Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "Your privacy is in danger!"-Problem, Anleitung erwünscht.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.03.2008, 15:03   #1
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



Hallo.

Bin gerade zu Besuch bei meinen Eltern und muss feststellen, dass der PC von meinem Vater total verseucht ist. Der Desktop zeigt ein rotes "Biohazard" Bild und den Schriftzug "Your Privacy is in Danger". Ich habe mich schon etwas informiert und mir die Programme: hijackthis und SmidFraudFix runtergeladen. Während ich hier schreibe öffnen sich andauernd PopUps und die wollen, dass ich AntiVir-Software runterladen und die mir erzählen wie verseucht mein PC ist.
Ich wäre euch dankbar, wenn Ihr mir Schritt für Schritt erklären könntet, wie ich die Fülle an Malware, Trojanern etc. loswerden kann ohne das System neu aufsetzten zu müssen.

Ich würde meinen Vater auch gerne eine Art Liste über den Rechner hängen auf der steht, was er niemals im Internet machen soll und was er sich nicht runterladen darf... eine Art Leitfaden für sicheres Surfen im Internet. Kennt Ihr so etwas?

Hier erstmal der LogFile von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:53, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\antiviirus.exe
C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE
C:\Programme\XP Antivirus\xpa.exe
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe
C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\WINDOWS\system32\winlagan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcvsshld.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = **://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = **://de.rd.yahoo.com/customize/ycomp/defaults/sb/***://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = **://de.rd.yahoo.com/customize/ycomp/defaults/sp/***://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = **://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = **://de.rd.yahoo.com/customize/ycomp/defaults/su/***://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - C:\Programme\McAfee\MSK\mcapbho.dll
O2 - BHO: RDL Rolex - {6027FDCA-AE2C-438B-8535-3A96C154F97C} - C:\WINDOWS\dgtxrdfqnt.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Google.Awards - {D5E929E5-6B86-401F-A478-95205721B202} - C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\PrintHood\msodocaul.gl1
O2 - BHO: Gamburg provider - {D8E11460-0D64-4a20-BED9-BA68BED58342} - wirpc.dll (file missing)
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: ekvgsnw - {7EB9F20D-11C7-4D4C-828A-A29F010BD259} - C:\WINDOWS\ekvgsnw.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [WEB.DE Club E-Mail Alarm] C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [XP Antivirus] C:\Programme\XP Antivirus\xpa.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - Software - (no file)
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - **://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE2E41A-10B7-4903-A24B-1676CBCBC162}: NameServer = 192.168.122.252,192.168.122.253
O21 - SSODL: alofkmn - {AF1921A6-CE44-4B29-8023-FFF7D8CB1ADF} - C:\WINDOWS\alofkmn.dll
O21 - SSODL: bxlrvps - {9895B79A-58B6-47F3-9E30-6D06D0612F0C} - C:\WINDOWS\bxlrvps.dll
O21 - SSODL: KernelCD - {400c297d-fef6-4988-a5ba-25cde7a915fd} - C:\WINDOWS\Installer\{400c297d-fef6-4988-a5ba-25cde7a915fd}\KernelCD.dll
O21 - SSODL: zip - {93cea0af-68d9-4ab2-ad46-407f763c1adf} - C:\WINDOWS\Installer\{93cea0af-68d9-4ab2-ad46-407f763c1adf}\zip.dll
O21 - SSODL: RamChk - {f8d7c3b3-ecb9-4fe4-923a-7e99e6bd7f4d} - C:\WINDOWS\Installer\{f8d7c3b3-ecb9-4fe4-923a-7e99e6bd7f4d}\RamChk.dll
O22 - SharedTaskScheduler: Wheel Mouse Optical Driver - {D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} - C:\WINDOWS\system32\dxmpp.dll (file missing)
O23 - Service: McAfee Application Installer Cleanup (0248351204632602) (0248351204632602mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP\024835~1.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Online Search Service - Unknown owner - C:\WINDOWS\system32\winlagan.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Unknown owner - C:\Programme\[verify-U] AVS\[verify-U]-Service.exe (file missing)
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 12368 bytes


Vielen Dank für eure Hilfe.

