|
Nutzung der eScan-Funde ?? Hallo.. Habe hier mal eine Frage zu der Nutzung der bei Escan gefundenen Informationen.. Lasse ich Escan im abgesicherten Modus laufen und habe nacher die Funde in dem Abschnitt "Virus Log Information" bzw. in der riesigen "mwav.log" habe ich Probleme die Funde zu nutzen.. D.h. ich kann die Funde direkt in dem Kasten "Virus Log Information" nicht durch makieren und kopieren direkt irgendwo einfügen.. So muss ich immer den 'blöden' Weg beschreiten alle Viren erst in der "mwav.log" zu suchen und jede einzeln zu kopieren.. Da das doch sehr umständlich und super zeitintensiv ist.. Frage ich mich ob es nicht einen besseren oder schnelleren Weg gibt.. Hab da zwar schon in der Anleitung von Escan von .."Find.bat".. gelesen, allerdings weiß ich nicht, wie ich die auf meinen Rechner bekomme und dann nutze.. Wer kann mir da helfen.. |
|
Hallo.. Danke für die Rückmeldung.. Das hab ich schon mal probiert und da liegt auch mein Problem.. Wenn ich Find.bat anklicke und sie einfach nur mal öffnen will, dann werde ich gefragt, mit welchem Programm es geöffnet werden soll.. Da bleibe ich dann hängen. Wenn ich das mit rechtsklick mache und dann "Ziel speichern unter" hab ich es zwar in einem Ordner liegen, aber halt nur als Blatt mit diesem typischen Windowszeichen drin.. Hab ich jetzt da was falsch gemacht oder fehlt mir ein Programm zum öffnen..? Hoffe hier bricht jetzt kein Gelächter aus.. |
Du hast die "Find.rar" aber vorher schon mit einem Packprogramm (z.B. Winrar, ist Freeware), entpackt, oder? cacatoa |
Sorry, ich klicke natürlich die "Find.rar" an und nicht die "Find.bat". Also habe "Find.rar" mit "Ziel Speichern unter" in einen Ordner rüber geholt. Jetzt liegt sie in meinem Ornder als dieses eben angesprochene Blatt mit der Bezeichnung "Find.rar" Als Programm zum entpacken hab ich WinZip. Ich wüsste jetzt nicht wie ich es irgendwie entpacken kann..? |
Mit WinRAR. Downloadlink (probier die links mal durch, von irgendeinem gehts zum runterladen) |
Super, hat alles geklappt.. Erst mal danke.. Manche Sachen können so einfach sein, aber wenn erst mal ein Denkfehler drin ist, dann gute Nacht.. Dachte eigentlich das Winzip wenn es was zu entpacken gibt das eigentlich hinbekommt, aber .. weit gefehlt.. Jetzt kommt aber mein eigentliches Problem.. Wo mir jemand beim Auswerten helfen müsste.. :crazy: Hier mein HJack-Lockfile und meine Escan Auswertung.. Info: die Proxyserver-einrichtungen sind OK und gewollt. Logfile of HijackThis v1.99.1 Scan saved at 11:09:48, on 25.08.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\Explorer.EXE C:\WINNT\system32\atiptaxx.exe C:\WINNT\system32\NWTRAY.EXE C:\NORMAN\bin\ZLH.EXE C:\WINNT\mHotkey.exe C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE C:\WINNT\system32\dpmw32.exe C:\WINNT\system32\mfcrq32.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Novell\ZENworks\NalAgent.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINNT\system32\sysjd32.exe C:\Dokumente und Einstellungen\Kropff\Startmenü\Programme\Autostart\SCHDPL32.EXE C:\NORMAN\Nvc\BIN\NIP.EXE C:\NORMAN\Nvc\bin\cclaw.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\MSOffice\Office10\WINWORD.EXE C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\WINNT\System32\wisptis.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\WINNT\system32\NOTEPAD.EXE C:\unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.erzbistum-paderborn.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.30:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;172.16.102.22;<local> R3 - Default URLSearchHook is missing O2 - BHO: Class - {7DC57C00-AB82-D195-38DF-737FEC07CDCB} - C:\WINNT\system32\iera32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [NDPS] C:\WINNT\system32\dpmw32.exe O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINNT\system32\zentray.exe O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe O4 - HKLM\..\Run: [mfcrq32.exe] C:\WINNT\system32\mfcrq32.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: SCHDPL32.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE O4 - Global Startup: NALDSK.bat O4 - Global Startup: Outlook Express starten.lnk = C:\Programme\Outlook Express\msimn.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: Domain = egv.intra O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: NameServer = 10.0.1.35,10.0.1.40 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: NetIdentity Notification - C:\WINNT\system32\Novell\XtNotify.dll O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\NORMAN\bin\ZANDA.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\System32\oodag.exe O23 - Service: OracleORACLE6iClientCache80 - Unknown owner - c:\oracle\ORACLE6i\BIN\ONRSD80.EXE O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing) O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINNT\System32\Novell\XTAgent.exe O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 23 12:37:50 2005 => File C:\WINNT\atlro32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 12:37:54 2005 => File C:\WINNT\javash.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 12:37:54 2005 => File C:\WINNT\javavg.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 12:37:56 2005 => File C:\WINNT\mswp.