So, hab jetzt nen eScan durchgeführt - ganz sauber scheint er ja nicht zu sein... 17x tagged, davon 1x infected... Naja und 36 Errors...

Das mit der Find.bat hat nicht funktioniert, hab's mehrfach versucht, es wurde nie eine Datei "eScan*.txt" auf meinen Festplatten erstellt, egal in welchem Verzeichnis ich die bat ausgeführt habe. Also bin ich nach der älteren beschriebenen Methode vorgegangen - mit der Suchfunktion im Editor...

Tue May 31 20:52:50 2005 => **********************************************************
Tue May 31 20:52:50 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Tue May 31 20:52:50 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Tue May 31 20:52:50 2005 => **********************************************************
Tue May 31 20:52:50 2005 => Version 6.2.9 (D:\Bases_X\mwavscan.com)
Tue May 31 20:52:50 2005 => Log File: D:\Bases_X\MWAV.LOG
Tue May 31 20:52:50 2005 => MWAV Registered: FALSE.
Tue May 31 20:52:50 2005 => MWAV Mode: Only Scan files.
Tue May 31 20:52:50 2005 => Latest Date of files inside MWAV: 31 May 2005 21:36:49.
Tue May 31 20:52:57 2005 => AV Library Loaded...
Tue May 31 20:52:57 2005 => MWAV doing self scanning...
(...)
Tue May 31 20:52:59 2005 => MWAV files are clean.
Tue May 31 20:53:04 2005 => Virus Database Date: 2005/05/31
Tue May 31 20:53:04 2005 => Virus Database Count: 132625
(...)
Tue May 31 20:54:34 2005 => Options Selected by User:
Tue May 31 20:54:34 2005 => Memory Check: Enabled
Tue May 31 20:54:34 2005 => Registry Check: Enabled
Tue May 31 20:54:34 2005 => StartUp Folder Check: Enabled
Tue May 31 20:54:34 2005 => System Folder Check: Enabled
Tue May 31 20:54:34 2005 => System Area Check: Disabled
Tue May 31 20:54:34 2005 => Services Check: Enabled
Tue May 31 20:54:34 2005 => Drive Check: Disabled
Tue May 31 20:54:34 2005 => All Drive Check :Enabled
Tue May 31 20:54:34 2005 => Folder Check: Disabled
(...)
(...)
(...)

8 Einträge wie dieser (alle "tagged as not-a-virus:Tool.Win32.Reboot"):
Tue May 31 22:26:37 2005 => File F:\software\Video Player Programs.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
(...)

2x (hatte die Datei 2x auf Platte):
Tue May 31 22:28:18 2005 => File F:\weitere SICHERHEITSKOPIEN\(...)\themes, etc\lordofth.EXE tagged as "not-a-virus:AdWare.Gator.1050". Action Taken: No Action Taken.
(...)

2x (hatte die Datei 2x auf Platte):
Tue May 31 22:28:48 2005 => File F:\weitere SICHERHEITSKOPIEN\Internet\scripts\Invision1.18.zip tagged as not-a-virus:Client-IRC.Win32.mIRC.82. No Action Taken.
(...)

DIE INFIZIERTE DATEI:
Tue May 31 22:33:40 2005 => File F:\Spiele\Super Mario\spmario\spmario.exe infected by "Trojan.Win32.StartPage.oz" Virus! Action Taken: No Action Taken.
(...)

Tue May 31 23:11:01 2005 => File G:\All u need\Internet\FTP\susetup.exe tagged as not-a-virus:Server-FTP.Win32.Serv-U.40. No Action Taken.
(...)

3 Einträge wie dieser (alle "tagged as not-a-virus:AdWare.[unterschiedlieche Bezeichnung]")
Tue May 31 23:13:56 2005 => File G:\All u need\Internet\GetRight 4.3\Setup.exe tagged as "not-a-virus:AdWare.TimeSinc". Action Taken: No Action Taken.
(...)

(...)
(...)
(...)
Tue May 31 23:29:05 2005 => ***** Scanning complete. *****

Tue May 31 23:29:05 2005 => Total Objects Scanned: 90442
Tue May 31 23:29:05 2005 => Total Virus(es) Found: 17
Tue May 31 23:29:05 2005 => Total Disinfected Files: 0
Tue May 31 23:29:05 2005 => Total Files Renamed: 0
Tue May 31 23:29:05 2005 => Total Deleted Objects: 0
Tue May 31 23:29:05 2005 => Total Errors: 36
Tue May 31 23:29:05 2005 => Time Elapsed: 02:34:05
Tue May 31 23:29:05 2005 => Virus Database Date: 2005/05/31
Tue May 31 23:29:05 2005 => Virus Database Count: 132625

Tue May 31 23:29:05 2005 => Scan Completed.



Also, das war's. Bitte helft mir weiter, wie gehe ich mit diesem Ergebnis um?

>> "tagged as not-a-virus:Tool.Win32.Reboot" und ähnliche <<
Wohl völlig unproblematisch, oder? Verstehe nicht, warum eScan die anzeigt...

>> "tagged as not-a-virus:AdWare.[unterschiedlieche Bezeichnung]" <<
Halte ich für unproblematisch, sind Installationsdateien, die bekanntlich Adware enthalten (wusste ich allerdings bei GetRight nicht) - Problem lässt sich bei Installation mit Ad-Aware schnell lösen...

Aber was mache ich damit:
>> Tue May 31 22:33:40 2005 => File F:\Spiele\Super Mario\spmario\spmario.exe infected by "Trojan.Win32.StartPage.oz" Virus! Action Taken: No Action Taken. <<
Die Datei schlummert schon seit Jahren ungenutzt auf meiner Platte - würd sie nicht vermissen... Aber reicht es sie zu löschen? Ist das Problem dann gelöst?

Vielen Dank schonmal für die Hilfe!

Gruß,
Edd

EDIT am 2.6.: Editierung der Pfade etwas sinnvoller gestaltet - war kritisiert worden...

@Edd
Warum hast du die Datei Find.bat nicht ausgeführt? Bitte nächstes mal den Anleitungen und Empfehlungen, die du hier bekommst , punktgenau nachgehen.

Zitat:

File F:\Spiele\Super Mario\spmario\spmario.exe infected by "Trojan.Win32.StartPage.oz" Virus!
G:\All u need\(...)\GetRight 4.3\Setup.exe

Scheint Fehlalarme zu sein.Super Mario kenne ich , glaube aber noch für MS-DOS oder Win95. Überptüfe die Dateien noch bei http://virusscan.jotti.org/.
Warum hast du die Pfäde bis zur Unerkenntlichkeit gekürzt?

@Rene-gad: Erstmal vielen Dank für deine Hilfe!

Zitat:

Zitat von Rene-gad

Warum hast du die Datei Find.bat nicht ausgeführt? Bitte nächstes mal den Anleitungen und Empfehlungen, die du hier bekommst , punktgenau nachgehen.

Hab's mehrfach versucht, funktionioerte aber nicht. Hatte ich aber auch oben geschrieben - hab sie in mehreren verschiedenen Verzeichnissen versucht auszuführen. DOS-Fenster öffnet sich und schließt sich wieder - das war's. Keine Datei auf der Festplatte auffindbar - auch nicht über die Suchfunktion... Sorry, hab's versucht... Hmmm..... jetzt wo ich drüber nachdenke, ich glaub ich weiß, warum's nicht funktioniert hat: Hatte eScan irrtümlich 2x entpackt, wusste nur beim ersten mal nicht wohin - ich sollte wohl so sachen nicht Nachts machen... :-S

Zitat:

Zitat von Rene-gad

Scheint Fehlalarme zu sein.Super Mario kenne ich , glaube aber noch für MS-DOS oder Win95. Überptüfe die Dateien noch bei http://virusscan.jotti.org/.

