| |
| |||||||
Log-Analyse und Auswertung: "Your privacy is in danger!"-Problem, Anleitung erwünscht.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
04.03.2008, 15:03
| #1 |
 |  "Your privacy is in danger!"-Problem, Anleitung erwünscht. Hallo. Bin gerade zu Besuch bei meinen Eltern und muss feststellen, dass der PC von meinem Vater total verseucht ist. Der Desktop zeigt ein rotes "Biohazard" Bild und den Schriftzug "Your Privacy is in Danger". Ich habe mich schon etwas informiert und mir die Programme: hijackthis und SmidFraudFix runtergeladen. Während ich hier schreibe öffnen sich andauernd PopUps und die wollen, dass ich AntiVir-Software runterladen und die mir erzählen wie verseucht mein PC ist. Ich wäre euch dankbar, wenn Ihr mir Schritt für Schritt erklären könntet, wie ich die Fülle an Malware, Trojanern etc. loswerden kann ohne das System neu aufsetzten zu müssen. Ich würde meinen Vater auch gerne eine Art Liste über den Rechner hängen auf der steht, was er niemals im Internet machen soll und was er sich nicht runterladen darf... eine Art Leitfaden für sicheres Surfen im Internet. Kennt Ihr so etwas? Hier erstmal der LogFile von HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:51:53, on 04.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\MSK\MskSrver.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\PROGRA~1\McAfee.com\Agent\mcagent.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\antiviirus.exe C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE C:\Programme\XP Antivirus\xpa.exe C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\WINDOWS\system32\winlagan.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcvsshld.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = **://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = **://de.rd.yahoo.com/customize/ycomp/defaults/sb/***://de.docs.yahoo.com/info/ie6.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = **://de.rd.yahoo.com/customize/ycomp/defaults/sp/***://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = **://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = **://de.rd.yahoo.com/customize/ycomp/defaults/su/***://de.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - C:\Programme\McAfee\MSK\mcapbho.dll O2 - BHO: RDL Rolex - {6027FDCA-AE2C-438B-8535-3A96C154F97C} - C:\WINDOWS\dgtxrdfqnt.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Google.Awards - {D5E929E5-6B86-401F-A478-95205721B202} - C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\PrintHood\msodocaul.gl1 O2 - BHO: Gamburg provider - {D8E11460-0D64-4a20-BED9-BA68BED58342} - wirpc.dll (file missing) O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file) O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: ekvgsnw - {7EB9F20D-11C7-4D4C-828A-A29F010BD259} - C:\WINDOWS\ekvgsnw.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [WEB.DE Club E-Mail Alarm] C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide O4 - HKCU\..\Run: [XP Antivirus] C:\Programme\XP Antivirus\xpa.exe O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - Software - (no file) O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - **://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE2E41A-10B7-4903-A24B-1676CBCBC162}: NameServer = 192.168.122.252,192.168.122.253 O21 - SSODL: alofkmn - {AF1921A6-CE44-4B29-8023-FFF7D8CB1ADF} - C:\WINDOWS\alofkmn.dll O21 - SSODL: bxlrvps - {9895B79A-58B6-47F3-9E30-6D06D0612F0C} - C:\WINDOWS\bxlrvps.dll O21 - SSODL: KernelCD - {400c297d-fef6-4988-a5ba-25cde7a915fd} - C:\WINDOWS\Installer\{400c297d-fef6-4988-a5ba-25cde7a915fd}\KernelCD.dll O21 - SSODL: zip - {93cea0af-68d9-4ab2-ad46-407f763c1adf} - C:\WINDOWS\Installer\{93cea0af-68d9-4ab2-ad46-407f763c1adf}\zip.dll O21 - SSODL: RamChk - {f8d7c3b3-ecb9-4fe4-923a-7e99e6bd7f4d} - C:\WINDOWS\Installer\{f8d7c3b3-ecb9-4fe4-923a-7e99e6bd7f4d}\RamChk.dll O22 - SharedTaskScheduler: Wheel Mouse Optical Driver - {D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} - C:\WINDOWS\system32\dxmpp.dll (file missing) O23 - Service: McAfee Application Installer Cleanup (0248351204632602) (0248351204632602mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP\024835~1.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Online Search Service - Unknown owner - C:\WINDOWS\system32\winlagan.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe O23 - Service: [verify-U]-Service ([verify-U]) - Unknown owner - C:\Programme\[verify-U] AVS\[verify-U]-Service.exe (file missing) O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 12368 bytes Vielen Dank für eure Hilfe. |
|
04.03.2008, 15:16
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | "Your privacy is in danger!"-Problem, Anleitung erwünscht. Die Büchse ist ganz schön zerdaddelt. Einfacher und sicherer wäre es schon die Kiste neu aufzusetzen.
