eScan positiv, was nun?
 

Hallo,
ich habe vor etwa einem Monat einen AntiVir Alarm gehabt. Wollte den Virus, der sich als Trojaner zeigte löschen, habe aber wohl irgendwas falsch gemacht. Seit dem geht jedesmal wenn ich in mein t-online E-Mail Programm gehe ein Fenster auf, das mich zur Eingabe sämtlicher Zugangsdaten auffordert. Die habe ich natürlich nicht eingegeben, weil mir das doch sehr merkwürdig erschien. Dann bin ich auf die Jagt nach diesem DING gegangen. Spybot Search & Destroy hat nichts gefunden und AntiVir findet, seit dem ersten Alarm auch nichts mehr. Weil ich immernoch skeptisch bin habe ich in Euerem Forum gestöbert und bin auf eScan gekommen. Den hab ich durchgeführt und der hat 6 Probleme erfasst. Aber da man soll ja trotzdem vorsichtig löschen und wenn man so viel Ahnung hat wie ich, wird das echt zum Problem. Wie bringe ich den nun am besten die Suchergebnisse in dieses Forum?

"öffne die mwav.log im verzeichnis c:\bases -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Danke Lidius,
wenn ich nach deiner Anleitung gehe dann finde ich:
C:\Programme\AVPersonal\INFECTED\*.*
C:\Programme\AVPersonal\INFECTED\A0071544.EXE.VIR
C:\Programme\AVPersonal\INFECTED\A0071545.EXE.VIR
C:\Programme\AVPersonal\INFECTED\A0071563.EXE.VIR

Die Virus Log Information beim eScan war:
C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-
57D6B1091131}\RP60\A0067964.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP60\A0067965.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\WINDOWS\Temp\hfred.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
D:\Treiber\PERIPHERIE\WEBCAMS\MD 9369\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
D:\Treiber\PERIPHERIE\WEBCAMS\PENCAM MD 9456\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Lösche den den Inhalt des Ordners:
C:\Programme\AVPersonal\INFECTED
Alle Dateien die hier drin sind können dir gar nichts tun, da sie von Antivir standartmässig in .vir dateien umbenannt worden sind

Lösche auch die von escan gefundenen Dateien manuell:

C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-
57D6B1091131}\RP60\A0067964.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP60\A0067965.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\WINDOWS\Temp\hfred.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
D:\Treiber\PERIPHERIE\WEBCAMS\MD 9369\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
D:\Treiber\PERIPHERIE\WEBCAMS\PENCAM MD 9456\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

deaktiviere die Systemwiederherstellung starte deine Rechner neu, und aktiviere Sie dann wieder, dann ist das Problem erledigt.

Diese beiden werden dadurch entfernt:
C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-
57D6B1091131}\RP60\A0067964.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP60\A0067965.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.

die anderen Funde sind ungefährlich. Weißt du denn noch welchen Trojaner AntiVir damals gefunden hat?

Jou-Danke Lidius

Natürlich ist die Systemwiederherstellung zu deaktivieren.
Siehe Link von Lidius

Also erst löschen (im Explorer?), dann Systemwiederherstellung deaktivieren, dann Rechner neu starten und weg ist das Problem???

Ich weiß leider nicht mehr wie das Ding hieß, nur irgendwas mit Classload, aber das hilft wohl nicht viel!

Da ist noch was!

Beim ersten eScan hatte ich noch den hier:C:\Programme\Teledat\WCOM\SYSTEM\RVSDC.EXE tagged as not-a-virus: AdWare.Altnet.a. No Action Taken.

Aber heute hab ich nochmal gescant und obwohl ich nichts mit der Meldung unternommen habe, ist er heute nicht mehr erschienen???

@ duese,

Malware-Einträge von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

SD

Danke Shadowdance,
aber was hat es mit dem anderen Fund auf sich:
C:\Programme\Teledat\WCOM\SYSTEM\RVSDC.EXE tagged as not-a-virus: AdWare.Altnet.a. No Action Taken.

Wie gesagt beim ersten eScan wurde der angezeigt, beim zweiten mal nicht mehr.

Gehört zu deinem Teledat Modem.

Also ich raff`s nicht!
Jetzt bin ich den Anweisungen von Shadowdance gefolgt, abgesicherter Modus, Systemwiederherstellung deaktiviert. Und wenn ich dann in der mwav.log infected suche, dann zeigt der mir keinen Treffer an.
Also hab ich die betroffenen Dateien manuell gesucht, kopiert und in die Windows Suche übertragen, aber die findet die Dateien nicht?!?

Nur mal so zum Verständnis:
- eScan findet keine Beanstandungen
- du suchst nach Dateien die eScan nicht gefunden hat und findest sie dann nicht -> is klar,oder?

Wie soll das denn gehen? :crazy:
Um welche Dateien handelt es sich überhaupt?

Nein, eScan hat folgendes gefunden:

C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-
57D6B1091131}\RP60\A0067964.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP60\A0067965.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\WINDOWS\Temp\hfred.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
D:\Treiber\PERIPHERIE\WEBCAMS\MD 9369\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
D:\Treiber\PERIPHERIE\WEBCAMS\PENCAM MD 9456\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Ich hab eben in einem anderen Beitrag von dir gelesen, in der mwav.log infected oder tagged eingeben. Unter infected kam nichts.

Wenn du die Systemwiederherstellung deaktivierst, dann sind diese Datei gelöscht.

Nicht löschen!

Dann ist ja auch klar warum ich nichts mehr finde!

Und die anderen drei sind kein Problem?
Weil eScan greift die immer wieder auf.

Nur mein ursprüngliches Problem, die Abfrage meiner Zugangsdaten im e-Mailprogramm ist immer noch. Seit dem Tag 'als das Virus kamm' fragt der mich die Daten ab. und ich traue mich nicht so recht die einzugeben.