alö meinst du bei eScan diese Zeilen?

Tue Oct 05 17:39:06 2004 => ***** Checking for specific ITW Viruses *****
Tue Oct 05 17:39:06 2004 => Checking for Welchia Virus...
Tue Oct 05 17:39:06 2004 => Checking for LovGate Virus...
Tue Oct 05 17:39:06 2004 => Checking for CodeRed Virus...
Tue Oct 05 17:39:06 2004 => Checking for OpaServ Virus...
Tue Oct 05 17:39:06 2004 => Checking for Sobig.e Virus...
Tue Oct 05 17:39:06 2004 => Checking for Winupie Virus...
Tue Oct 05 17:39:06 2004 => Checking for Swen Virus...
Tue Oct 05 17:39:07 2004 => Checking for JS.Fortnight Virus...
Tue Oct 05 17:39:07 2004 => Checking for Novarg Virus...
Tue Oct 05 17:39:07 2004 => Checking for Pagabot Virus...
Tue Oct 05 17:39:07 2004 => Checking for Parite.b Virus...
Tue Oct 05 17:39:07 2004 => Checking for Parite.a Virus...

Tue Oct 05 17:39:07 2004 => ***** Scanning complete. *****

Tue Oct 05 17:39:07 2004 => Total Files Scanned: 49430
Tue Oct 05 17:39:07 2004 => Total Virus(es) Found: 5
Tue Oct 05 17:39:07 2004 => Total Disinfected Files: 0
Tue Oct 05 17:39:07 2004 => Total Files Renamed: 0
Tue Oct 05 17:39:07 2004 => Total Deleted Files: 0
Tue Oct 05 17:39:07 2004 => Total Errors: 34
Tue Oct 05 17:39:07 2004 => Time Elapsed: 00:43:53
Tue Oct 05 17:39:07 2004 => Virus Database Date: 2004/10/05
Tue Oct 05 17:39:07 2004 => Virus Database Count: 105160

Tue Oct 05 17:39:07 2004 => Scan Completed.

Tue Oct 05 17:43:57 2004 => Virus Database Date: 2004/10/05
Tue Oct 05 17:43:57 2004 => Virus Database Count: 105160


er hat aber bei 3 viren gesagt, dass se doch keine sind (....as not a virus)
und eine von den beiden cax dateien des trj downloader ist glaub auch gelöscht worden!

Also eine der beiden Kabinett Dateien des Trj/Downloder ist wirklich gelöscht worden. Wenn du mein komplettes eScan Logfile brauchst oder etwas fehlt, sag es mir einfach und ich mail dir die ganze datei zu (ca. 12,5 mb)

So hier noch mein HijackThis Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 14:08:08, on 15.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\WINDOWS\System32\nvsvc32.exe
f:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
f:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
f:\Programme\Panda Software\Panda Antivirus Titanium\apvxdwin.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
f:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe
H:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kwick.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [APVXDWIN] "f:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CorelDRAW ESSENTIALS14] F:\Programme\Corel\CorelDRAW ESSENTIALS 2\Register\Registration.exe /title="CorelDRAW ESSENTIALS" /date=101704 serial=ES02WBG-0090091-CML
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094738282135
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

@ dynamite89,

Dein Logfile sieht soweit sauber aus .. sieh selbst: http://www.hijackthis.de/index.php. Bei den Einträgen mit den gelben Fragezeichen solltest Du Dir überlegen, ob Du sie kennst und brauchst. So nicht, kannst Du sie auf die gewohnte Weise fixen, im abgesicherten Modus, bei deaktivierter Systemwiederherstellung.

Zitat:

Tue Oct 05 17:39:07 2004 => Total Virus(es) Found: 5

von Hand bei deaktivierter Systemwiederherstellung löschen: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Viel Erfolg!
SD

C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe

also bei denen 3 files hab ich keine ahnung, was die machen, aber system32 dateien lass ich mal lieber wie sie sind!
wer jetzt mal versuchen die datei zu entfernen und lass danach nochmal alle Scaner uä laufen, meld mich dann noch mal, aber schonmal vielen dank für deien bzw. eure hilfe

also hab nochmal mit eScan gescannt, das dürften eher die logzeilen sein, die du suchst:

File C:\WINDOWS\system32\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart. No Action Taken.

File C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YHG7EHS1\cax[1].cab tagged as not-a-virus:PornWare.Dialer.OnlineDialer. No Action Taken.

File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\System Volume Information\_restore{07FA3B62-53E7-44C4-B29E-9C2616DE6D81}\RP6\A0003612.exe tagged as not-a-virus:RiskWare.Tool.ExitWin.b. No Action Taken.


Wenn ich beider mvav.log nach infected suche, findet das Programm nichts, woran kann das liegen?

und zuhuter letzt noch mein HijackThis log, nachdem ich aufgeräumt habe!

Logfile of HijackThis v1.98.2
Scan saved at 17:08:32, on 16.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\WINDOWS\System32\nvsvc32.exe
f:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
f:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\ctfmon.exe
f:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [APVXDWIN] "f:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [CorelDRAW ESSENTIALS14] F:\Programme\Corel\CorelDRAW ESSENTIALS 2\Register\Registration.exe /title="CorelDRAW ESSENTIALS" /date=101704 serial=ES02WBG-0090091-CML
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094738282135
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Schaut eigentlich recht sauber aus.

@ dynamite89,

Dein Logfile sieht gut aus .. aber ich möchte wissen, was es mit dieser

C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe

auf sich hat. Sei so nett und scanne sie online: Kaspersky. Ergebnis?

Zitat:

Wenn ich beider mvav.log nach infected suche, findet das Programm nichts, woran kann das liegen?

Vielleicht daran, dass nicht das Programm suchen muss, sondern Du? "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!"

Den Ordner C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ kannst Du von Hand leeren. Oder mit dem Clear Prog. Lade Dir ausserdem Spybot-Search & Destroy 1.3 runter.

SD

@ *Christian* ;-)