Kann bitte mal jmd auf meine Fragen antworten?

Alle Progs aufzählen, laufen lassen und wenn dann nicht weg, neuaufsetzen .. da wär ich vielleicht noch selber drauf gekommen :balla:

Prüfe nach, ob die genannte Datei noch vorhanden ist.
Ansonsten lese selbst nach:
http://www.f-secure.de/v-desk/rootkit.shtml

Das ist imo harmlos.


Mach doch einfach mal beides. Gibt's Unterschiede?

BTW: Wie gehst du ins Netz? Hast du deine Verbindung einfach schon mal neu angelegt?

Zunächst einmal handelt es sich bei der Masse der Programme nur um Analyse-Tools, die nichts von selbst entfernen. Es ist doch durchaus möglich, dass ein noch vorhandener Trojaner jedes Mal Änderungen am System vornimmt. Wenn nichts gefunden wird, hieße das im Zweifelsfall, dass sich der Schädling sehr gut tarnt. Würdest du noch mit einem solchen System arbeiten wollen?

Erstmal vielen Dank für eure Hilfe.

Online/Offline macht für mich keinen erkennbaren Unterschied.

Ich geh einfach über DFÜ mit RASPPPOE ins Netz. Hab ich noch nicht neu angelegt, hatte ganz am Anfang gefragt ob es evtl was bringen würde dies zu tun, aber da keiner drauf einging, hielt ich es für witzlos.
Kann mein Inet-Zugang ansich auch irgendwie manipuliert sein, sodass ich mir besser neue Zugangsdaten zuschicken lassen sollte?

Ansonsten habe ich auch noch eScan laufen lassen, welches 16 viren gefunden hat diese aber nicht entfernt oder umbenennt und wenn ich die MWAV datei lade tauchen sie auch nicht auf, nur ne mp3 datei von einer anderen Partition welche er aber auch nicht löschen kann. Wiso kann eScan die nicht entfernen?

Die Free-Version von Escan prüft nur und entfernt nichts.
Das mit dem Neuanlegen der I-Netverbindung kannst Du versuchen, aber ob es etwas bringt?

Hallo,
es wäre mal ganz interessanz zu erfahren welche Viren Escan gefunden hat, öffne mal die MWAV.LOG suche nach den Wörtern "infected" "tagged" und "offending" und poste die jeweiligen Einträge.


Grüße Wildone

Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\temporary internet files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\Temporary Internet Files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.


Thu Nov 03 15:49:40 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Shell.exe" refers to invalid object "D:\Destroyer Command\Shell.exe". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\Silent Hunter III\". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbx". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ERR". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pf". Action Taken: No Action Taken.

Thu Nov 03 15:49:44 2005 => Entry "HKCR\TypeLib\{DA0AC514-C1AE-11D3-84E7-005004C65534}" refers to invalid object "C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwce.dll". Action Taken: No Action Taken.

Thu Nov 03 15:49:44 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.


Diesmal waren es nur noch 2 Viren, aber die gleichen Errors.

Aber gut zu wissen dass Free-Version nichts löscht. Dann muss ich mich nicht mehr wundern ^^

Hallo,
also die Fehler sind keine Problem, wenn du sie beseitigen willst, kannst du das mit Regseeker machen.
Auch die beiden Viren, die gefunden wurden haben nichts mit deinem Problem zu tun und sind durch das löschen der temporären Internetdateien (im IE auf Extras>>Internetoptionen) zu beseitigen.
Hast du es mal versucht den Eintrag manuell in der Registry zu entfernen?
Ich würde langsam auch zur Neuinstallation tendieren, da läuft irgend etwas auf deinem System und keiner weiß was es macht, und wie man es findet.


Grüße Wildone

Na immerhin ist man im Protecus-Forum auch noch nicht weiter :lach:
http://board.protecus.de/t19990.htm

Tipp: Verlinke dort auf diesen Thread, dann nimmt das "Silent Runners"-Logfile nicht soviel Platz weg...

@HansHansen,
wenn Du noch da bist, dann lade Dir mal Winpooch runter und melde welches Programm die registry verändern will.

Und hör auf den Leute hier und bei Protecus was vorzumachen, das kann ins Auge gehen.
Auf EIN Forum beschränken! Viel hilft hier nicht viel!

karaya

Hallo,
ich hatte HansHansen geraten auch mal bei Protecus zu posten, da die Leute dort manchmal noch auf andere Ideen kommen wie hier. Ist finde ich auch nichts gegen einzuwenden, wenn man die Erkenntnisse jeweils dem anderen Forum mitteilt, das hat nichts mit "etwas vormachen" zu tun.


Grüße Wildone

Dennoch sollte man in einem anderen Forum wenigstens auf seinen alten Thread verweisen.

btw: Ein Logfile mit dem Security Task Manager wäre u.U. doch recht interessant gewesen.

Moin.

Entschuldigt dass ich mich lange nicht hab blicken lassen.

Was allerdings mit "vormachen" gemeint ist kann ich mir nicht erklären. Vielleicht kann karaya das nochmal erläutern. :balla:
Ich habe da lediglich mein Problem beschrieben und dachte die Leute da würden eher durchblicken wenn sie eine Kurzform lesen als sich durch den ganzen Thread hier wühlen zu müssen.

Jedenfalls ist das Problem jetzt gelöst, wie ihr in dem Link von Haui sehen könnt. http://board.protecus.de/t19990.htm


Hatte schon noch vor auf den Thread dort zu verweisen, aber bissl viel um die Ohren.
Warum ich auf das Board gegangen bin, hat Wildone ja erläutert.

Ansonsten auch euch nochmal DANKE für eure Bemühungen.

Haut rein,

Hans

Das interessiert mich immernoch ^^

Dass das Problem gelöst wurde freut mich.
In diesem Fall gibt es imho auch nichts gegen ein Crossposting einzuwenden.