Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   eScan ... Trojaner und Vieren auf dem PC (https://www.trojaner-board.de/10621-escan-trojaner-vieren-pc.html)

Jan 10.12.2004 11:53
eScan ... Trojaner und Vieren auf dem PC
 
Hallo,

habe grad eScan auf meinem Rechner durchgeführt und 4 Meldungen bekommen. Aufmerksam wurde ich, weil der Rechner immer langsamer wurde und einige Anwendungen wie MS Word, Nero 6 oder auch Notepad nicht mehr sauber liefen. Kapersky hat erst angeschlagen, als eScan schon am arbeiten war.
Hier nun der Log von eScan:

Fri Dec 10 11:42:23 2004 => ***** Scanning complete. *****
Fri Dec 10 11:42:23 2004 => Total Files Scanned: 142862
Fri Dec 10 11:42:23 2004 => Total Virus(es) Found: 4
Fri Dec 10 11:42:23 2004 => Total Disinfected Files: 0
Fri Dec 10 11:42:23 2004 => Total Files Renamed: 0
Fri Dec 10 11:42:23 2004 => Total Deleted Files: 0
Fri Dec 10 11:42:23 2004 => Total Errors: 4
Fri Dec 10 11:42:23 2004 => Time Elapsed: 01:23:49
Fri Dec 10 11:42:23 2004 => Virus Database Date: 2004/12/10
Fri Dec 10 11:42:23 2004 => Virus Database Count: 112050
Fri Dec 10 11:42:23 2004 => Scan Completed.

File C:\TEMP\Audiograbber 1.8\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP715\A0046664.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP716\A0047995.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Kann mir jemand sagen was ich zu tun habe?

vielen Dank
Jan

Jan 10.12.2004 12:00
sorry ... bin wohl im falschen Board. Werde die Frage woanders posten.

MountainKing 10.12.2004 12:02
Wenn das alles ist, musst du eigentlich nichts machen, da es sich hier wohl nicht um Viren handelt. Was hat Kaspersky denn entdeckt? Da E-Scan dieselben Signaturen verwendet, brauchst du das eigentlich auch nicht, KAV genügt.
Poste mal ein HJT-Log: http://www.trojaner-board.de/51130-a...ijackthis.html

Um die Dateien aus System Volume Information loszuwerden musst du die Systemsteuerung deaktivieren und wieder aktivieren.

Jan 10.12.2004 12:30
Hallo,
danke für die schnelle Antwort.

HiJack ergab folgendes Ergebnis:

Logfile of HijackThis v1.98.2
Scan saved at 12:19:03, on 10.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Gemeinsame Dateien\KAV Shared Files\repview.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\TEMP\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=122404 serial=dr12wex-1504397-kty lang=DE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - hxxp://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.medion.de
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - hxxp://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {AABB591F-CEB3-404A-A979-AA30B16CB914} (IPLabs Image Uploader 2.5) - hxxp://asp02.photoprintit.de/microsite/1773/defaults/activex/ImageUploader2.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93082D41-EB16-483F-B375-86E3F01F8A07}: NameServer = 192.168.123.254

Jan 10.12.2004 13:32
>>Um die Dateien aus System Volume Information loszuwerden musst du die Systemsteuerung deaktivieren und wieder aktivieren.<<

ups, wie geht denn das ?

Organic 10.12.2004 14:31
So geht das!

http://www.systemwiederherstellung-deaktivieren.de

brainbox

Jan 10.12.2004 14:32
Danke :bussi:


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131