Alt 04.03.2008, 15:16   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



Die Büchse ist ganz schön zerdaddelt. Einfacher und sicherer wäre es schon die Kiste neu aufzusetzen.

Schädlingsdateien aus dem Log ersichtlich:

C:\Programme\antiviirus.exe
C:\Programme\XP Antivirus\xpa.exe
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe
C:\WINDOWS\system32\winlagan.exe
C:\WINDOWS\dgtxrdfqnt.dll
C:\WINDOWS\ekvgsnw.dll
C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\alofkmn.dll
C:\WINDOWS\bxlrvps.dll
C:\PROGRA~1\WinTV\HCWTVS~1.EXE


Sicherheitssoftware kann einfach nicht zuverlässig schützen, wenn so sorglos gesurft wird, ich wette um 100 € mit Adminrechten

- Surfen mit IE6
- Java-Version ist uralt

Hier ist zu viel Müll auf einem haufen, von einer Bereinigung würde ich abraten und zu einem flachmachen und neu aufsetzen des Betriebssystems dringends raten.
__________________

__________________

Alt 04.03.2008, 15:26   #3
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



Danke für die schnelle Antwort. Das Problem ist, dass mein Vater zur Zeit im Urlaub ist und ich nicht weiß welche Dateien er noch braucht. Könnte man überhaupt Bilder, Dokumente oder speziell WisoMeinGeld-Daten ohne Gefahr auf ein Speicher-Stick "backuppen", ohne irgendwelche Schädlinge mitzuschleppen?

Soll ich mal die von Dir rot markierten Einträgen fixen?

In einem anderen Thread wurde versucht das Problem mit unterschiedlichsten Programmen zu bekämpfen. Ginge das hierei wirklich nicht?? Wenigsten so lange bis mein Vater wieder kommt und die wichtigsten Sachen backuppen kann. Danach würde ich ihm zu einem Neuaufsetzen raten. Da ich auch ein Laie bin, hätte ich gerne gewusst, was du mit "surfen mit Adminrechten" meinst? Wie sollte man denn am besten surfen? Als "Gast"?

Ich wäre dir dankbar, wenn du mir beim Aufräumen des Systems helfen würdest.
__________________

Alt 04.03.2008, 18:01   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Cool

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



Zitat:
Könnte man überhaupt Bilder, Dokumente oder speziell WisoMeinGeld-Daten ohne Gefahr auf ein Speicher-Stick "backuppen", ohne irgendwelche Schädlinge mitzuschleppen?
Reine Dateien ja, sofern diese nicht ausführbar sind. Alle ausführbaren Dateien sollten nicht mitgesichert werden.

Zitat:
Soll ich mal die von Dir rot markierten Einträgen fixen?
Ich habe Schädlingsdateien aufgeführt keine HJT-Einträge

Zitat:
In einem anderen Thread wurde versucht das Problem mit unterschiedlichsten Programmen zu bekämpfen.
Crosspostings sind unbeliebt!! Da wird in dem anderen Fred dann Programm A und B erwähnt, hier dann vllt. Maßnahme C und Programm D. Du machst dann dann alle Tips die in beiden Freds drinstehen und das Resultat ist eine vollends vergurgte Kiste. Daher solltest Du auf X-Postings komplett verzichten!
Und wenn Du schon mehrfach irgendwo ein und dasselbe postest, solltest du den anderen wenigstens den Link geben um zu sehen was schon für Maßnahmen ergriffen wurden.

Zitat:
Ginge das hierei wirklich nicht?? Wenigsten so lange bis mein Vater wieder kommt und die wichtigsten Sachen backuppen kann.
Kann man versuchen ist aber aufwendig, benötigt recht viel Zeit und das Resultat ist ungewiß. Selbst wenn dann keine Symptome mehr auftauchen kann die Kiste immer noch kompromittiert sein.

