Trojaner-Board - C:\WINDOWS\system32\w?nword.exe ?????

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - C:\WINDOWS\system32\w?nword.exe ????? (https://www.trojaner-board.de/16846-c-windows-system32-w-nword-exe.html)

C:\WINDOWS\system32\w?nword.exe ?????

Hallo.

Also als erstes möchte ich anmerken, dass ich sehr wenig Ahnung auf dem Gebiet habe! :dummguck:
Fürchte ich hab mir einen Trojaner eingefangen.
Ad-Aware zeigt mir folgende Datei an, kann sie aber nicht entfernen:
C:\WINDOWS\system32\w?nword.exe

Anti-Vir und Spybot finden gar nichts und ich kann diese Datei auch nicht finden.
Kann mir jemand weiterhelfen??
Vielen Dank schon mal im voraus!

Gruß

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Hallo.

vielen Dank erstmal!
hab den Trojaner jetzt mit TrojanWatch wegbekommen, aber weiß nicht, ob ich nicht doch noch andere habe.
Werde nicht schlau aus dem Logfile...
Hier das Logfile:

ogfile of HijackThis v1.99.1
Scan saved at 17:13:42, on 21.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Name\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {24E8ED5E-5CBC-7E60-9A69-58A7183BC5B7} - C:\WINDOWS\System32\snfvurl.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {626C92B9-2407-5080-2FE2-7595CAD1DFE5} - C:\WINDOWS\System32\smycmblw.dll (file missing)
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.133
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hallo,

Starte den PC im abgesicherten Modus.

Fixe mit HijackThis (scannen, Haken setzen und "fix checked" anklicken):

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {24E8ED5E-5CBC-7E60-9A69-58A7183BC5B7} - C:\WINDOWS\System32\snfvurl.dll (file missing)
O2 - BHO: (no name) - {626C92B9-2407-5080-2FE2-7595CAD1DFE5} - C:\WINDOWS\System32\smycmblw.dll (file missing)
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)

O13 - WWW. Prefix: http://ehttp.cc/?

O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de

O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.133
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuit.../ITDetector.cab

Lösche manuell im Windows-Explorer:
c:\x.cab (falls vorhanden)

Scanne mit Spybot S&D.

Führe ferner dies aus:
Lade eScan herunter und scanne das System gemäß dieser Anleitung im abgesicherten Modus (alternativer Downloadlink).
Wichtig: Arbeite die einzelnen Schritte der Anleitung aufmerksam ab. eScan muss ins Verzeichnis c:\bases_x entpackt werden, die Haken müssen so, wie es auf den Bildern zu sehen ist, gesetzt sein.
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

MfG Haui

Ok, hab jetzt jetzt soweit alles gemacht.
Datei C:\x.cab war nicht vorhanden.
Habe mit Spybot gescannt, war alles ok.

Anschließend hab ich das System mit eScan gemäß der Anleitung im abgesicherten Modus gescannt (hat noch einige befallene Dateien gefunden), konnte allerdings die Datei C:\eScan_neu.txt nicht auf meiner Festplatte finden......

Zitat:

konnte allerdings die Datei C:\eScan_neu.txt nicht auf meiner Festplatte finden......

Du musst die Datei http://www.media-folders.de/user/Haui/Find.bat auf deiner Festplatte speichern (Rechtsklick auf den Link und "Ziel speichern unter..." klicken). Führe diese Datei aus und du wirst eScan_neu.txt direkt auf c: finden ;)

hm...will ja nicht nervig werden, aber ich hab die Datei immer noch nicht.
ich scann nochmal mit escan drüber, vielleicht hab ich ja was falsch gemacht dabei.

