|
escan findet trojan kasperlsky personal nicht habe meinen rechner mit escan überprüft und bin positiv überrascht von dem programm, und negativ überrascht wieviel ich auf dem rechner habe. dank chip.de habe ich ne personal version von kasperlsky, aber das findet meine trojaner nicht, was kann ich tun um sie zu entfernen. dnake bodo |
Poste das Log von eScan und so eins auch. |
Zitat:
bekannte antivirenprogramme sind bspw. norton antivirus, antivir, bitdefender, kaspersky , sophos...; trojaner-suchgeräte sind spybot search & destroy, ad-aware, ewido... - einfach mal die sufu nutzen punkt 2: tjaaa... welchen haste denn nun gefunden? die escan-auswertung mal bitte reinstellen oder besser gleich einen hijackthis-log... nochmal sufu-nutzen ;o) |
also ich habe auch freeav, ad-aware und spybot über meine festplatte laufen lassen, ohne erfolg. escan hat jedoch einiges gefunden. file mwav.txt ist allerdings 13 mb groß und dann kann ich den beitrag nicht ins forum stellen, deswegen stell ich erstmal nur die meldungen mit den funden rein, hjoffe das reicht : Mon Dec 26 15:56:57 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Mon Dec 26 15:56:57 2005 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Mon Dec 26 15:56:58 2005 => Loading Spyware Signatures from new External Database (Size: 146525). Mon Dec 26 15:56:58 2005 => Indexed Spyware Databases Successfully Created... Mon Dec 26 15:57:01 2005 => Offending file found: C:\DOKUME~1\Bodo\LOKALE~1\Temp\insthelp.dll Mon Dec 26 15:57:01 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen. Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temp\insthelp.dll Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen. Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen. Mon Dec 26 15:57:04 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\Temporary Internet Files\content.ie5\5u4m3ahi\global[1].js Mon Dec 26 15:57:04 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen. Mon Dec 26 15:57:08 2005 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware ***** Mon Dec 26 15:57:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead\NeroDigital\settings.xml". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. danach verweisen über 100 dateien auf ungültige pobjekte und es folgt : Datei C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\Thunderbird\Profiles\584r9nzt.default\Mail\Local Folders\Inbox infiziert von "Trojan-Spy.HTML.Bankfraud.if" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026599.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026600.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026601.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. |
Ja, mit dem Log von eScan meinte ich auch das "gefilterte" Log, also das Log, das mit der Datei FIND.BAT erstellt wurde :D |
@Bodo: - Cache vom IE leeren - Systemwiederherstellung deaktivieren Die Datei insthelp.dll ist m.W. nicht gefährlich. Hatte die auch nach einer Ad-Aware Installation AFAIR im Tempordner drin. Wie warten noch auf das HJT-Log. |
ich kann die datei find.bat leider in dem ordner von escan nicht finden. was soll ich machen? |
hijackthis liefert mir folgendes : Logfile of HijackThis v1.99.1 Scan saved at 23:50:44, on 26.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Office Mouse\moffice.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Office Mouse\MOUSE32A.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Yahoo!\Messenger\YPager.exe C:\Programme\GetRight\GetRight.exe C:\Programme\GetRight\GetRight.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Bodo\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128211365656 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
benutze IE nicht, sondern firefox 1.5, da wurden auch vor ein paar tagen meine startseite und bookmarks verändert. |
wie lange soll ich die systemwiederherstllung deaktivieren, kann ich die dateien dann löschen, oder wie kann ich auf die zugreifen? |
Die Datei FIND.BAT ist ein von @Haui erstelltes Script, dass Du Suche nach relevanten Einträgen im MWAV.LOG erheblich vereinfacht. Musst Du hier herunterladen. Lies aber diese Anleitung dazu. |
oha, der neue scan dauert jetzt wieder ne stunde, das pack ich jetzt nicht! würde gern wissen was die folgende aussage bedeutet : Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen. hört sich recht übel an! kann ich kasperlsky personal dazu bringen die sachen auch zu finden? beruht doch auf der selben engiene? danke |
Zitat:
|
ne mit dem firefox 1.5. diese befallenen dateien sind doch laufende systemdateien? |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:28 Uhr. |
Copyright ©2000-2024, Trojaner-Board