Zitat:
Da ich auch ein Laie bin, hätte ich gerne gewusst, was du mit "surfen mit Adminrechten" meinst? Wie sollte man denn am besten surfen? Als "Gast"?
Auch ein ausgeführter Schädling erbt die Rechte des Benutzers, der ihn ausführt. Mit Adminrechten darf er alles, mit eingeschränkten Rechten kann er aber nix am System verwurschteln, da man als einfacher Benutzer eben keine Schreibrechte in wichtigen Betriebssystembereichen hat. Das minimiert das Risiko recht deutlich und ein Schädling muß schon seeeehr gewieft sein um dennoch das System zu befallen.

Zitat:
Ich wäre dir dankbar, wenn du mir beim Aufräumen des Systems helfen würdest.
1.) Alle Virenscanner für die Bereinigung erstmal deaktivieren!

2.) Beachte diese Anleitung zum Avenger, kopiere aber folgenden Text hinein (statt den *** schreibst du den Username rein!):

Code:
ATTFilter
folders to delete:
"C:\WINDOWS\privacy_danger"
"C:\Programme\XP Antivirus"

files to delete:
"C:\Programme\antiviirus.exe"
"C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"
"C:\WINDOWS\system32\winlagan.exe"
"C:\WINDOWS\dgtxrdfqnt.dll"
"C:\WINDOWS\ekvgsnw.dll"
"C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe"
"C:\WINDOWS\system32\drivers\spools.exe"
"C:\WINDOWS\alofkmn.dll"
"C:\WINDOWS\bxlrvps.dll"
         
Das Avenger logfile posten. Lösch das backup.zip vom Avenger noch nicht. Zur späteren Auswertung der Dateien lädst du es bitte bei file-upload.net hoch und verlinkst es hier.

3.) CCleaner/Datfind.bat => Anleitung

4.) Zusätzlich diese Tools und deren logs posten:
* Blacklight
* eScan
* Silentrunners
* combofix
5.) Ein frisches HJT-Logfile mit Hilfe dieser umbenannten hijackthis.exe
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.03.2008, 12:26   #5
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



hallo root24,

Danke dafür dass du an meinem Problem dran bleibst. Ich werde mich heute Abend an Deine Aufgaben machen. Vielen Dank!

Ich habe mein Problem noch in keinem anderen Thread gepostet und kein X-Posting betrieben!! Ich meinte nur, dass ich das gleiche Problem schon in anderen Posts gelesen habe, von anderen Usern, und dort wurde versucht das System mit unterschiedlichsten Mitteln zu bereinigen.

Ich bin dir sehr dankbar für Deine Hilfe.

Grüße Vince


Alt 05.03.2008, 22:10   #6
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



So, los geht's:

1) Avenger-Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open folder ""C:\WINDOWS\privacy_danger""
Deletion of folder ""C:\WINDOWS\privacy_danger"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open folder ""C:\Programme\XP Antivirus""
Deletion of folder ""C:\Programme\XP Antivirus"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\Programme\antiviirus.exe""
Deletion of file ""C:\Programme\antiviirus.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe""
Deletion of file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\system32\winlagan.exe""
Deletion of file ""C:\WINDOWS\system32\winlagan.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\dgtxrdfqnt.dll""
Deletion of file ""C:\WINDOWS\dgtxrdfqnt.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\ekvgsnw.dll""
Deletion of file ""C:\WINDOWS\ekvgsnw.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe""
Deletion of file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\system32\drivers\spools.exe""
Deletion of file ""C:\WINDOWS\system32\drivers\spools.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\alofkmn.dll""
Deletion of file ""C:\WINDOWS\alofkmn.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""C:\WINDOWS\bxlrvps.dll""
Deletion of file ""C:\WINDOWS\bxlrvps.dll"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

-----
Leider konnte ich das back-Up-file noch nicht hochladen. file-upload.net hat irgendein Problem. ich versuche es später noch mal.