Die Datei wird nur nicht erstellt, wenn du eScan falsch ausgeführt hast. eScan MUSS im Verzeichnis c:\bases_x laufen!

ok, hat jetzt geklappt.

hier das logfile:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 23 18:48:10 2005 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken.
Sat Apr 23 18:48:10 2005 => File System Found infected by "peopleonpage Spyware/Adware" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:48:14 2005 => File C:\WINDOWS\sideb.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:48:14 2005 => File C:\WINDOWS\toolband.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:50:00 2005 => File C:\DOKUME~1\J\LOKALE~1\Temp\ICD1.tmp\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:50:07 2005 => File C:\DOKUME~1\J\LOKALE~1\Temp\temp.fr1058 infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:50:34 2005 => File C:\DOKUME~1\J\LOKALE~1\TEMPOR~1\Content.IE5\77D9LH5A\TLBAss012345678[1].txt infected by "Trojan-Dropper.Win32.Small.pb" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:50:53 2005 => File C:\DOKUME~1\J\LOKALE~1\TEMPOR~1\Content.IE5\E309AH89\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdWare.MediaTickets.d" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:51:00 2005 => File C:\DOKUME~1\J\LOKALE~1\TEMPOR~1\Content.IE5\GTMROD27\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdWare.MediaTickets.d" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:51:05 2005 => File C:\DOKUME~1\J\LOKALE~1\TEMPOR~1\Content.IE5\HB7TVL7W\send_car_int[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:53:36 2005 => Scanning Folder: C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\INFECTED\*.*
Sat Apr 23 18:55:19 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temp\ICD1.tmp\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:55:22 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temp\temp.fr1058 infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:55:42 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temporary Internet Files\Content.IE5\77D9LH5A\TLBAss012345678[1].txt infected by "Trojan-Dropper.Win32.Small.pb" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:55:56 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E309AH89\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdWare.MediaTickets.d" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:56:01 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTMROD27\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdWare.MediaTickets.d" Virus. Action Taken: No Action Taken.
Sat Apr 23 18:56:05 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HB7TVL7W\send_car_int[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:05:05 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Apr 23 19:20:26 2005 => File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "Trojan-Downloader.Win32.Zdesnado.gen" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:21:56 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP49\A0010021.exe infected by "not-a-virus:AdWare.PurityScan.ai" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:22:05 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP49\A0010204.dll infected by "Trojan-Downloader.Win32.PurityScan.o" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:22:05 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP49\A0010208.exe infected by "not-a-virus:AdWare.PurityScan.ag" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:22:18 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP49\A0010565.dll infected by "not-a-virus:AdWare.PurityScan.ak" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:24:41 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:24:42 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:24:42 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:24:42 2005 => File C:\WINDOWS\Downloaded Program Files\load.exe infected by "Trojan-Downloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:24:42 2005 => File C:\WINDOWS\Downloaded Program Files\v3.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.s" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:24:42 2005 => File C:\WINDOWS\Downloaded Program Files\xxx.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:35:19 2005 => File C:\WINDOWS\sideb.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:40:19 2005 => File C:\WINDOWS\system32\MSOffice\services.exe infected by "Trojan-Downloader.Win32.Zdesnado.gen" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:41:43 2005 => File C:\WINDOWS\toolband.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:41:47 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 23 19:21:54 2005 => File C:\Programme\YDKJ\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 23 19:41:47 2005 => Total Virus(es) Found: 30
Sat Apr 23 19:41:47 2005 => Total Errors: 37
Sat Apr 23 19:41:47 2005 => Time Elapsed: 00:54:18
Sat Apr 23 19:41:47 2005 => Total Objects Scanned: 70622
Sat Apr 23 18:47:15 2005 => Virus Database Date: 2005/04/20
Sat Apr 23 19:41:47 2005 => Virus Database Date: 2005/04/20
Sat Apr 23 19:41:59 2005 => Virus Database Date: 2005/04/20
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

@J.H.
leere deine TIFs
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

lade Adaware und spybot

spybotdownload
adawaredownload
beide progamme updaten.
systemwiederherstellung deaktivieren, in den abgesicherten modus wechslen

spybot und adaware nacheinander laufen lassen, löschen was beide vorschlagen.
alle übrige einträge manuell löschen, d.h. alle einträge wo kein Temp oder system restore in der name vorkommt.
neu booten, systemwiederherstellung aktivieren.
system und IE unbedingt updaten, und surfverhalten mal überdenken.
chaosman

Erstmal vielen Dank für die Hilfe an alle bis hierhin!!!!

hab jetzt soweit alles gemacht, konnte allerdings nicht alle Dateien finden.
Gibt es eine Möglichkeit die auch noch zu beseitigen?

Sat Apr 23 19:21:56 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP49\A0010021.exe infected by "not-a-virus:AdWare.PurityScan.ai" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:22:05 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP49\A0010204.dll infected by "Trojan-Downloader.Win32.PurityScan.o" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:22:05 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP49\A0010208.exe infected by "not-a-virus:AdWare.PurityScan.ag" Virus. Action Taken: No Action Taken.
Sat Apr 23 19:22:18 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP49\A0010565.dll infected by "not-a-virus:AdWare.PurityScan.ak" Virus. Action Taken: No Action Taken.

@J.H.

systemwiederherstellung deaktivieren, neu booten, systemwiederherstellung aktivieren

chaosman

ok, ist auch erledigt.
soll ich nochmal scannen ?

Erstelle bitte einen neuen Log von Hijackthis und poste in hier.

hier das neue logfile:

ogfile of HijackThis v1.99.0
Scan saved at 21:37:49, on 23.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\hjt\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted IP range: (HKLM)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Windows updaten!

Diesen Eintrag noch fixen:
O15 - Trusted IP range: (HKLM)

Die alte mwav.log löschen, eScan updaten und erneut scannen.

Fixxe den O15 Eintrag und gehe dann wie folgt vor:

http://www.trojaner-board.de/showthr...9&page=4&pp=10

Dann bitte System updaten.
Service Pack 2 downloaden: http://www.microsoft.com/downloads/d...DisplayLang=de
installieren.
Danach www.windowsupdate.com besuchen.

Hab den Eintrag jetzt gefixt und eScan update ist auch gemacht.
den Rest muss ich morgen machen, hab keine Zeit heute!

So, Windows ist jetzt aktualisiert, habe jetzt das "Windows-Sicherheitscenter".
Das habt ihr doch gemeint, oder??

Ich lass nochmal eScan laufen und poste den Log später am Abend.

so, hier der aktuelle Log von Escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 26 18:59:28 2005 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken.
Tue Apr 26 18:59:28 2005 => File System Found infected by "peopleonpage Spyware/Adware" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:01:32 2005 => File C:\DOKUME~1\J\LOKALE~1\TEMPOR~1\Content.IE5\77D9LH5A\TLBAss012345678[1].txt infected by "Trojan-Dropper.Win32.Small.pb" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:01:46 2005 => File C:\DOKUME~1\J\LOKALE~1\TEMPOR~1\Content.IE5\E309AH89\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdWare.MediaTickets.d" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:01:51 2005 => File C:\DOKUME~1\J\LOKALE~1\TEMPOR~1\Content.IE5\GTMROD27\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdWare.MediaTickets.d" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:03:58 2005 => Scanning Folder: C:\Dokumente und Einstellungen\Jochen\Eigene Dateien\INFECTED\*.*
Tue Apr 26 19:05:46 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temporary Internet Files\Content.IE5\77D9LH5A\TLBAss012345678[1].txt infected by "Trojan-Dropper.Win32.Small.pb" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:05:57 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E309AH89\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdWare.MediaTickets.d" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:06:00 2005 => File C:\Dokumente und Einstellungen\J\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTMROD27\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdWare.MediaTickets.d" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:14:51 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Apr 26 19:38:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:38:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:38:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:38:37 2005 => File C:\WINDOWS\Downloaded Program Files\load.exe infected by "Trojan-Downloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:38:37 2005 => File C:\WINDOWS\Downloaded Program Files\v3.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.s" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:38:37 2005 => File C:\WINDOWS\Downloaded Program Files\xxx.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
Tue Apr 26 19:58:02 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 26 19:31:21 2005 => File C:\Programme\YDKJ\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Apr 26 19:35:17 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP5\A0004206.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 26 19:58:02 2005 => Total Virus(es) Found: 15
Tue Apr 26 19:58:02 2005 => Total Errors: 37
Tue Apr 26 19:58:02 2005 => Time Elapsed: 00:59:26
Tue Apr 26 19:58:02 2005 => Total Objects Scanned: 73314
Tue Apr 26 18:57:31 2005 => Virus Database Date: 2005/04/25
Tue Apr 26 18:58:30 2005 => Virus Database Date: 2005/04/25
Tue Apr 26 19:58:02 2005 => Virus Database Date: 2005/04/25
Tue Apr 26 19:58:11 2005 => Virus Database Date: 2005/04/25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hab in den Ordnern geguckt um sie manuell zu löschen, kann die angezeigten Datein aber nicht finden!

