Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   eScan ... Trojaner und Vieren auf dem PC (https://www.trojaner-board.de/10621-escan-trojaner-vieren-pc.html)

Jan 10.12.2004 11:53
eScan ... Trojaner und Vieren auf dem PC
 
Hallo,

habe grad eScan auf meinem Rechner durchgeführt und 4 Meldungen bekommen. Aufmerksam wurde ich, weil der Rechner immer langsamer wurde und einige Anwendungen wie MS Word, Nero 6 oder auch Notepad nicht mehr sauber liefen. Kapersky hat erst angeschlagen, als eScan schon am arbeiten war.
Hier nun der Log von eScan:

Fri Dec 10 11:42:23 2004 => ***** Scanning complete. *****
Fri Dec 10 11:42:23 2004 => Total Files Scanned: 142862
Fri Dec 10 11:42:23 2004 => Total Virus(es) Found: 4
Fri Dec 10 11:42:23 2004 => Total Disinfected Files: 0
Fri Dec 10 11:42:23 2004 => Total Files Renamed: 0
Fri Dec 10 11:42:23 2004 => Total Deleted Files: 0
Fri Dec 10 11:42:23 2004 => Total Errors: 4
Fri Dec 10 11:42:23 2004 => Time Elapsed: 01:23:49
Fri Dec 10 11:42:23 2004 => Virus Database Date: 2004/12/10
Fri Dec 10 11:42:23 2004 => Virus Database Count: 112050
Fri Dec 10 11:42:23 2004 => Scan Completed.

File C:\TEMP\Audiograbber 1.8\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP715\A0046664.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP716\A0047995.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Kann mir jemand sagen was ich zu tun habe?

vielen Dank
Jan

Jan 10.12.2004 12:00
sorry ... bin wohl im falschen Board. Werde die Frage woanders posten.

MountainKing 10.12.2004 12:02
Wenn das alles ist, musst du eigentlich nichts machen, da es sich hier wohl nicht um Viren handelt. Was hat Kaspersky denn entdeckt? Da E-Scan dieselben Signaturen verwendet, brauchst du das eigentlich auch nicht, KAV genügt.
Poste mal ein HJT-Log: http://www.trojaner-board.de/51130-a...ijackthis.html

Um die Dateien aus System Volume Information loszuwerden musst du die Systemsteuerung deaktivieren und wieder aktivieren.

Jan 10.12.2004 12:30
Hallo,
danke für die schnelle Antwort.

HiJack ergab folgendes Ergebnis:

Logfile of HijackThis v1.98.2
Scan saved at 12:19:03, on 10.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Gemeinsame Dateien\KAV Shared Files\repview.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\TEMP\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=122404 serial=dr12wex-1504397-kty lang=DE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - hxxp://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.medion.de
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - hxxp://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {AABB591F-CEB3-404A-A979-AA30B16CB914} (IPLabs Image Uploader 2.5) - hxxp://asp02.photoprintit.de/microsite/1773/defaults/activex/ImageUploader2.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93082D41-EB16-483F-B375-86E3F01F8A07}: NameServer = 192.168.123.254

Jan 10.12.2004 13:32
>>Um die Dateien aus System Volume Information loszuwerden musst du die Systemsteuerung deaktivieren und wieder aktivieren.<<

ups, wie geht denn das ?

Organic 10.12.2004 14:31
So geht das!

http://www.systemwiederherstellung-deaktivieren.de

brainbox

Jan 10.12.2004 14:32
Danke :bussi:


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:06 Uhr.

Copyright ©2000-2026, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58