Alt 05.03.2008, 22:17   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Cool

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



Hm das Löschen hat irgendwie nicht geklappt. Ich vermute die Anführungszeichen sind schuld, kann sein das sich beim Avenger das geändert hat (seit kurzem wurde das Programm überarbeitet). Mach das nochmal mit diesem Tool aber kopiere diesen Text rein:
Code:
ATTFilter
folders to delete:
C:\WINDOWS\privacy_danger
C:\Programme\XP Antivirus

files to delete:
C:\Programme\antiviirus.exe
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe
C:\WINDOWS\system32\winlagan.exe
C:\WINDOWS\dgtxrdfqnt.dll
C:\WINDOWS\ekvgsnw.dll
C:\Dokumente und Einstellungen\JEAN-F~1\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\alofkmn.dll
C:\WINDOWS\bxlrvps.dll
         
Danach das neue Avenger Log posten. Also wie gehabt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.03.2008, 22:36   #8
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



Habe es noch mal gemacht. Aber dieses Mal findet er die Dateien im "Dokumente und Einstellungen"-Ordner nicht. Muss ich dabei irgendetwas beachten? Habe mal den Namen drin gelassen. Mein Vater hat es ja eh nicht so mit Anonymität und Sicherheit ;o)

Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "NdisWon" found!
Start Type: 2 (Automatic)

Rootkit scan completed.

Folder "C:\WINDOWS\privacy_danger" deleted successfully.
Folder "C:\Programme\XP Antivirus" deleted successfully.
File "C:\Programme\antiviirus.exe" deleted successfully.

Error: file "C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe" not found!
Deletion of file "C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\winlagan.exe" deleted successfully.
File "C:\WINDOWS\dgtxrdfqnt.dll" deleted successfully.
File "C:\WINDOWS\ekvgsnw.dll" deleted successfully.

Error: could not open file "C:\Dokumente und Einstellungen\Jean-Francois\Local Settings\Application Data\cftmon.exe"
Deletion of file "C:\Dokumente und Einstellungen\Jean-Francois\Local Settings\Application Data\cftmon.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

File "C:\WINDOWS\system32\drivers\spools.exe" deleted successfully.
File "C:\WINDOWS\alofkmn.dll" deleted successfully.
File "C:\WINDOWS\bxlrvps.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 05.03.2008, 22:40   #9
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



2.) Datfindbat-File:

dirdat.txt

Ist das so OK mit dem Link, oder einfach Text reinkopieren?

Grüße & Danke.

Alt 06.03.2008, 01:14   #10
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



3.) Blacklite hat nichts gefunden.

4.) e-scan:

Ich habe die e-scan anleitung befolgt, doch bei der Auswertung mit Hilfe der find.bat muss etwas schief gelaufen sein. Beim Scan mit e-scan wurden diverse Viren etc. gefunden, aber bei der Auswertung steht nichts davon.
Das Log-File ist 7.6 MB groß, soll ich es hochladen?


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.7.6
Sprache: English
C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 0:58:44,39
Batchende: 0:59:00,40

Was nun?

5.) Silentrunners:

Silenthunters-Logfile

Alt 06.03.2008, 13:44   #11
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



6.) combo-Fix Log-File:

ComboFix Logfile

Alt 06.03.2008, 13:53   #12
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



so, der letze Schritt: eine neu Hijckthis-File:

HiJackThis-Logfile

Ich danke Dir vielmals für Deine Hilfe. Bin nur noch bis heute Abend bei meinem Vater. Wäre schön wenn ich heute noch eine Antwort von Dir erhalten könnte bzw. die nächsten Schritte.

Hast Du denn Links zu Seiten auf denen erklärt wird wie man ein System neu aufsetzt und was man danach beachten soll?

Grüße,

Vince

Alt 06.03.2008, 14:02   #13
myrtille
/// TB-Ausbilder
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



Hi,
bei der find.bat gibts derzeit ein paar Probleme. Würdest du für mich mal folgende find.bat testen:
Code:
ATTFilter
@echo off
REM Version 2008.29.02
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM 
REM Marc Manske, April 2007


REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
  :INITIAL
  set TIMESTART=%TIME%
  set LOG=^>^> "%systemdrive%\escan\bases_x\eScan_neu.txt"
  set MODUS=%1
  set linecnt=1
  

REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.
  :OS
	IF "%OS%"=="Windows_NT" goto srchwd
	IF "%OS%"=="" goto wrngos
  
  cls
  echo.
  echo.
  echo [XX______________________]
  echo.
  echo Checking OS ...
  
REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************
  
REM 2.0.1 Log-Datei (mwav.log) wird gesucht	
REM     Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM     Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), 
REM     wird diese umbenannt.
  
