Allen ein herzliches Hallo,

seit 2 tagen fährt sich mein Rechner automatischer herunter. Keine Ahnung warum, habe Antivir scanen lassen...alles I.O. Jetzt habe ich mir e-scan auf meinen rechner gelegt und siehe da....er schreibt etwas von einem "troj/taladra-f BackDoor ". Nur leider kann ich diese datei nicht finden im Explorer um diese zu löschen. Ebnfalls finde ich die ...content.IE5 Dateien nie??? Kann mir jemand helfen???

Anbei die LOG von E-scan:

hu Dec 15 13:53:17 2005 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Thu Dec 15 13:54:27 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\49ozcjkj\aol[1].htm
Thu Dec 15 13:54:27 2005 => System found infected with whenu.savenow Spyware/Adware (aol[1].htm)! Action taken: No Action Taken.

Thu Dec 15 13:54:28 2005 => Offending file found: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\temporary internet files\content.ie5\49ozcjkj\blank[1].htm
Thu Dec 15 13:54:28 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Thu Dec 15 13:54:42 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\85yzkxaf\formie[1].css
Thu Dec 15 13:54:42 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Dec 15 13:54:47 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\fhbnj8l8\adsend[1].js
Thu Dec 15 13:54:47 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

Thu Dec 15 13:54:48 2005 => Offending file found: C:\Dokumente und Einstellungen\******\Lokale Einstellungen\temporary internet files\content.ie5\g3elclrt\adsend[1].js
Thu Dec 15 13:54:48 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

Thu Dec 15 13:54:48 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\g3elclrt\global[1].js
Thu Dec 15 13:54:48 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Thu Dec 15 13:54:49 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\hogn5hsx\blank[1].htm
Thu Dec 15 13:54:49 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Thu Dec 15 13:54:49 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\hogn5hsx\global[1].js
Thu Dec 15 13:54:49 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Thu Dec 15 13:54:49 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\hogn5hsx\misc[1].js
Thu Dec 15 13:54:49 2005 => System found infected with whenu.savenow Spyware/Adware (misc[1].js)! Action taken: No Action Taken.

Thu Dec 15 13:54:50 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\ilg7u965\adswrapper[1].js
Thu Dec 15 13:54:50 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

Thu Dec 15 13:54:50 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\ilg7u965\blank[1].htm
Thu Dec 15 13:54:50 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Thu Dec 15 13:54:50 2005 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temporary internet files\content.ie5\ilg7u965\global[1].js
Thu Dec 15 13:54:50 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Servus!
Hört sich nicht gut an!
Wenn das der ist, kann ich Dir nur den Rat geben!
Suche (wie siehe im link in meiner Signatur unten) mal nach der Datei 'ntsvc.ocx' und poste einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

Hi,
lass mal hier deinen Rechner mit Kasperky scannen ist auf Englisch.
Kannst auch noch mal mit Panda versuchen. Geht nur mit dem IE.
Meiner Meinung nach produziert der escan zuviel Fehlalarme.
Hier: http://virus-protect.net/onlinescan.html
Gruß
riesurf

@snowdader
ich schließe mich stupormundi an: Neuaufsetzen ist die sicherste Methode, PC zu säubern, um so mehr im Falle einer Backdoor-Infection
Allerdings: Versuche bitte erst mit www.clearprog.de die Temporary Internet Files-Ordner zu leeren und eScan zu wiederholen.

@riesurf

Zitat:

lass mal hier deinen Rechner mit Kasperky scannen ist auf Englisch.

Es gibt auch auf Deutsch (www.kaspersky.de). Zu bemerken ist nur, dass eScan auch die Signaturen von Kaspersky benutzt.

Hallo,

habe jetzt mal meinen PC via Kaspersky scanen lassen. anbei die Datei:
Hoffe nicht, dass ich alles neu aufsetzen muss. Vielen Dank für die Rückmeldungen.

Jetzt findet er aber den "troj/taladra-f BackDoor" nicht??

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, December 15, 2005 16:28:29
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 15/12/2005
Kaspersky Anti-Virus database records: 155362
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 54135
Number of viruses found: 4
Number of infected objects: 6
Number of suspicious objects: 1
Duration of the scan process: 2288 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ILG7U965\index[2].htm Suspicious: Exploit.HTML.Mht
D:\***\archive.pst/Archivordner/Gelöschte Objekte/01 Sep 2005 23:04 from eBay:OFFICIAL INFORMATION TO EBAY CLIENTS.rtf Infected: Trojan-Spy.HTML.Bayfraud.hn
D:\***\archive.pst/Archivordner/Gelöschte Objekte/31 Aug 2005 11:24 from eBay Inc:Customer notification: details c.rtf Infected: Trojan-Spy.HTML.Bayfraud.hn
D:\***\archive.pst/Archivordner/Gelöschte Objekte/29 Aug 2005 00:45 from export@loncin.com:reply/naked2.zip/naked2.doc.pif Infected: Email-Worm.Win32.NetSky.c
D:\***\archive.pst/Archivordner/Gelöschte Objekte/29 Aug 2005 00:45 from export@loncin.com:reply/naked2.zip Infected: Email-Worm.Win32.NetSky.c
D:\***\archive.pst/Archivordner/Gelöschte Objekte/25 Aug 2005 21:34 from Deutsche Telekom:Rechnung Online Monat Au/rechnung.pdf.exe Infected: Trojan-Downloader.Win32.Pechkin.a
D:\***\archive.pst Infected: Trojan-Downloader.Win32.Pechkin.a

Scan process completed.