Alle vom eScan aufgezeigten Dateien sind von mir selbst im jeweiligen Verzeichnis gespeichert gewesen, die hat kein Virus erstellt und getarnt. Ich weiß nur halt überhaupt nicht, wie ein Virus genau vorgeht, ob er auch "gesunde" Dateien quasi als Versteck nutzen kann zum Beispiel - sonst hätte ich den Thread nicht eröffnen müssen. Die Super Mario exe-Datei ist definitiv von mir selbst dort gespeichert worden, ich glaub aber nicht, dass ich sie jemals ausgeführt habe seit ich sie auf Platte habe (mehrere Jahre schon *g*) - von daher werd ich sie denke ich sicherheitshalber löschen, nutzen werd ich sie eh nie...
Auch wenn ich sie eh löschen werde bei der angegebenen URL prüfen lassen?

Zitat:

Zitat von Rene-gad

Warum hast du die Pfäde bis zur Unerkenntlichkeit gekürzt?

Wollte die Info auf's Wesentliche reduzieren - weniger Arbeit für euch zu lesen. Ob ich nun "G:\SICH(...)\(...)\(...)\themes\lordofth.EXE" oder "G:\SICHERHEITSKOPIEN\Windoof\Desktopf\alt\new stuff\themes, etc\lordofth.EXE" angebe kommt letzten Endes für euch ja auf's selbe hinaus (ok, das Wort "Sicherheitskopien" hätte ich vielleicht nicht kürzen sollen, nicht drüber nachgedacht). Naja, und mir waren ehrlich gesagt die Bezeichnungen, die ich ersatzweise für "Windows" und "Desktop" angegeben hatte (weil mir irgendwann mal beim Erstellen von Sicherheitskopien auf einer anderen Partition Windows einen schlicht mit "Desktop" benannten Ordner zum Systemordner machte), ein wenig peinlich... Aber wie gesagt, "Sicherheitskopien" hätte ich wohl ausschreiben sollen - das war schlicht gedankenlos von mir... :-S Oh, selbiges gilt für das ominöse "F:\weitere (...)\", der Ordner heißt "F:\weitere Sicherheitskopien\", warum ich den runter editiert habe, weiß ich auch nicht... Sorry, gedankenlos... Bei "susetup.exe" hätte ich zumindest noch den Ornder angeben sollen, in dem die Datei sich befindet ("FTP"), denn das gibt Aufschluss darüber, wozu ich die Datei auf Platte haben könnte........ Ok, ok, ok, ich hör auf darüber nachzudenken, hab deutlich übertrieben mit dem Kürzen......... Nächstes mal geb ich die vollen Pfade an - das mit dem Kürzen ist Quatsch, wie ich sehe - hab nicht darüber nachgedacht, dass auch die Angabe des Verzeichnisses wichtig ist, weil sie Aufschluss über den Zweck einer vielleicht unbekannten Datei geben kann... Auf den Gedanken bin ich nur mitten in der Nacht nicht mahr gekommen - naja...... Kopf einschalten oder posten sein lassen - sorry, wollt's erleichtern, hab's aber erschwert... EDIT:

Gruß,
Edd

Zitat:

Zitat von Rene-gad

Scheint Fehlalarme zu sein.Super Mario kenne ich , glaube aber noch für MS-DOS oder Win95. Überptüfe die Dateien noch bei http://virusscan.jotti.org/.

Ergebnis des Online-Tests der Datei auf http://virusscan.jotti.org/ sieht folgendermaßen aus:

File: spmario.exe
Status: INFECTED/MALWARE
MD5: 989c4bac60c569c6e5f109ba70e709ec
Packers detected: PECOMPACT

Scanner results:

AntiVir: Found nothing
Avast: Found nothing
AVG Antivirus: Found nothing
BitDefender: Found nothing
ClamAV: Found nothing
Dr.Web: Found nothing
F-Prot Antivirus: Found nothing
Fortinet: Found nothing
Kaspersky Anti-Virus: Found Trojan.Win32.StartPage.oz
mks_vir: Found nothing
NOD32: Found nothing
Norman Virus Control: Found nothing
VBA32: Found nothing

Also alle nichts gefunden außer Kaspersky Anti-Virus, welcher den gleichen Trojaner feststellt wie eScan (basieren aber ja auch auf der gleichen Routine)...