__________________Schädlingsdateien aus dem Log ersichtlich: C:\Programme\antiviirus.exe C:\Programme\XP Antivirus\xpa.exe C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe C:\WINDOWS\system32\winlagan.exe C:\WINDOWS\dgtxrdfqnt.dll C:\WINDOWS\ekvgsnw.dll C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe C:\WINDOWS\system32\drivers\spools.exe C:\WINDOWS\alofkmn.dll C:\WINDOWS\bxlrvps.dll C:\PROGRA~1\WinTV\HCWTVS~1.EXE Sicherheitssoftware kann einfach nicht zuverlässig schützen, wenn so sorglos gesurft wird, ich wette um 100 € mit Adminrechten  - Surfen mit IE6 - Java-Version ist uralt Hier ist zu viel Müll auf einem haufen, von einer Bereinigung würde ich abraten und zu einem flachmachen und neu aufsetzen des Betriebssystems dringends raten.
__________________ |
|
04.03.2008, 15:26
| #3 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. Danke für die schnelle Antwort. Das Problem ist, dass mein Vater zur Zeit im Urlaub ist und ich nicht weiß welche Dateien er noch braucht. Könnte man überhaupt Bilder, Dokumente oder speziell WisoMeinGeld-Daten ohne Gefahr auf ein Speicher-Stick "backuppen", ohne irgendwelche Schädlinge mitzuschleppen?
__________________Soll ich mal die von Dir rot markierten Einträgen fixen? In einem anderen Thread wurde versucht das Problem mit unterschiedlichsten Programmen zu bekämpfen. Ginge das hierei wirklich nicht?? Wenigsten so lange bis mein Vater wieder kommt und die wichtigsten Sachen backuppen kann. Danach würde ich ihm zu einem Neuaufsetzen raten. Da ich auch ein Laie bin, hätte ich gerne gewusst, was du mit "surfen mit Adminrechten" meinst? Wie sollte man denn am besten surfen? Als "Gast"? Ich wäre dir dankbar, wenn du mir beim Aufräumen des Systems helfen würdest. |
|
04.03.2008, 18:01
| #4 | ||||||
| /// Winkelfunktion /// TB-Süch-Tiger™ |  "Your privacy is in danger!"-Problem, Anleitung erwünscht.Zitat:
Zitat:
 Zitat:
Und wenn Du schon mehrfach irgendwo ein und dasselbe postest, solltest du den anderen wenigstens den Link geben um zu sehen was schon für Maßnahmen ergriffen wurden. Zitat:
Zitat:
Zitat:
2.) Beachte diese Anleitung zum Avenger, kopiere aber folgenden Text hinein (statt den *** schreibst du den Username rein!): Code:
ATTFilter folders to delete:
"C:\WINDOWS\privacy_danger"
"C:\Programme\XP Antivirus"
files to delete:
"C:\Programme\antiviirus.exe"
"C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"
"C:\WINDOWS\system32\winlagan.exe"
"C:\WINDOWS\dgtxrdfqnt.dll"
"C:\WINDOWS\ekvgsnw.dll"
"C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe"
"C:\WINDOWS\system32\drivers\spools.exe"
"C:\WINDOWS\alofkmn.dll"
"C:\WINDOWS\bxlrvps.dll"
3.) CCleaner/Datfind.bat => Anleitung 4.) Zusätzlich diese Tools und deren logs posten: * Blacklight5.) Ein frisches HJT-Logfile mit Hilfe dieser umbenannten hijackthis.exe
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
05.03.2008, 12:26
| #5 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. hallo root24, Danke dafür dass du an meinem Problem dran bleibst. Ich werde mich heute Abend an Deine Aufgaben machen. Vielen Dank! Ich habe mein Problem noch in keinem anderen Thread gepostet und kein X-Posting betrieben!! Ich meinte nur, dass ich das gleiche Problem schon in anderen Posts gelesen habe, von anderen Usern, und dort wurde versucht das System mit unterschiedlichsten Mitteln zu bereinigen. Ich bin dir sehr dankbar für Deine Hilfe. Grüße Vince |