@riesurf

Zitat:

lass mal hier deinen Rechner mit Kasperky scannen ist auf Englisch.

Das hast du wohl gemeint :aplaus: TNX. Wieder was Neues gelernt.

Hallo Ihr da draußen,

nach dem letzten Scan via Kaspersky habe ich die "archive-datei" meines Outlooks komplett gelöscht. So weit-so gut....

E-Scan hatte ja den"troj/taladra-f BackDoor" gefunden, Kaspersky anscheinend nicht;-(. Was soll ich nun tun...aufsetzen oder nicht...

Servus, snowdader!
Interessant, da escan auf der Kapersky engine basiert!
Aber da escan genau den Schlüssel in der Registry zu finden glaubt, sollte man nicht sofort nur von einem false-positive des Gratisscanners ausgehen!
Riesurf hat zwar prinzipiell nicht Unrecht, aber in diesem konkreten Fall sollte man mE. doch genauer schauen!
Probiere mal einen indirekten Zugang. Suche - wie ich Dir schon einmal gepostet habe - auf Deinem PC nach dieser Datei (ntsvc.ocx). Zum Suchen beachte die Einstellungen wie in Rene-gad´s Anleitung zum Suchen versteckter Dateien (siehe meine Signatur unten)
Außerdem: mit regseeker könntest Du gezielt in der Registry die von diesen Backdoor erstellten Einträgen suchen!

Zitat:

HKCR\CLSID\(E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\Interface\(E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\Interface\(E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\NTService.Control.1\
HKCR\TypeLib\(E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C)

Also - nicht gleich formatieren, aber auch nicht ignorieren. Lieber einmal mehr nachgesehen, als nachher böser Überraschungen erleben!
Zu den anderen Viren (via Mail eingetroffen): ich hoffe, Du hast kein attachement geöffnet?!
stupormundi

Ein abendliches Hallo in die Runde,

nun gibt's so viele Trojaner - mein eScan mit der find.bat brachte auch diese Fehlermeldung:

Funde für "System found infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

---------- c:\bases_x\mwav.log
[575]Sun Dec 18 17:36:47 2005 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.

Die restlichen Funde poste ich nicht, da sie eindeutig Fehlalarme sind. (die Verknüpfungen/*.ink von einem Faxmanager oder die exe-Datei von der Mischpult-Datei der Soundkarte ......:aplaus:

Die angesprochene Datei 'ntsvc.ocx' ist ja unter ,,,,Windows/System zu finden. Unter Dateieigenschaften erfahre ich, dass dies eine notwendige Systemdatei ist - von 1997.

Freundlicherweise wurde mir in einem anderen Forum diese Datei unter
virustotal.com
mit den etlichen Virenprogrammen gescannt und ein Befall wurde nicht bestätigt.

Was mich stutzig macht ist, dass ich einen Tag zu vor mit dem aktuellen Viren-Update von Version MWAV 6.4 keine Trojaner-Meldung hatte und am nächsten Tag mit der V 7.4 dann diese "troj/taladra-f BackDoor"-Geschichte.

Nun hatte ich meine Registry nach den auch unter
internet-magazin.de/internet/cm/virenecke/show_sophos
aufgeführten Keys durchsucht und bin auf etliche Einträge in der Registry gekommen. Die Datei 'tsvc.ocx' ist nicht auf meinem System.

Eine Beschreibung des Schädlings bleibt Kaspersky unter
viruslist.com
schuldig. Unter 'Taladrator' sind nur Links zu anderen Firmen zu finden. Aber auch der Link zu Sophos und taladra-?

Alles trallalala ...

Also, da findet ein Schutzprogramm einen Schädling und bietet selber keine wirklichen Informationen an. Was soll dies bedeuten ....

Für mich ist jetzt die Frage:
Ist im aktuellen Programm von MWAV eine Microsoft System-Datei verwendet worden, die einen fingierten Alarm auslösen soll??
Gibt es Such-Unterschiede zwischen dem BS Win98 und dem aktuellen XP??

Und wer garantiert mir, wenn ich jetzt die Qualen des Neuaufsetzens durchlebe, ob dann nicht der eScan die gleiche Meldung bringt.

Eine Anfrage bei MWAV blieb ob des Scan-Verhaltens bisher unbeantwortet. Mein Englisch kann doch sooo schlecht nicht sein ........