Zitat:

Zitat von HansHansen

RootkitRevealer hat eine Datei gefunden C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf Hidden from Windows API.

Was soll ich damit anstellen? ^^

Das ist imo harmlos.

Zitat:

Noch ne Frage, sollte ich die ganzen Progs laufen lassen wenn ich im Inet eingeloggt bin, sodass das Problem überhaupt auftritt oder Offline, oder ist das unherheblich?

Mach doch einfach mal beides. Gibt's Unterschiede?

BTW: Wie gehst du ins Netz? Hast du deine Verbindung einfach schon mal neu angelegt?

Zitat:

Alle Progs aufzählen, laufen lassen und wenn dann nicht weg, neuaufsetzen .. da wär ich vielleicht noch selber drauf gekommen

Zunächst einmal handelt es sich bei der Masse der Programme nur um Analyse-Tools, die nichts von selbst entfernen. Es ist doch durchaus möglich, dass ein noch vorhandener Trojaner jedes Mal Änderungen am System vornimmt. Wenn nichts gefunden wird, hieße das im Zweifelsfall, dass sich der Schädling sehr gut tarnt. Würdest du noch mit einem solchen System arbeiten wollen?

Erstmal vielen Dank für eure Hilfe.

Online/Offline macht für mich keinen erkennbaren Unterschied.

Ich geh einfach über DFÜ mit RASPPPOE ins Netz. Hab ich noch nicht neu angelegt, hatte ganz am Anfang gefragt ob es evtl was bringen würde dies zu tun, aber da keiner drauf einging, hielt ich es für witzlos.
Kann mein Inet-Zugang ansich auch irgendwie manipuliert sein, sodass ich mir besser neue Zugangsdaten zuschicken lassen sollte?

Ansonsten habe ich auch noch eScan laufen lassen, welches 16 viren gefunden hat diese aber nicht entfernt oder umbenennt und wenn ich die MWAV datei lade tauchen sie auch nicht auf, nur ne mp3 datei von einer anderen Partition welche er aber auch nicht löschen kann. Wiso kann eScan die nicht entfernen?

Die Free-Version von Escan prüft nur und entfernt nichts.
Das mit dem Neuanlegen der I-Netverbindung kannst Du versuchen, aber ob es etwas bringt?

Hallo,
es wäre mal ganz interessanz zu erfahren welche Viren Escan gefunden hat, öffne mal die MWAV.LOG suche nach den Wörtern "infected" "tagged" und "offending" und poste die jeweiligen Einträge.


Grüße Wildone

Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\temporary internet files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\Temporary Internet Files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.


Thu Nov 03 15:49:40 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Shell.exe" refers to invalid object "D:\Destroyer Command\Shell.exe". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\Silent Hunter III\". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbx". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ERR". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pf". Action Taken: No Action Taken.

Thu Nov 03 15:49:44 2005 => Entry "HKCR\TypeLib\{DA0AC514-C1AE-11D3-84E7-005004C65534}" refers to invalid object "C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwce.dll". Action Taken: No Action Taken.

Thu Nov 03 15:49:44 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.


Diesmal waren es nur noch 2 Viren, aber die gleichen Errors.

Aber gut zu wissen dass Free-Version nichts löscht. Dann muss ich mich nicht mehr wundern ^^

Hallo,
also die Fehler sind keine Problem, wenn du sie beseitigen willst, kannst du das mit Regseeker machen.
Auch die beiden Viren, die gefunden wurden haben nichts mit deinem Problem zu tun und sind durch das löschen der temporären Internetdateien (im IE auf Extras>>Internetoptionen) zu beseitigen.
Hast du es mal versucht den Eintrag manuell in der Registry zu entfernen?
Ich würde langsam auch zur Neuinstallation tendieren, da läuft irgend etwas auf deinem System und keiner weiß was es macht, und wie man es findet.


Grüße Wildone

Na immerhin ist man im Protecus-Forum auch noch nicht weiter
http://board.protecus.de/t19990.htm

Tipp: Verlinke dort auf diesen Thread, dann nimmt das "Silent Runners"-Logfile nicht soviel Platz weg...