK infected by "Backdoor.Win32.IRCBot.aw" Virus. Action Taken: No Action Taken.
Mon May 16 15:30:23 2005 => File C:\Recycled\Dc363.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Mon May 16 15:30:23 2005 => File C:\Recycled\Dc364.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Mon May 16 15:30:23 2005 => File C:\Recycled\Dc365.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Mon May 16 15:30:23 2005 => File C:\Recycled\Dc366.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
Mon May 16 15:30:23 2005 => File C:\Recycled\Dc367.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
Mon May 16 15:30:23 2005 => File C:\Recycled\Dc368.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
Mon May 16 15:30:54 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 16 15:04:00 2005 => File C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\avalanche.jar-33b9f7df-143f5915.zip tagged as not-a-virus:JavaClass.FormURLToy. No Action Taken.
Mon May 16 15:04:02 2005 => File C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\chainz.jar-479dee2e-52bfa358.zip tagged as not-a-virus:JavaClass.FormURLToy. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon May 16 15:30:54 2005 => Total Virus(es) Found: 16
Mon May 16 15:30:55 2005 => Total Errors: 1
Mon May 16 15:30:55 2005 => Time Elapsed: 00:53:27
Mon May 16 15:30:54 2005 => Total Objects Scanned: 119706
Mon May 16 14:37:04 2005 => Virus Database Date: 2005/05/16
Mon May 16 15:30:55 2005 => Virus Database Date: 2005/05/16
Mon May 16 15:36:59 2005 => Virus Database Date: 2005/05/16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



....und jetzt? :) :o

-viele Grüsse, izi

Webtangent kannst du imho über die Systemsteuerung / Software deinstallieren.

Dieser Eintrag macht mir Sorgen. Ein aktiver Backdoor.Win32.IRCBot kann nur durch Neuinstallieren beseitigt werden, weil dadurch Dritte Vollzugriff auf deinen Rechner haben. Allerdings spricht der Fundort und der Dateiname nicht für einen aktiven Backdoor. Warten wir die Meinung von anderen Helfern ab. ;)

Löschen, evtl. im abgesicherten Modus oder mit Killbox (Hinweise dazu stehen in der escan-Anleitung). Außerdem überprüf mal, ob dein Java aktuell ist (Systemsteuerung - Java - Update oder so ähnlich).

Gruß :daumenhoc
Yopie

Danke!

Ich habe die KillBox gedownloadet und unter C: \KillBox\KillBox.exe gespeichert. Kann ich diese jetzt einfach öffnen oder muss ich noch etwas weiters vornehmen, bevor ich mit dem Programm arbeiten kann?

Muss ich mit dieser Datei im abgesicherten Modus arbeiten?

vielen Dank
-mfG Izi

Für mich sieht das eher nach einem false positive aus. Die *.CHK Datei sollte von Scandisk stammen.
Nein.
Nein, weil nach der Prozedur ein Neustart durchgeführt wird und die Dateien hierbei gelöscht werden.

Und das heisst? :) Ist diese Datei dann unschädlich?

Vielen Dank für die Hilfe!!!!
-izi

Du darfst diese Datei löschen. ;)

Diese Dateien sind oder sollten nun beseitigt sein.
-Vielen Danke

Muss ich den MWAVSCAN erneut durchführen?
-Wenn ja, die alte mwav.log löschen?

-mfG Izi

Um sicherzugehen solltest du eScan nochmal ausführen und wie du schon richtig erkannt hast, sollte die mwav.log zuvor gelöscht werden.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 18 15:15:35 2005 => System found infected with IBIS Spyware/Adware ({1d4db7d2-6ec9-47a3-bd87-1e41684e07bb})! Action taken: No Action Taken.
Wed May 18 15:15:35 2005 => File System Found infected by "IBIS Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 18 15:15:39 2005 => System found infected with FunWebProducts Spyware/Adware! Action taken: No Action Taken.
Wed May 18 15:15:39 2005 => File System Found infected by "FunWebProducts Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 18 15:15:39 2005 => System found infected with mwsoemon Spyware/Adware! Action taken: No Action Taken.
Wed May 18 15:15:39 2005 => File System Found infected by "mwsoemon Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 18 16:06:51 2005 => File C:\Recycled\Dc368.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
Wed May 18 16:07:11 2005 => File C:\!Submit\Kopie von Dc363.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Wed May 18 16:07:19 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\avalanche.jar-33b9f7df-143f5915.zip tagged as not-a-virus:JavaClass.FormURLToy. No Action Taken.
Wed May 18 15:40:36 2005 => File C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\chainz.jar-479dee2e-52bfa358.zip tagged as not-a-virus:JavaClass.FormURLToy. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 18 16:07:19 2005 => Total Virus(es) Found: 7
Wed May 18 16:07:19 2005 => Total Errors: 1
Wed May 18 16:07:19 2005 => Time Elapsed: 00:52:37
Wed May 18 16:07:19 2005 => Total Objects Scanned: 121375
Wed May 18 15:14:22 2005 => Virus Database Date: 2005/05/18
Wed May 18 16:07:19 2005 => Virus Database Date: 2005/05/18
Wed May 18 16:14:14 2005 => Virus Database Date: 2005/05/18
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



---
Wed May 18 16:07:11 2005 => File C:\!Submit\Kopie von Dc363.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Ist bereits beseitigt.

--
Wed May 18 16:06:51 2005 => File C:\Recycled\Dc368.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Ebenfalls mit KillBox löschen?


Vielen Dank fürs Anschauen! :)
-izi

hm... is nun alles ok? oder muss ich noch was machen? :( :schmoll: :o
-izi

Ja, solltest du ebenfalls mit KillBox löschen.
Leere auch noch dein Java Cache und den Ordner C:\!Submit (Backup von KillBox).

Abschließend ein Scan mit aktualiserten Spybot S&D und Ad-Aware.

Vielen Danke! :)

Ich habe einfach KAVUpd geöffnet. War das richtig so?

Hier die Auswertung des neuen Scans:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 22 10:54:33 2005 => System found infected with IBIS Spyware/Adware ({1d4db7d2-6ec9-47a3-bd87-1e41684e07bb})! Action taken: No Action Taken.
Sun May 22 10:54:33 2005 => File System Found infected by "IBIS Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 22 10:54:37 2005 => System found infected with FunWebProducts Spyware/Adware! Action taken: No Action Taken.
Sun May 22 10:54:37 2005 => File System Found infected by "FunWebProducts Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 22 10:54:37 2005 => System found infected with mwsoemon Spyware/Adware! Action taken: No Action Taken.
Sun May 22 10:54:37 2005 => File System Found infected by "mwsoemon Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 22 11:46:55 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 22 11:07:43 2005 => File C:\WINDOWS\Downloaded Program Files\popcaploader.dll tagged as not-a-virus:RiskWare.Downloader.PopCap.b. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 22 11:46:55 2005 => Total Virus(es) Found: 4
Sun May 22 11:46:55 2005 => Total Errors: 1
Sun May 22 11:46:55 2005 => Time Elapsed: 01:06:50
Sun May 22 11:46:55 2005 => Total Objects Scanned: 121831
Sun May 22 10:39:43 2005 => Virus Database Date: 2005/05/22
Sun May 22 11:46:55 2005 => Virus Database Date: 2005/05/22
Sun May 22 11:50:02 2005 => Virus Database Date: 2005/05/22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Danke fürs Anschauen! :) :)

-mfG izi