habe meinen rechner mit escan überprüft und bin positiv überrascht von dem programm, und negativ überrascht wieviel ich auf dem rechner habe.
dank chip.de habe ich ne personal version von kasperlsky, aber das findet meine trojaner nicht, was kann ich tun um sie zu entfernen.

dnake bodo

Poste das Log von eScan und so eins auch.

Zitat:

Zitat von bodo

habe meinen rechner mit escan überprüft und bin positiv überrascht von dem programm, und negativ überrascht wieviel ich auf dem rechner habe.
dank chip.de habe ich ne personal version von kasperlsky, aber das findet meine trojaner nicht, was kann ich tun um sie zu entfernen.

dnake bodo

punkt 1: hier beklagt so mancher, dass sein antivirenprogramm keine trojaner findet. das sind aber 2 paar schuhe...

bekannte antivirenprogramme sind bspw. norton antivirus, antivir, bitdefender, kaspersky , sophos...; trojaner-suchgeräte sind spybot search & destroy, ad-aware, ewido... - einfach mal die sufu nutzen

punkt 2: tjaaa... welchen haste denn nun gefunden? die escan-auswertung mal bitte reinstellen oder besser gleich einen hijackthis-log... nochmal sufu-nutzen ;o)

also ich habe auch freeav, ad-aware und spybot über meine festplatte laufen lassen, ohne erfolg. escan hat jedoch einiges gefunden. file mwav.txt ist allerdings 13 mb groß und dann kann ich den beitrag nicht ins forum stellen, deswegen stell ich erstmal nur die meldungen mit den funden rein, hjoffe das reicht :

Mon Dec 26 15:56:57 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Mon Dec 26 15:56:57 2005 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Mon Dec 26 15:56:58 2005 => Loading Spyware Signatures from new External Database (Size: 146525).
Mon Dec 26 15:56:58 2005 => Indexed Spyware Databases Successfully Created...

Mon Dec 26 15:57:01 2005 => Offending file found: C:\DOKUME~1\Bodo\LOKALE~1\Temp\insthelp.dll
Mon Dec 26 15:57:01 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen.

Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temp\insthelp.dll
Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen.

Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js
Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen.

Mon Dec 26 15:57:04 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\Temporary Internet Files\content.ie5\5u4m3ahi\global[1].js
Mon Dec 26 15:57:04 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen.


Mon Dec 26 15:57:08 2005 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware *****
Mon Dec 26 15:57:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead\NeroDigital\settings.xml". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

danach verweisen über 100 dateien auf ungültige pobjekte und es folgt :
Datei C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\Thunderbird\Profiles\584r9nzt.default\Mail\Local Folders\Inbox infiziert von "Trojan-Spy.HTML.Bankfraud.if" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026599.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026600.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026601.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Ja, mit dem Log von eScan meinte ich auch das "gefilterte" Log, also das Log, das mit der Datei FIND.BAT erstellt wurde

@Bodo:
- Cache vom IE leeren
- Systemwiederherstellung deaktivieren

Die Datei insthelp.dll ist m.W. nicht gefährlich. Hatte die auch nach einer Ad-Aware Installation AFAIR im Tempordner drin.
Wie warten noch auf das HJT-Log.

ich kann die datei find.bat leider in dem ordner von escan nicht finden.
was soll ich machen?

hijackthis liefert mir folgendes :

Logfile of HijackThis v1.99.1
Scan saved at 23:50:44, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Office Mouse\moffice.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Office Mouse\MOUSE32A.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\GetRight\GetRight.exe
C:\Programme\GetRight\GetRight.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Bodo\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128211365656
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

benutze IE nicht, sondern firefox 1.5, da wurden auch vor ein paar tagen meine startseite und bookmarks verändert.

wie lange soll ich die systemwiederherstllung deaktivieren, kann ich die dateien dann löschen, oder wie kann ich auf die zugreifen?

Die Datei FIND.BAT ist ein von @Haui erstelltes Script, dass Du Suche nach relevanten Einträgen im MWAV.LOG erheblich vereinfacht. Musst Du hier herunterladen.
Lies aber diese Anleitung dazu.

oha, der neue scan dauert jetzt wieder ne stunde, das pack ich jetzt nicht!
würde gern wissen was die folgende aussage bedeutet :
Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js
Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen.

hört sich recht übel an!

kann ich kasperlsky personal dazu bringen die sachen auch zu finden? beruht doch auf der selben engiene?

danke

Zitat:

C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js

Das deutet daraufhin, dass der IE diese Datei dorthin abgelegt hat. Surfst Du noch mit dem IE?

ne mit dem firefox 1.5.
diese befallenen dateien sind doch laufende systemdateien?

Zitat:

Zitat von bodo

ne mit dem firefox 1.5.
diese befallenen dateien sind doch laufende systemdateien?

Nee, das sind m.W. die Cachedateien vom IE. Die kann man gefahrlos löschen. Sollte man m.E. nach auch regelmäßig tun. Ich hab mir etwas Arbeit abgenommen und leere den Ordner mit Hilfe eines Shutdown-Schriptes.