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 12:38:07 2005 => File C:\WINNT\system32\apixo32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 12:38:12 2005 => File C:\WINNT\system32\atlli32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 12:39:40 2005 => File C:\WINNT\system32\mfcrq32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken. Tue Aug 23 12:40:55 2005 => File C:\WINNT\system32\sysjd32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 13:14:43 2005 => File C:\WINNT\atlro32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 13:20:19 2005 => File C:\WINNT\javash.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 13:20:19 2005 => File C:\WINNT\javavg.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 13:20:37 2005 => File C:\WINNT\mswp.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 13:23:13 2005 => File C:\WINNT\system32\apixo32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 13:23:17 2005 => File C:\WINNT\system32\atlli32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 13:24:42 2005 => File C:\WINNT\system32\mfcrq32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken. Tue Aug 23 13:25:54 2005 => File C:\WINNT\system32\sysjd32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Tue Aug 23 13:26:55 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 23 12:42:12 2005 => File C:\DOKUME~1\Kropff\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\1LCNGF1V\msg_1[1].html tagged as "not-a-virus:PSWTool.HTML.Fraud.gen". Action Taken: No Action Taken. Tue Aug 23 12:51:37 2005 => File C:\Dokumente und Einstellungen\Kropff\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\1LCNGF1V\msg_1[1].html tagged as "not-a-virus:PSWTool.HTML.Fraud.gen". Action Taken: No Action Taken. Tue Aug 23 13:12:10 2005 => File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken. Tue Aug 23 13:12:10 2005 => File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken. Tue Aug 23 13:12:10 2005 => File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 23 13:26:55 2005 => Total Virus(es) Found: 26 Tue Aug 23 13:26:55 2005 => Total Errors: 89 Tue Aug 23 13:26:55 2005 => Time Elapsed: 00:51:51 Tue Aug 23 13:26:55 2005 => Total Objects Scanned: 66651 Tue Aug 23 12:26:58 2005 => Virus Database Date: 2005/08/17 Tue Aug 23 12:34:40 2005 => Virus Database Date: 2005/08/17 Tue Aug 23 13:26:55 2005 => Virus Database Date: 2005/08/17 Tue Aug 23 14:33:20 2005 => Virus Database Date: 2005/08/17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Leider hast Du Dir das hier eingefangen: Tue Aug 23 12:37:50 2005 => File C:\WINNT\atlro32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Dabei handelt es sich um folgendes Schadenspotential: http://www.sophos.de/virusinfo/analy...ojagentde.html Deshalb kann ich Dir nur dazu raten: http://www.trojaner-board.de/showthread.php?t=12154 Halte Dich genau an die Anleitung. |
Blöd blöd.. Wollte jetzt nicht so sehr ausfallend werden.. Letzte Frage: Kann ich vorab schon etwas machen, bzw. löschen um dieses Mistding zu zerstören..? :pfui: Werd ja dann erst mal komplett meine Passwörter ändern müssen..!! |
PC vom Netz nehmen. Die Dateien löschen, obwohl es sinnlos sein wird. Neuaufsetzen. Zitat:
|
@waemsa: Also, die beiden Trojs kannst du durch löschen der Dateien und der Entfernung der registry-Einträge wegbringen. Wie sinnvoll das ist, darüber läßt sich streiten. Insofern geb ich Felix recht. @ felix1: Guck mal in deine PN! ;) cacatoa |
Zitat:
es ist ein fehler in der anleitung: [5] Rechtsklick auf die Find.rar -> Ziel speichern unter... z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten. anstatt find.rar steht find.bat-ausserdem ist der link tot. hier: http://www.cidres-security.de/escan.html ist die anleitung richtig und der linkt funzt. vor dem scan find.bat clicken. am ende eScan_neu.txt öffnen. 2. weiter oben ist die reihenfolge auch verwirrend. [2] Rechtsklick auf die Datei 'mwav.exe' -> 'Dateien entpacken' auswählen -> unter Zielverzeichnis 'C:\Bases_X' eingeben -> 'OK' muss vor: Um eScan zu aktualisieren, muss zunächst zum Ordner 'C:\Bases_X' navigiert und die Datei 'kavupd.exe' ausgeführt werden. Ein kleines DOS - Fenster öffnet sich, Signaturen werden erneuert und nach getaner Arbeit wird das Fenster wieder geschlossen. stehen. habe das bereits vor länger zeit erfolglos gemeldet. sonst: trojaner-board: SUPPI! weiter so. |
Zitat:
Die Anleitung im Trojaner Board und auch auf meiner HP sind identisch. Der Link funktioniert ebenso. Zitat:
|
winme: rechtsklick auf find.bat der link konnte nicht gespeichert werde. die webseite wurde entweder entfernt oder ihr name wurde verändert. vielleicht funzt es in win2k. klick auf find.bat http://www.media-folders.de/user/Haui/Find.bat the requested url.......was not found on this server.... danke für die fundierte erklärung. im prinzip richtig aber es finden sich immer wieder laien die von sehr wenigem etwas verstehen und alles satz für satz abarbeiten. ob die dann hier etwas zu suchen haben? |
@europanorama Vllt. solltest du mal deinen cache oder sonst was löschen. Die find.rar ist in jeder Anleitung auf: http://www.cidres-security.de/picture/Find.rar verlinkt und funktioniert. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board