Trojaner-Board - Analyse

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Analyse (https://www.trojaner-board.de/11230-analyse.html)

Navigiere zum Verzeichnis C:\bases
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen (Zitat Cidre)

Hier das Ergebnis: 16 Schuss frei :snyper: Sun Dec 26 17:53:41 2004 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\17491CCE.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Sun Dec 26 17:57:29 2004 => File C:\System Volume Information\_restore{EF32F7CE-ECB7-4BD6-BAEF-69C05BECC6A9}\RP52\A0041093.exe infected by "not-a-virus:AdWare.MiniBug" Virus. Action Taken: No Action Taken. Sun Dec 26 18:15:59 2004 => File C:\WINDOWS\Temp\MT\hot.video[1].exe tagged as not-a-virus:Porn-Dialer.Win32.CapreDeam. No Action Taken. Sun Dec 26 17:58:40 2004 => File C:\System Volume Information\_restore{EF32F7CE-ECB7-4BD6-BAEF-69C05BECC6A9}\RP66\A0046076.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sun Dec 26 17:58:40 2004 => File C:\System Volume Information\_restore{EF32F7CE-ECB7-4BD6-BAEF-69C05BECC6A9}\RP66\A0046075.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sun Dec 26 17:57:29 2004 => File C:\System Volume Information\_restore{EF32F7CE-ECB7-4BD6-BAEF-69C05BECC6A9}\RP52\A0041093.exe infected by "not-a-virus:AdWare.MiniBug" Virus. Action Taken: No Action Taken. Sun Dec 26 17:55:33 2004 => File C:\Programme\Pinnacle\Studio 9\OEM\hfx55StudioSilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Dec 26 17:53:19 2004 => File C:\Programme\Montorgueil\hot.video\hot.video.exe tagged as not-a-virus:Porn-Dialer.Win32.CapreDeam. No Action Taken. Sun Dec 26 17:58:54 2004 => File C:\System Volume Information\_restore{EF32F7CE-ECB7-4BD6-BAEF-69C05BECC6A9}\RP73\A0050276.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken.
Sun Dec 26 17:58:40 2004 => File C:\System Volume Information\_restore{EF32F7CE-ECB7-4BD6-BAEF-69C05BECC6A9}\RP66\A0046081.exe infected by "not-a-virus:AdWare.SaveNow.as" Virus. Action Taken: No Action Taken.
Sun Dec 26 17:58:47 2004 => File C:\System Volume Information\_restore{EF32F7CE-ECB7-4BD6-BAEF-69C05BECC6A9}\RP71\A0048108.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken Sun Dec 26 18:39:21 2004 => File C:\WINDOWS\Temp\MT\hot.video[1].exe tagged as not-a-virus:Porn-Dialer.Win32.CapreDeam. No Action Taken.
Sun Dec 26 17:34:52 2004 => File C:\WINDOWS\system32\EGDACCESS_1055.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken.
Sun Dec 26 18:13:44 2004 => File C:\WINDOWS\system32\EGDACCESS_1055.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken. Sun Dec 26 18:37:58 2004 => File C:\WINDOWS\system32\EGDACCESS_1055.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken. Sun Dec 26 17:57:08 2004 => File C:\System Volume Information\_restore{EF32F7CE-ECB7-4BD6-BAEF-69C05BECC6A9}\RP48\A0036358.ico infected by "TrojanDownloader.Win32.Wintrim.cd" Virus. Action Taken: No Action Taken.

Eine Minute nachdem ich das Resultat abgeschickt habe, ist mein Norton InternetSecurity + Anti-Virus abgstürtzt.Da stimmt doch was nicht :koch:

Was soll ich jetzt tun ??????

50 sekunden vor diesem Absturz, meldet der Firewall:eine Instanz von C:\Programme\Outlook Express\msimn.exe ist im Begriff auf das Internet zuzugreifen

@gary
speichere diese dateien
C:\WINDOWS\system32\EGDACCESS_1055.dll
C:\WINDOWS\Temp\MT\hot.video[1].exe
C:\Programme\Montorgueil\hot.video\hot.video.exe
auf diskette zwecks beweismittel (dialer)
danach manuell in den abgesicherten modus löschen
neu starten
lade dir spybot, update es.
lade dir clearprog bei www.clearprog.de
programm starten, alle häkchen bei windows und IE setzen, löschen.
systemwiederhestellung deaktivieren, neu booten, systemwiederherstellung aktivieren.
über systemsteuerung, software NEWdotNet löschen
spybot laufen lassen
wechsle in den abgesicherten modus und löschen alle AdWare einträge manuell
chaosman

Danke,aber was heisst manell in den abgesicherten Modus (LÖSCHEN<-- ?), dann, Spybot habe ich schon länger (und etliche andere dieser Programme),auch upgedated,doch diese zeigen nicht eines dieser Resultate an. Dann noch zu einem anderen Thema, ein Freund hat den kompletten Package von eScan-Antivirus erworben, und hat mir den PC damit gescannt, und das allerbeste hieraus:die Resultate vom Freeware-eScan (16 Viren), werden vom kompletten Package nicht aufgelistet,warum??? :headbang: :(

@gary
d.h. dass du jede einzelne datei von hand löscht in den abgesicherter modus
http://www.trojaner-board.de/63335-w...s-starten.html

die Resultate vom Freeware-eScan (16 Viren), werden vom kompletten Package nicht aufgelistet,warum???
warum nicht??

chaosman

Ok, Warum nicht ????

UPDATE:Ich habe bisher 4 von 16 beseitigt :kloppen: :kloppen: :kloppen: :kloppen:

Es sind dies die Dialer, jedoch laufen noch ein paar Kopien im System rum

Zitat:

Zitat von gary

Es sind dies die Dialer, jedoch laufen noch ein paar Kopien im System rum

Sorry,aber ich glaube hier blickt niemand mehr durch,wie soll das auch gehen bei dem Spam!

escan hat dir doch den Pfad genannt,welcher infiziert ist,die musst du dann manuell suchen und die Dateien löschen,so wie es einige vor mir geschrieben haben!

Von welchen Kopien redest du?

Hier in Luxemburg blickt auch keiner mehr durch jedenfalls, sind sie alle manuell gelöscht.Mit Kopien meine ich, dass die Dialer sich kopiert haben müssen denn ich fand von jedem noch eine Kopie in anderen Archiven und Dateien die mit dem eScan nicht aufgelistet wurden :aplaus: