Zitat:

Zitat von HansHansen

-Sollte ich die 4 Quarantäne Objekte von ewido entgültig entfernen oder hat das damit nichts zu tun?
-Kann es an der DFÜ Verbindung liegen und sollte ich diese neu einrichten?
-Sollte ich mir neue Inet Zugangsdaten zuschicken lassen?

Würde davon denn evtl. was helfen?

Mir fällt grad noch ein dass Spybot 1 Objekt nicht enfernen konnte. Danach sollte ich rebooten und er hat gleich bei Windowsstart nochmal gesucht und nix mehr gefunden.. ^^

RootkitRevealer hat eine Datei gefunden C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf Hidden from Windows API.

Was soll ich damit anstellen? ^^

Noch ne Frage, sollte ich die ganzen Progs laufen lassen wenn ich im Inet eingeloggt bin, sodass das Problem überhaupt auftritt oder Offline, oder ist das unherheblich?

Kann bitte mal jmd auf meine Fragen antworten?

Alle Progs aufzählen, laufen lassen und wenn dann nicht weg, neuaufsetzen .. da wär ich vielleicht noch selber drauf gekommen

Prüfe nach, ob die genannte Datei noch vorhanden ist.
Ansonsten lese selbst nach:
http://www.f-secure.de/v-desk/rootkit.shtml

Zitat:

Zitat von HansHansen

RootkitRevealer hat eine Datei gefunden C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf Hidden from Windows API.

Was soll ich damit anstellen? ^^

Das ist imo harmlos.

Zitat:

Noch ne Frage, sollte ich die ganzen Progs laufen lassen wenn ich im Inet eingeloggt bin, sodass das Problem überhaupt auftritt oder Offline, oder ist das unherheblich?

Mach doch einfach mal beides. Gibt's Unterschiede?

BTW: Wie gehst du ins Netz? Hast du deine Verbindung einfach schon mal neu angelegt?

Zitat:

Alle Progs aufzählen, laufen lassen und wenn dann nicht weg, neuaufsetzen .. da wär ich vielleicht noch selber drauf gekommen

Zunächst einmal handelt es sich bei der Masse der Programme nur um Analyse-Tools, die nichts von selbst entfernen. Es ist doch durchaus möglich, dass ein noch vorhandener Trojaner jedes Mal Änderungen am System vornimmt. Wenn nichts gefunden wird, hieße das im Zweifelsfall, dass sich der Schädling sehr gut tarnt. Würdest du noch mit einem solchen System arbeiten wollen?

Erstmal vielen Dank für eure Hilfe.

Online/Offline macht für mich keinen erkennbaren Unterschied.

Ich geh einfach über DFÜ mit RASPPPOE ins Netz. Hab ich noch nicht neu angelegt, hatte ganz am Anfang gefragt ob es evtl was bringen würde dies zu tun, aber da keiner drauf einging, hielt ich es für witzlos.
Kann mein Inet-Zugang ansich auch irgendwie manipuliert sein, sodass ich mir besser neue Zugangsdaten zuschicken lassen sollte?

Ansonsten habe ich auch noch eScan laufen lassen, welches 16 viren gefunden hat diese aber nicht entfernt oder umbenennt und wenn ich die MWAV datei lade tauchen sie auch nicht auf, nur ne mp3 datei von einer anderen Partition welche er aber auch nicht löschen kann. Wiso kann eScan die nicht entfernen?

Die Free-Version von Escan prüft nur und entfernt nichts.
Das mit dem Neuanlegen der I-Netverbindung kannst Du versuchen, aber ob es etwas bringt?

Hallo,
es wäre mal ganz interessanz zu erfahren welche Viren Escan gefunden hat, öffne mal die MWAV.LOG suche nach den Wörtern "infected" "tagged" und "offending" und poste die jeweiligen Einträge.


Grüße Wildone

Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\temporary internet files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\Temporary Internet Files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.


Thu Nov 03 15:49:40 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Shell.exe" refers to invalid object "D:\Destroyer Command\Shell.exe". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\Silent Hunter III\". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbx". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ERR". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pf". Action Taken: No Action Taken.

Thu Nov 03 15:49:44 2005 => Entry "HKCR\TypeLib\{DA0AC514-C1AE-11D3-84E7-005004C65534}" refers to invalid object "C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwce.dll". Action Taken: No Action Taken.

Thu Nov 03 15:49:44 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.


Diesmal waren es nur noch 2 Viren, aber die gleichen Errors.

Aber gut zu wissen dass Free-Version nichts löscht. Dann muss ich mich nicht mehr wundern ^^