  :srchwd
	%systemdrive%
	cd\
	dir /A:D %systemdrive% | findstr /i "escan"
	if %errorlevel% equ 0 goto srchlog 
	mkdir %systemdrive%\escan\bases_x
	goto cp2wd
	:srchlog
	dir %systemdrive%\escan\bases_x | findstr /i "mwav.log"
	if %errorlevel% equ 1 goto cp2wd
	ren %systemdrive%\escan\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"
	
REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
  :cp2wd
	dir /s /b %temp%\mwav.log > %systemdrive%\escan\bases_x\tmp.log
	set /P FILE=<%systemdrive%\escan\bases_x\tmp.log
	copy "%FILE%" %systemdrive%\escan\bases_x\
  
  cls
  echo.
  echo.
  echo [XXXX____________________]
  echo.
  echo Copying mwav.log ...
  
REM 2.0.2 Installationssprache wird ermittelt
REM     In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. 
REM     Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. 
REM     Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

  :getlang
  reg query HKCR\eut /v "Language" > nul
  for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
	if "%eLang%"=="German" (
	goto germpath 
	) else (
	goto wrnglang
	)
	cls
  echo.
  echo.
  echo [XXXXXX__________________]
  echo.
  echo Determing language ...

REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
	:germpath
	
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine 
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.

  if "%MODUS%"=="1" goto gmode1
  if "%MODUS%"=="2" goto gmode2
  if "%MODUS%"=="3" goto gmode3
  for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %systemdrive%\escan\bases_x\mwav.log ^|findstr ^[0-3]') do (echo %%j >> %systemdrive%\escan\bases_x\mwav_clean.log)
  for /f "delims=: tokens=1" %%i in ('findstr /n "Speicherdateien" %systemdrive%\escan\bases_x\mwav_clean.log') do set linecnt=%%i
  more +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
  cls
  echo.
  echo.
  echo [XXXXXXXX________________]
  echo.
  echo Cleaning log ...
  goto gstart
  
  :gmode1
  for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log') do (echo %%i >> %systemdrive%\escan\bases_x\mwav_cut.log)
  goto gstart
  
  :gmode2
  findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_clean.log
  for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\escan\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
  more /P /S +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
  goto gstart
  
  :gmode3
  findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_cut.log
  
REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM     Versionsnummer der find.bat
REM     OS-Version: per ver 
REM     Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)
REM               Im normalen Modus ist SBO nicht gesetzt.
REM               Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM     Programmversion: wird aus HKCR\eut gelesen
REM     Sprache: wurde bereits bestimmt (:getlang)
REM     Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM                Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM                Eintrag) wird ins Log geschrieben.               

  :gstart
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   > %systemdrive%\escan\bases_x\eScan_neu.txt
	echo Header %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  %LOG%
	echo find.bat Version 2008.29.02 %LOG%
	ver %LOG%
	findstr "Bootmodus:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%
	echo. %LOG%   
	for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
	if "%eVersion%"=="" (
		for /f "tokens=1-3" %%i in ('findstr /c:"Version" %systemdrive%\escan\bases_x\mwav_cut.log') do set eVersion=%%i %%j
		)
	echo eScan Version: %eVersion% %LOG%
	echo Sprache: %eLang% %LOG%
	for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %systemdrive%\escan\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\escan\bases_x\tmp.log)
	more %systemdrive%\escan\bases_x\tmp.log %LOG%
	echo. %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXX______________]
  echo.
  echo Writing header ...
	
REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM     Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM     Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. 
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Infektionsmeldungen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr "Objekt" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
	findstr "System" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXX____________]
  echo.
  echo Reported infections  ...
		
REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
 
	echo. %LOG%
  echo. %LOG%
  echo ~~~~~~~~~~~ %LOG%
	echo Dateien %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Infected files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Datei" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "infiziert" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Tagged files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "markiert" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Offending files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "file" %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXX__________]
  echo.
  echo Reported files  ...
  
REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~ %LOG%
	echo Ordner %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo Registry %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Key" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXX________]
  echo.
  echo Reported folders and entries  ...