|
05.03.2008, 22:10
| #6 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. So, los geht's: 1) Avenger-Logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open folder ""C:\WINDOWS\privacy_danger"" Deletion of folder ""C:\WINDOWS\privacy_danger"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open folder ""C:\Programme\XP Antivirus"" Deletion of folder ""C:\Programme\XP Antivirus"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\Programme\antiviirus.exe"" Deletion of file ""C:\Programme\antiviirus.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"" Deletion of file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\system32\winlagan.exe"" Deletion of file ""C:\WINDOWS\system32\winlagan.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\dgtxrdfqnt.dll"" Deletion of file ""C:\WINDOWS\dgtxrdfqnt.dll"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\ekvgsnw.dll"" Deletion of file ""C:\WINDOWS\ekvgsnw.dll"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe"" Deletion of file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\system32\drivers\spools.exe"" Deletion of file ""C:\WINDOWS\system32\drivers\spools.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\alofkmn.dll"" Deletion of file ""C:\WINDOWS\alofkmn.dll"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\bxlrvps.dll"" Deletion of file ""C:\WINDOWS\bxlrvps.dll"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. ----- Leider konnte ich das back-Up-file noch nicht hochladen. file-upload.net hat irgendein Problem. ich versuche es später noch mal. |
|
05.03.2008, 22:17
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | "Your privacy is in danger!"-Problem, Anleitung erwünscht. Hm das Löschen hat irgendwie nicht geklappt. Ich vermute die Anführungszeichen sind schuld, kann sein das sich beim Avenger das geändert hat (seit kurzem wurde das Programm überarbeitet). Mach das nochmal mit diesem Tool aber kopiere diesen Text rein: Code:
ATTFilter folders to delete:
C:\WINDOWS\privacy_danger
C:\Programme\XP Antivirus
files to delete:
C:\Programme\antiviirus.exe
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe
C:\WINDOWS\system32\winlagan.exe
C:\WINDOWS\dgtxrdfqnt.dll
C:\WINDOWS\ekvgsnw.dll
C:\Dokumente und Einstellungen\JEAN-F~1\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\alofkmn.dll
C:\WINDOWS\bxlrvps.dll
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.03.2008, 22:36
| #8 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. Habe es noch mal gemacht. Aber dieses Mal findet er die Dateien im "Dokumente und Einstellungen"-Ordner nicht. Muss ich dabei irgendetwas beachten? Habe mal den Namen drin gelassen. Mein Vater hat es ja eh nicht so mit Anonymität und Sicherheit ;o) Logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "NdisWon" found! Start Type: 2 (Automatic) Rootkit scan completed. Folder "C:\WINDOWS\privacy_danger" deleted successfully. Folder "C:\Programme\XP Antivirus" deleted successfully. File "C:\Programme\antiviirus.exe" deleted successfully. Error: file "C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe" not found! Deletion of file "C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\winlagan.exe" deleted successfully. File "C:\WINDOWS\dgtxrdfqnt.dll" deleted successfully. File "C:\WINDOWS\ekvgsnw.dll" deleted successfully. Error: could not open file "C:\Dokumente und Einstellungen\Jean-Francois\Local Settings\Application Data\cftmon.exe" Deletion of file "C:\Dokumente und Einstellungen\Jean-Francois\Local Settings\Application Data\cftmon.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist File "C:\WINDOWS\system32\drivers\spools.exe" deleted successfully. File "C:\WINDOWS\alofkmn.dll" deleted successfully. File "C:\WINDOWS\bxlrvps.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
