Mein System scheint mit drei Trojanern:
exploit.wmf ; exploit.java.ByteVerify ; sploit[1].anr
infiziert zu sein.

Ich musste aber noch nie einen Virus/Trojaner jemals von einem System entfernen, habe also gar keine Erfahrungen damit.
Ich bitte Euch deshalb, mich zu begleiten und Euer Auge darauf zu halten, was und wie ich es tue.

2 installierte Scanner haben folgendes geliefert:

AVG free edition
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\BlackBox.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\VerifierBug.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\Beyond.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar,
"Virus identified Java/ByteVerify","Infected, Archive"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHYZ89QN\xxx[1].wmf,
"May be infected by unknown virus Exploit.WMF","Infected"

antivir personal edition
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar
[0] Archivtyp: ZIP
--> BlackBox.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.2
--> VerifierBug.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.4
--> Dummy.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.3
--> Beyond.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.1
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHYZ89QN\xxx[1].wmf
[FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF

Bem: der allererste Scan mit AVG hat eine weitere infizierte Datei automatisch (falsche Einstellung) gelöscht:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W5U3OLEB\sploit[1].anr


Was ich sonst noch getan habe:
1. Ich habe zuerst die trojaner-bord Seiten durchgeackert.
2. Da mir die obigen Virusbezeichnung unbekannt waren, habe ich nach Informationen und speziellen Entfernungstools gesucht (Google). Die uneinheitlichen Bezeichnungen der Viren in den Archiven hat mich aber vorerst eher behindert. Habe auch keine Spezialtools gefunden.
3. Ich habe mir von anderen Virenbezeichnungen ein Weiterkommen erhofft, und darum weitere virenscanner heruntergeladen und aufdatiert, soweit wie möglich installiert, aber nie einen Sytemneustart gemacht: Ad-aware SE Personal; spybot S&D; avast 4.6.
Das hat aber wenig bis nichts gebracht (ohne Neustart funktioniert das wohl nicht richtig)
4. Habe noch "HijackThis" vorbereitet, aber nicht angewendet.
5. Die System-Restore-Fkt. ist ausgeschaltet.
6. Alle AktivX- Elemente sind deaktiviert.
7. Alle Dateien werden angezeigt. (auch die geschützten Sytemdateien).
Bem: diesen Punkt habe ich erst nach den obigen Scans aktiviert.
8. Die obigen Scans habe ich notiert.


Verständnisfrage:
I. Nicht verstanden habe ich jene Tips, die empfehlen, alle IE-tempfliles und den JAVA-Cache zu löschen! Werden infizierte files durch die Scans dort nicht erfasst?

Fragen zum weiteren Vorgehen:
ich nehme an, dass die Scanner zum jetztigen Zeitpunkt noch nicht alle Viren gefunden haben, dass ich nochmals scannen muss.
Ich würde jetzt folgendes tun:
A. Die bereits gefundenen Viren löschen.
B. Kaltstart im abgesicherten Modus.
C. nochmals scannen, neu gefundene Viren löschen.
D. Kaltstart im abgesicherten Modus.
E. Hijack darüberlassen, zur Diskussion stellen.

vorerst mal soweit.
Ich bitte um Euere Kommentare.
Mach ich zuviel, zuwenig, oder ganz falsch?
Danke.

habs

Hallo,

wenn Du XP oder 2000 und alle Patches hast, macht Dir der wmf Exploid nichts aus.
Lade Dir Cleanup, erstelle dannach ein eScan Log, nach der in meiner Signatur verlinkten Anleitung. Poste den Inhalt der escan_neu.txt.

Gruß

Schrulli

Hallo Schrulli

Danke für Deine Antwort.
Wie gesagt, ich bin noch ziemlich unsicher in Virenbekämpfung und im Umgang mit den Tools und wie man die beste Wirkung erzielt. Darum meine Nachfagen:

Habe CleanUp runtergeladen u. installiert.

Zitat:

Zitat von Schrulli

Lade Dir Cleanup, erstelle dannach ein eScan Log, ...

dh., CleanUp nicht nur installieren sondern ausführen bevor eScan ausführen??

Habe auch eScan bei MicroWorld runtergeladen.

Zitat:

Zitat von Schrulli

...erstelle dannach ein eScan Log, nach der in meiner Signatur verlinkten Anleitung. ...
und Zitat Anleitung: " Nach dem Download, sollte das Archiv mittels WinRAR entpackt [2] werden. "
und Zitat Anmerkung: "[2] Rechtsklick auf die 'mwav.exe' -> 'Dateien entpacken…' auswählen -> unter Zielverzeichnis 'C:\Bases_X' eingeben -> 'OK'"

die datei scheint bereits entpackt zu sein (10'147KB), also direkt nach 'C:\Bases_X' kopieren?? (Jedenfalls wenn ich die Datei starte, gelange ich zum Licenceagreemnt).

Bitte um Nachsicht. Gruß.
habs

Hallo,

erst mittels Cleanup Temp Dateien löschen, dann diese Anleitung ausdrucken, lesen und genau ausführen. Das führt Dich dann nach ca. 2-3 Stunden zu einer eScan_neu.txt.

Gruß

Schrulli

Hallo Schrulli,

Der eScan-download ist eine exe.datei; mit rechtsklick habe ich keine möglichkeit zu entpacken; im menu 'datei' auch nicht.

habs

Nachtrag

CleanUp beschwert sich über laufende Antivirenprogramme.
Die Guard, Shield -oder wie auch immer- ist ausgeschaltet. Das hilft aber nicht.
Ich finde keinen Abstellknopf für die Hauptprogramme. (Antivir Pers.Ed Classic 7.00.; AVG FreeEd. 7.1.).
Muss ich diese im Taskmanager abschiessen??

habs