REM 2.1.5 Deutsch: Diverses
REM     Meldungen über infizierte Prozesse und Scanfehler
  echo. %LOG%
  echo. %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Diverses %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Prozesse und Module %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr "List" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
	findstr "Infizierter" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
	findstr "Abbruch" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
	findstr "Modul" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
	findstr "Executable" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Command" %LOG%
	findstr "DllName" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Scanfehler %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr /i "Error" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Hosts-Datei %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
	echo DataBasePath: %hostloc% %LOG%
	echo %hostloc%\hosts|more> %systemdrive%\escan\bases_x\tmp.log
	echo Zeilen die nicht dem XP-Standard entsprechen: %LOG%
	findstr /v /f:%systemdrive%\escan\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1       localhost"|findstr /v /c:"::1             localhost" %LOG% 
	
cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXX______]
  echo.
  echo Misc entries ...

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Statistiken: >>%systemdrive%\escan\bases_x\eScan_neu.txt
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /c:"Zahl der" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	findstr /c:"Zeit verstrichen:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXX____]
  echo.
  echo Scanning stats ...

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Scan-Optionen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /i "aktiviert" %systemdrive%\escan\bases_x\mwav_cut.log >> %systemdrive%\escan\bases_x\tmp.log
	findstr "Speicher" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Registrierung" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Start" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr /i "ordner" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Systembereiche" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Dienste" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Überprüfung *. Laufwerke" %systemdrive%\escan\bases_x\tmp.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXX__]
  echo.
  echo Writing Options ...

   
REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss 
REM *********************************************************************************
REM *********************************************************************************
 
REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
:end
 del %systemdrive%\escan\bases_x\tmp.log
 del %systemdrive%\escan\bases_x\mwav_clean.log
 del %systemdrive%\escan\bases_x\mwav_cut.log
echo. %LOG%
echo Batchstart: %TIMESTART% %LOG%
echo Batchende: %TIME% %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXXXX]
  echo.
  echo Cleaning up ...

REM 3.2 Abschluss: Status wird angezeigt
  cls
	echo.
	echo.
	echo Auswertung beendet.
	echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
	notepad %systemdrive%\escan\bases_x\eScan_neu.txt 
	exit
	
REM 4.1 Abbruch: Falsches Betriebssystem
  :wrngos
  cls
	color 04
	echo.
	echo Ihre Windowsversion wird nicht unterstützt.
	echo Die Stapelverarbeitung wird abgegbrochen.
	echo.
	pause
	exit

REM 4.2 Abbruch: falsche Installationssprache
  :wrnglang
  cls
  color 04
	echo.
	echo Fehler bei der Ermittlung der Installationssprache!
	echo. 
	echo Diese Batchdatei kann nur Logdateien in deutscher Sprache 
	echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. 
	echo.
	echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
	echo die Sprache bei eScan zu ändern.
	echo.
	echo Die Stapelverarbeitung wird abgebrochen.
	echo.
  pause
  exit
         
(einfach text markieren, in einem editor speichern und als find.bat (sicherstellen, dass als Dateityp "alle Dateien" angewähkt ist.) abspeichern.

und das Ergebnis posten?

lg myrtille

Alt 06.03.2008, 14:14   #14
vincentfonda
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



Hi myrtille.

Sorry, aber ich bin da gerade etwas überfordert .

Wenn ich Dich richtig verstanden habe, dann soll ich den code-text kopieren und eine neue Textdatei erstellen und diese als find.bat abspeichern. Dadurch erhalte ich eine Textdatei mit dem Namen find.bat und diesen Text soll ich dann posten.!? Doch das ist doch der gleiche Text?? Oder soll ich datfind noch mal ausführen?

Bitte noch mal für ganz Dumme! Danke.

Alt 06.03.2008, 14:21   #15
myrtille
/// TB-Ausbilder
 
"Your privacy is in danger!"-Problem, Anleitung erwünscht. - Standard

"Your privacy is in danger!"-Problem, Anleitung erwünscht.



'Äh ja.. Da fehlt wohl ein Schritt in der Anleitung
Wenn du die bisherige Anleitung richtig gemacht hast, sollte die Datei jetzt folgendes Icon haben:


Stimmt das soweit?