05.03.2008, 22:40
| #9 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. 2.) Datfindbat-File: dirdat.txt Ist das so OK mit dem Link, oder einfach Text reinkopieren? Grüße & Danke. |
|
06.03.2008, 01:14
| #10 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. 3.) Blacklite hat nichts gefunden. 4.) e-scan: Ich habe die e-scan anleitung befolgt, doch bei der Auswertung mit Hilfe der find.bat muss etwas schief gelaufen sein. Beim Scan mit e-scan wurden diverse Viren etc. gefunden, aber bei der Auswertung steht nichts davon. Das Log-File ist 7.6 MB groß, soll ich es hochladen? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.7.6 Sprache: English C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Batchstart: 0:58:44,39 Batchende: 0:59:00,40 Was nun? 5.) Silentrunners: Silenthunters-Logfile |
|
06.03.2008, 13:44
| #11 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. |
|
06.03.2008, 13:53
| #12 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. so, der letze Schritt: eine neu Hijckthis-File: HiJackThis-Logfile Ich danke Dir vielmals für Deine Hilfe. Bin nur noch bis heute Abend bei meinem Vater. Wäre schön wenn ich heute noch eine Antwort von Dir erhalten könnte bzw. die nächsten Schritte. Hast Du denn Links zu Seiten auf denen erklärt wird wie man ein System neu aufsetzt und was man danach beachten soll? Grüße, Vince |
|
06.03.2008, 14:02
| #13 |
| /// TB-Ausbilder   | "Your privacy is in danger!"-Problem, Anleitung erwünscht. Hi, bei der find.bat gibts derzeit ein paar Probleme. Würdest du für mich mal folgende find.bat testen: Code:
ATTFilter @echo off
REM Version 2008.29.02
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.
REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM
REM Marc Manske, April 2007
REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
:INITIAL
set TIMESTART=%TIME%
set LOG=^>^> "%systemdrive%\escan\bases_x\eScan_neu.txt"
set MODUS=%1
set linecnt=1
REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.
REM Die Umgebungsvariable %OS% abgefragt.
:OS
IF "%OS%"=="Windows_NT" goto srchwd
IF "%OS%"=="" goto wrngos
cls
echo.
echo.
echo [XX______________________]
echo.
echo Checking OS ...
REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************
REM 2.0.1 Log-Datei (mwav.log) wird gesucht
REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf),
REM wird diese umbenannt.
:srchwd
%systemdrive%
cd\
dir /A:D %systemdrive% | findstr /i "escan"
if %errorlevel% equ 0 goto srchlog
mkdir %systemdrive%\escan\bases_x
goto cp2wd
:srchlog
dir %systemdrive%\escan\bases_x | findstr /i "mwav.log"
if %errorlevel% equ 1 goto cp2wd
ren %systemdrive%\escan\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"
REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
:cp2wd
dir /s /b %temp%\mwav.log > %systemdrive%\escan\bases_x\tmp.log
set /P FILE=<%systemdrive%\escan\bases_x\tmp.log
copy "%FILE%" %systemdrive%\escan\bases_x\
cls
echo.
echo.
echo [XXXX____________________]
echo.
echo Copying mwav.log ...
