|
escan findet trojan kasperlsky personal nicht habe meinen rechner mit escan überprüft und bin positiv überrascht von dem programm, und negativ überrascht wieviel ich auf dem rechner habe. dank chip.de habe ich ne personal version von kasperlsky, aber das findet meine trojaner nicht, was kann ich tun um sie zu entfernen. dnake bodo |
Poste das Log von eScan und so eins auch. |
Zitat:
bekannte antivirenprogramme sind bspw. norton antivirus, antivir, bitdefender, kaspersky , sophos...; trojaner-suchgeräte sind spybot search & destroy, ad-aware, ewido... - einfach mal die sufu nutzen punkt 2: tjaaa... welchen haste denn nun gefunden? die escan-auswertung mal bitte reinstellen oder besser gleich einen hijackthis-log... nochmal sufu-nutzen ;o) |
also ich habe auch freeav, ad-aware und spybot über meine festplatte laufen lassen, ohne erfolg. escan hat jedoch einiges gefunden. file mwav.txt ist allerdings 13 mb groß und dann kann ich den beitrag nicht ins forum stellen, deswegen stell ich erstmal nur die meldungen mit den funden rein, hjoffe das reicht : Mon Dec 26 15:56:57 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Mon Dec 26 15:56:57 2005 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Mon Dec 26 15:56:58 2005 => Loading Spyware Signatures from new External Database (Size: 146525). Mon Dec 26 15:56:58 2005 => Indexed Spyware Databases Successfully Created... Mon Dec 26 15:57:01 2005 => Offending file found: C:\DOKUME~1\Bodo\LOKALE~1\Temp\insthelp.dll Mon Dec 26 15:57:01 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen. Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temp\insthelp.dll Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen. Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen. Mon Dec 26 15:57:04 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\Temporary Internet Files\content.ie5\5u4m3ahi\global[1].js Mon Dec 26 15:57:04 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen. Mon Dec 26 15:57:08 2005 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware ***** Mon Dec 26 15:57:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead\NeroDigital\settings.xml". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. danach verweisen über 100 dateien auf ungültige pobjekte und es folgt : Datei C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\Thunderbird\Profiles\584r9nzt.default\Mail\Local Folders\Inbox infiziert von "Trojan-Spy.HTML.Bankfraud.if" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026599.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026600.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{E136A7F8-9340-4E50-9A46-DF705B587108}\RP138\A0026601.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.286" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. |
Ja, mit dem Log von eScan meinte ich auch das "gefilterte" Log, also das Log, das mit der Datei FIND.BAT erstellt wurde :D |
@Bodo: - Cache vom IE leeren - Systemwiederherstellung deaktivieren Die Datei insthelp.dll ist m.W. nicht gefährlich. Hatte die auch nach einer Ad-Aware Installation AFAIR im Tempordner drin. Wie warten noch auf das HJT-Log. |
ich kann die datei find.bat leider in dem ordner von escan nicht finden. was soll ich machen? |
hijackthis liefert mir folgendes : Logfile of HijackThis v1.99.1 Scan saved at 23:50:44, on 26.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Office Mouse\moffice.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Office Mouse\MOUSE32A.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Yahoo!\Messenger\YPager.exe C:\Programme\GetRight\GetRight.exe C:\Programme\GetRight\GetRight.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Bodo\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128211365656 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
benutze IE nicht, sondern firefox 1.5, da wurden auch vor ein paar tagen meine startseite und bookmarks verändert. |
wie lange soll ich die systemwiederherstllung deaktivieren, kann ich die dateien dann löschen, oder wie kann ich auf die zugreifen? |
Die Datei FIND.BAT ist ein von @Haui erstelltes Script, dass Du Suche nach relevanten Einträgen im MWAV.LOG erheblich vereinfacht. Musst Du hier herunterladen. Lies aber diese Anleitung dazu. |
oha, der neue scan dauert jetzt wieder ne stunde, das pack ich jetzt nicht! würde gern wissen was die folgende aussage bedeutet : Mon Dec 26 15:57:03 2005 => Offending file found: C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\temporary internet files\content.ie5\5u4m3ahi\global[1].js Mon Dec 26 15:57:03 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: Keine Aktion vorgenommen. hört sich recht übel an! kann ich kasperlsky personal dazu bringen die sachen auch zu finden? beruht doch auf der selben engiene? danke |
Zitat:
|
ne mit dem firefox 1.5. diese befallenen dateien sind doch laufende systemdateien? |
Zitat:
|
also ich hab jetzt mal bei ie alles geleert, cookies und verlauf, reicht das? sollte der kram jetzt weg sein? wie krieg ich das aus der systemwiederhgerstellung weg? |
Zitat:
Lass eScan mal komplett durchlaufen. Danach das mit der FIND.BAT gefilterte Log bitte posten. |
Nutze mit Kaspersky mal die "erweiterte Datenbank". Domino |
kann ich free av und kasperlsky parallel installieren? ja ich habe die beiträge schon gelesen, bin aber nicht schlau draus geworden :) danke |
Zitat:
Würde ich nicht parallel installieren, die kommen sich gegenseitig ins Gehege... |
ich habe probleme mit der find.bat wenn ich sie starte öffnet sich fürn e zehntellsekunde ein fenster und sonst passiert nix |
WELCHES escan verwendest Du? Das, was Cidre in seiner Anleitung meint? Oder die Bezahlversion? Oder die Kaspersky-Suite? |
gute frage, habe version 7.4.5 ist nur der scanner! |
escan liefert haupsächlich diese meldung, die mir sorgen macht: Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "redv Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. |
Hast Du eine heruntergeladene Datei nach C:\BASES_X\ entpackt? Wenn ja dann schau mal da rein, da müsste die Logdatei MWAV.LOG sein. Evtl. hat das Script FIND.BAT von Haui auch schon seine Wirkung gezeigt. Wenn ja, dann müsste sich die Textdatei "escan_neu.txt" sich bei Dir im Hauptverzeichnis von C: befinden. |
@cosinus, so wie es aussieht hat @bodo den eScan auf deutsch eingestellt, und dann funktioniert die find.bat nicht. karaya |
Na klar *stirnklatsch* Hab ich in diesem Gewusel übersehen :balla: |
habe kasperlsky personal nochmal drüberlaufen lassen und er hat nix gefunden escan findet die alten sachen jedoch wieder. ich hab die entsprechenden ordner temopara internet gelöscht, was bei escan zu nur nach mehr fehlermeldungen führt :) freue mich über weitere tips :) gehe erstmal pennen. bis morgen |
@ domino habe die erweiterte datenbank bei den update einstellungen eingerichtet. kasperlsky findet trotzdem nichts!! |
Hi @ all, lade dir mal folgendes Programm herunter: ClearProg du findest es auf http://www.clearprog.de. Lade dir die aktuelle Beta 7 herunter (keine sorge läuft absolut zuverlässig). Mit diesem Programm kannst du alle Surf spuren vom IE, Firefox und Opera löschen, auch lästige Windows spuren lassen sich mit diesem Tool löschen. Am besten legst du es in den Autostart von Windows. Hoffe ich konnte dir helfen Mfg CyberGott |
habe ich schon gemacht und alle internet temporären dateien gelöscht, bei den windows bzw. systemsachen bin ich mir nicht sicher, aber die probleme hab ich immernoch. was für möglichkeiten habe ich die von escan erkannten probleme zu entfernen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:07 Uhr. |
Copyright ©2000-2024, Trojaner-Board