Wenn ja einfach die Datei per Doppelklick ausführen und es sollte sich am Schluss (kann länger dauern) ein neues Texteditor fenster öffnen, in dem das eScanergebnis steht.

Damit das ganze funktioniert muss die Datei MWAV.log in %temp% liegen. Gib dafür in deinem Explorer in die Adressleiste (wenn diese nicht angezeigt wird, kannst du das einfach ändern, indem du im Explorer im Menüpunkt "Ansicht" --> "Symbolleisten" --> "Adressleiste" anwählst) einfach %temp% ein und schau ob in dem Ordner die Datei MWAV.log vorhanden ist. Wenn nicht kannst du dir die find.bat sparen.

lg myrtille
Angehängte Grafiken
 

Antwort

Themen zu "Your privacy is in danger!"-Problem, Anleitung erwünscht.
antivirus, application, bho, c:\windows\temp, computer, ctfmon.exe, desktop, downloader, drivers, e-mail, excel, google, helper, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, logfile, malware, ntuser, pdfcreator, preferences, privacy protection, sparbuch, stick, system, system neu, trojaner, urlsearchhook, web.de, windows, windows xp, windows\system32\drivers, windows\temp, wiso, wmid



Ähnliche Themen: "Your privacy is in danger!"-Problem, Anleitung erwünscht.


  1. "Privacy by Design": EU-Sicherheitsbehörde legt Empfehlungen vor
    Nachrichten - 14.01.2015 (0)
  2. Addons wie Werbeblocker oder "better privacy" verschwinden
    Log-Analyse und Auswertung - 27.10.2014 (7)
  3. privacy.exe "Failed to save all the components for the file System32\\00... " Win7
    Log-Analyse und Auswertung - 17.12.2011 (5)
  4. Vista Sicherheitscenter zeigt ständig Alarme: "Malware intrusion/Privacy alert" usw
    Plagegeister aller Art und deren Bekämpfung - 19.04.2010 (14)
  5. "Your Privacy is in Danger" Virusbefall -Alles (anscheinend) clean, bis auf Rootkit-
    Plagegeister aller Art und deren Bekämpfung - 26.09.2008 (4)
  6. Bitte Log-File nach Virus "ultimate cleaner 2007/priv-danger" prüfen
    Log-Analyse und Auswertung - 16.07.2008 (5)
  7. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  8. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  9. Schwarzer Bildschirm mit "Your computer is in Danger.." und fehlermeldungen
    Plagegeister aller Art und deren Bekämpfung - 24.06.2008 (9)
  10. Adminsperre für ADMIN (mich) ("error cleaner" "privacy protector")
    Mülltonne - 23.06.2008 (1)
  11. "your privacy is in danger" - worm.win32.netbooster - unerwünschte "Ultimate Cleaner"
    Log-Analyse und Auswertung - 01.05.2008 (1)
  12. "Your privacy is in danger" und andere Malware-Spässe
    Log-Analyse und Auswertung - 08.03.2008 (2)
  13. Roter Hintergrund "Your privacy is in danger"
    Log-Analyse und Auswertung - 03.03.2008 (8)
  14. privacy in danger - problem
    Plagegeister aller Art und deren Bekämpfung - 12.11.2007 (2)
  15. "your privacy is danger!" trojaner??
    Log-Analyse und Auswertung - 01.09.2007 (3)
  16. "warning! you are in danger" desktop-anzeige
    Log-Analyse und Auswertung - 07.06.2005 (3)
  17. Hartnäckige Meldung "Warning! You're in danger!" - Bitte um Rat
    Plagegeister aller Art und deren Bekämpfung - 02.04.2005 (4)

Zum Thema "Your privacy is in danger!"-Problem, Anleitung erwünscht. - Hallo. Bin gerade zu Besuch bei meinen Eltern und muss feststellen, dass der PC von meinem Vater total verseucht ist. Der Desktop zeigt ein rotes "Biohazard" Bild und den Schriftzug - "Your privacy is in danger!"-Problem, Anleitung erwünscht....
Archiv
Du betrachtest: "Your privacy is in danger!"-Problem, Anleitung erwünscht. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.