REM 2.0.2 Installationssprache wird ermittelt
REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen.
REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache.
REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.
:getlang
reg query HKCR\eut /v "Language" > nul
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
if "%eLang%"=="German" (
goto germpath
) else (
goto wrnglang
)
cls
echo.
echo.
echo [XXXXXX__________________]
echo.
echo Determing language ...
REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
:germpath
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.
if "%MODUS%"=="1" goto gmode1
if "%MODUS%"=="2" goto gmode2
if "%MODUS%"=="3" goto gmode3
for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %systemdrive%\escan\bases_x\mwav.log ^|findstr ^[0-3]') do (echo %%j >> %systemdrive%\escan\bases_x\mwav_clean.log)
for /f "delims=: tokens=1" %%i in ('findstr /n "Speicherdateien" %systemdrive%\escan\bases_x\mwav_clean.log') do set linecnt=%%i
more +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
cls
echo.
echo.
echo [XXXXXXXX________________]
echo.
echo Cleaning log ...
goto gstart
:gmode1
for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log') do (echo %%i >> %systemdrive%\escan\bases_x\mwav_cut.log)
goto gstart
:gmode2
findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_clean.log
for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\escan\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
goto gstart
:gmode3
findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_cut.log
REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM Versionsnummer der find.bat
REM OS-Version: per ver
REM Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)
REM Im normalen Modus ist SBO nicht gesetzt.
REM Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM Programmversion: wird aus HKCR\eut gelesen
REM Sprache: wurde bereits bestimmt (:getlang)
REM Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM Eintrag) wird ins Log geschrieben.
:gstart
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %systemdrive%\escan\bases_x\eScan_neu.txt
echo Header %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo find.bat Version 2008.29.02 %LOG%
ver %LOG%
findstr "Bootmodus:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%
echo. %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
if "%eVersion%"=="" (
for /f "tokens=1-3" %%i in ('findstr /c:"Version" %systemdrive%\escan\bases_x\mwav_cut.log') do set eVersion=%%i %%j
)
echo eScan Version: %eVersion% %LOG%
echo Sprache: %eLang% %LOG%
for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %systemdrive%\escan\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\escan\bases_x\tmp.log)
more %systemdrive%\escan\bases_x\tmp.log %LOG%
echo. %LOG%
cls
echo.
echo.
echo [XXXXXXXXXX______________]
echo.
echo Writing header ...
REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Infektionsmeldungen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Objekt" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
findstr "System" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXX____________]
echo.
echo Reported infections ...
REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Dateien %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Infected files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Datei" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "infiziert" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Tagged files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "markiert" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Offending files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "file" %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXX__________]
echo.
echo Reported files ...
REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~ %LOG%
echo Ordner %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Registry %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Key" %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXX________]
echo.
echo Reported folders and entries ...
REM 2.1.5 Deutsch: Diverses
REM Meldungen über infizierte Prozesse und Scanfehler
echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Diverses %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Prozesse und Module %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "List" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
findstr "Infizierter" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
findstr "Abbruch" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
findstr "Modul" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
findstr "Executable" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Command" %LOG%
findstr "DllName" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scanfehler %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr /i "Error" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Hosts-Datei %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
echo DataBasePath: %hostloc% %LOG%
echo %hostloc%\hosts|more> %systemdrive%\escan\bases_x\tmp.log
echo Zeilen die nicht dem XP-Standard entsprechen: %LOG%
findstr /v /f:%systemdrive%\escan\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1 localhost"|findstr /v /c:"::1 localhost" %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXX______]
echo.
echo Misc entries ...
REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Statistiken: >>%systemdrive%\escan\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr /c:"Zahl der" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
findstr /c:"Zeit verstrichen:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXX____]
echo.
echo Scanning stats ...
REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scan-Optionen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr /i "aktiviert" %systemdrive%\escan\bases_x\mwav_cut.log >> %systemdrive%\escan\bases_x\tmp.log
findstr "Speicher" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Registrierung" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Start" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr /i "ordner" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Systembereiche" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Dienste" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Überprüfung *. Laufwerke" %systemdrive%\escan\bases_x\tmp.log %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXX__]
echo.
echo Writing Options ...
REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss
REM *********************************************************************************
REM *********************************************************************************
REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
:end
del %systemdrive%\escan\bases_x\tmp.log
del %systemdrive%\escan\bases_x\mwav_clean.log
del %systemdrive%\escan\bases_x\mwav_cut.log
echo. %LOG%
echo Batchstart: %TIMESTART% %LOG%
echo Batchende: %TIME% %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXXXX]
echo.
echo Cleaning up ...
REM 3.2 Abschluss: Status wird angezeigt
cls
echo.
echo.
echo Auswertung beendet.
echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.
REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
notepad %systemdrive%\escan\bases_x\eScan_neu.txt
exit
REM 4.1 Abbruch: Falsches Betriebssystem
:wrngos
cls
color 04
echo.
echo Ihre Windowsversion wird nicht unterstützt.
echo Die Stapelverarbeitung wird abgegbrochen.
echo.
pause
exit
REM 4.2 Abbruch: falsche Installationssprache
:wrnglang
cls
color 04
echo.
echo Fehler bei der Ermittlung der Installationssprache!
echo.
echo Diese Batchdatei kann nur Logdateien in deutscher Sprache
echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt.
echo.
echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
echo die Sprache bei eScan zu ändern.
echo.
echo Die Stapelverarbeitung wird abgebrochen.
echo.
pause
exit
und das Ergebnis posten? lg myrtille |
|
06.03.2008, 14:14
| #14 |
| | "Your privacy is in danger!"-Problem, Anleitung erwünscht. Hi myrtille. Sorry, aber ich bin da gerade etwas überfordert  . Wenn ich Dich richtig verstanden habe, dann soll ich den code-text kopieren und eine neue Textdatei erstellen und diese als find.bat abspeichern. Dadurch erhalte ich eine Textdatei mit dem Namen find.bat und diesen Text soll ich dann posten.!? Doch das ist doch der gleiche Text?? Oder soll ich datfind noch mal ausführen? Bitte noch mal für ganz Dumme!  Danke. |
|
06.03.2008, 14:21
| #15 |
| /// TB-Ausbilder | "Your privacy is in danger!"-Problem, Anleitung erwünscht. 'Äh ja.. Da fehlt wohl ein Schritt in der Anleitung Wenn du die bisherige Anleitung richtig gemacht hast, sollte die Datei jetzt folgendes Icon haben: Stimmt das soweit? Wenn ja einfach die Datei per Doppelklick ausführen und es sollte sich am Schluss (kann länger dauern) ein neues Texteditor fenster öffnen, in dem das eScanergebnis steht. Damit das ganze funktioniert muss die Datei MWAV.log in %temp% liegen. Gib dafür in deinem Explorer in die Adressleiste (wenn diese nicht angezeigt wird, kannst du das einfach ändern, indem du im Explorer im Menüpunkt "Ansicht" --> "Symbolleisten" --> "Adressleiste" anwählst) einfach %temp% ein und schau ob in dem Ordner die Datei MWAV.log vorhanden ist. Wenn nicht kannst du dir die find.bat sparen. lg myrtille |
|
| Themen zu "Your privacy is in danger!"-Problem, Anleitung erwünscht. |
| antivirus, application, bho, c:\windows\temp, canon, computer, ctfmon.exe, desktop, downloader, drivers, e-mail, excel, google, helper, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, logfile, malware, ntuser, pdfcreator, preferences, privacy protection, sparbuch, stick, system, system neu, trojaner, urlsearchhook, web.de, windows, windows xp, windows\system32\drivers, windows\temp, wiso, wmid |
Linear-Darstellung