Die Datei ist die Installationsdatei des Spiels Super Mario, welches entpackt in einem Nebenverzeichnis ist, somit muss ich die Datei vor Jahren schonmal ausgeführt haben... Also ist das jetzt Malware? War die Datei mal "gesund" und ist jetzt "infiziert" worden? Oder Fehlalarm?

Falls es wirklich ein Virus ist: Reicht es die Datei zu löschen oder muss ich noch irgendwas beachten?

Danke schonmal im Voraus.

Gruß,
Edd

Bitte reagiert auf meine Fragen - ich bin kein Kenner und über den vermeintlichen Trojaner lässt sich im Netz nicht wirklich viel finden... Eigentlich nur, dass es zur Zeit keine Beschreibung über "das Programm", wie sie's nennen, gibt - siehe viruslist.com - das war's. Nehme an es ist ein Fehlalarm, sehe ich das richtig?

Ich weiß, ich schreibe oft etwas zu langatmig, also versuche ich's mal sehr kurz und knapp:

Es reicht eine kurze Antwort auf folgende Fragen:
1.) LSSAS.exe gelöscht, sowie aus'm Autostart in der Registry gelöscht (aus HKLM/.../Run) - danach nichts mehr davon in den log-Files zu finden.
=> Problem gelöst?
=> ist das System nach dem fixen wieder vertrauenswürdig, oder muss es neu aufgesetzt werden?
2.) File F:\Spiele\Super Mario\spmario\spmario.exe infected by "Trojan.Win32.StartPage.oz" Virus! Außer dem Hinweis von eScan auf die Datei war nichts in den log-Dateien, auch nicht im HijackThis-log.
=> Reicht es die Datei zu löschen?
=> ist das System danach wieder vertrauenswürdig?

zu 2.) & 3.) ==> Kann ich nach dem Fixen wieder Online-Banking betreiben (vorausgesetzt alle relevante Software ist aktualisiert & Sicherheitseinstellungen aus der Anleitung zum Neuaufsetzen wurden durchgeführt), oder ist das zu Riskant ohne Neuaufsetzen des Systems?

Wäre schön, wenn ihr mir diese Fragen kurz mit "ja" oder "nein" (oder gerne auch einem Satz dazu, muss aber nicht) beantworten würdet. Ich hab wirklich nicht viel Ahnung.

Danke euch schonmal.
Schöne Grüße,
Edd

@Edd

Zitat:

ist das System nach dem fixen wieder vertrauenswürdig, oder muss es neu aufgesetzt werden?

Absolut sicher malwarefrei ist nur ein frisch aufgesetzter Rechner vor dem ersten Internetgang.
Die fragwürdige Datei sende bitte verpackt und Kennwortgeschützt an
Kaspersky Lab Deutschland: info@kaspersky.de oder Technischer Support : deutsch@support.kaspersky.com. In deiner eMail kannst du Jotti -Protokoll einbetten.
Ich würde hier weiterhin auf einen Fehlalarm tippen.

Zitat:

Zitat von Rene-gad

Die fragwürdige Datei sende bitte verpackt und Kennwortgeschützt an Kaspersky Lab Deutschland: info@kaspersky.de oder Technischer Support : deutsch@support.kaspersky.com. In deiner eMail kannst du Jotti -Protokoll einbetten.
Ich würde hier weiterhin auf einen Fehlalarm tippen.

Vielen Dank für die Hilfe, Rene-gad!

Falls noch jemand eine solche Virus-Warnung bekommen hat und Informationen dazu sucht, die Reaktion des Kasperski-Lab auf meine Frage, ob es reicht die Datei zu löschen, war: Löschen sollte genügen.

Sehr schön - hab das Spiel eh seit Jahren nicht angerührt, sofern ich es überhaupt jeh auf PC gespielt hab...

Gruß,
Edd