Trojaner-Board - FileSubmit

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - FileSubmit (https://www.trojaner-board.de/14503-filesubmit.html)

[QUOTE=Haui45]Unsere Diskussion musst du gar nicht beachten ;)

Die bekommst du so weg:
Systemwiederherstellung deaktivieren-> Neustart-> Systemwiederherstellung aktivieren

Den Rest manuell im abgesicherten Modus löschen.

Nochmals Sypybot Ad-Aware und eScan laufen lassen. Ergebnis (von eScan)?

So habe das mit der Systemwiedeherstellung so gemacht.
Wollte dann im abgesicherten Modus manuell löschen, aber 1. habe ich keine Zugriff auf den Ordner d.h. ich kann diesen nicht mal öffnen,
2. löschen kann ich den auch nicht (Schreibschutz) den ich nicht deaktiviren kann 3. der Ordner ist leer!

:koch: :koch: :koch:

Welchen Ordner?
Wenn du den C:\System Volume Information meinst, das ist normal, die Dateien die sich darin befinden sind nach dem Neustart weg. Vielleicht noch als Erklärung: Das ist der "Ordner der Systemwiederherstellung von Windows". Wenn man die Systemwiederherstellung deaktiviert und einen Neustart durchführt, werden die Wiederherstellungspunkte und somit auch die infizierten Dateien gelöscht.

Die anderen Dateien (z.B. C:\Programme\FileSubmit\I Love 69 Babes\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet) sollst du manuell löschen ;)

So habe eScan jetzt nochmals durchlaufen lassen,
er zeigt mir aber wieder wenn ich mit "infected" durchschaue an die 40 Dateien aber immer dateien von C:\System Volume Information.....bla...bla....bla an! :)

Sypybot zeigt lediglich 4 probleme an das sind aber nur registry change!

Logfile of HijackThis v1.99.1
Scan saved at 13:27:33, on 26.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\StefanG\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094036522843
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDA63990-2595-4D01-B0EB-A7511C599536}: NameServer = 141.1.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

:koch:

Zitat:

Hast du in der mwav.log nach "infected" gesucht? Wenn ja, sind das wahrscheinlich die Funde vom letzten Scan. Du kannst die mwav.log ruhig löschen und dann erneut scannen ;)
Bist du sicher, dass du eScan korrekt ausgeführt hast (Zeit nur ~20 Minuten :balla: )?
Wurden während des Scans irgendwelche Funde im "Virus Log Information" Fenster angezeigt?

mwav.log habe ich gelöscht.

Muss ich bei eScan "Program Files" oder Scan all Files das Häckchen machen!?

Und nein es wurden keine Funde im "Virus Log Information" Fenster angezeigt

Die Haken so setzen, wie auf dem Bild dargestellt:
http://www.trojaner-info.de/hijacker/bilder/escan2.jpg

File C:\Programme\ArtMoney\Temp\adware.exe infected by "not-a-virus:AdWare.F1Organizer.h" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\*.*

File C:\WINDOWS\inst\3p_1.exe infected by "Trojan-Downloader.Win32.Agent.hw" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Und 44 weiter mit „Infected“ von dem Ordner File C:\System Volume Information

Zitat:

File C:\Programme\ArtMoney\Temp\adware.exe infected by "not-a-virus:AdWare.F1Organizer.h" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\inst\3p_1.exe infected by "Trojan-Downloader.Win32.Agent.hw" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Manuell im abgesicherten Modus bei deaktivierter Systemwiederherstellung löschen!
Lies dazu auch mal das.

So habe das jetzt so gemach

File C:\Programme\ArtMoney\Temp\adware.exe infected by "not-a-virus:AdWare.F1Organizer.h" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\inst\3p_1.exe infected by "Trojan-Downloader.Win32.Agent.hw" Virus. Action Taken: No Action Taken.

die zwei habe ich gelöscht!

File C:\Programme\FileSubmit\I Love 69 Babes\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\FileSubmit\I Love 69 Babes\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

die zwei konnte ich nicht mehr finden!
Aber ich bin mir sicher, das ich diesen Ordner gestern schon gelöscht habe, aber mich wundert es das diese immer noch angezeigt werden!