Im abgesicherten Modus die TIFs löschen:
Im IE-> Extras-> Internetoptionen-> Allgemein-> Verlauf leeren + Cookies löschen + Dateien löschen (auch Offlineinhalte)

Zitat:

C:\WINDOWS\Downloaded Program Files

Zum löschen bitte das lesen.

Dialer zwecks Beweissicherung evtl. auf Diskette speichern.

Hallo.

hab den Total Commander runtergeladen, die Downloaded Program Files gelöscht und den Commander wieder entfernt.

Ich hab keinen IE, sondern Mozilla Firefox, hab da jetzt aber die Cookies gelöscht und den Verlauf geleert.

soll ich eScann nochmal neu downloaden und drüberlaufen lassen??

Du hast den IE mit Sicherheit auf deinem System ;)
Ob du ihn benutzt oder nicht, spielt erst mal keine Rolle.

=> Leere den Cache des IE, entweder manuell oder mit www.clearprog.de, lösche die alte mwav.log und scanne zum Abschluss erneut mit eScan (vorher updaten)

So, Chache des IE ist jetzt gelöscht.

Hab nochmal gescannt mit folgendem Ergebniss:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 28 18:31:30 2005 => Scanning Folder: C:\Dokumente und Einstellungen\J\Eigene Dateien\INFECTED\*.*
Thu Apr 28 18:41:33 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Apr 28 20:50:36 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP5\A0004253.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
Thu Apr 28 20:50:36 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP5\A0004256.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Thu Apr 28 20:50:36 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP5\A0004257.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
Thu Apr 28 20:50:36 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP5\A0004264.exe infected by "Trojan-Downloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
Thu Apr 28 20:50:37 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP5\A0004267.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.s" Virus. Action Taken: No Action Taken.
Thu Apr 28 20:50:37 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP5\A0004268.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
Thu Apr 28 21:14:37 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 28 20:46:43 2005 => File C:\Programme\YDKJ\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Apr 28 20:50:33 2005 => File C:\System Volume Information\_restore{17A26BE3-43D4-4DAB-BD44-5786AE4203FC}\RP5\A0004206.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 28 21:14:37 2005 => Total Virus(es) Found: 8
Thu Apr 28 21:14:37 2005 => Total Errors: 36
Thu Apr 28 21:14:37 2005 => Time Elapsed: 02:45:58
Thu Apr 28 21:14:37 2005 => Total Objects Scanned: 69981
Thu Apr 28 18:27:34 2005 => Virus Database Date: 2005/04/27
Thu Apr 28 21:14:37 2005 => Virus Database Date: 2005/04/27
Thu Apr 28 21:16:43 2005 => Virus Database Date: 2005/04/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Kann den Ordner C.\System Volume Information nicht finden. WEnn ich über "Suchen" gehe, wird mit angezeigt, dass ich keine Berechtigung habe auf diesen Ordner zu zugreifen.

Systemwiederherstellung deaktivieren-> PC ausschalten-> kurz warten-> Neustart

ok, hab ich gemacht. systemwiederherstellung danach wieder aktivieren oder?
Ist die Frage erlaubt was das bewirkt?

Zitat:

Zitat von J.H.

ok, hab ich gemacht. systemwiederherstellung danach wieder aktivieren oder?
Ist die Frage erlaubt was das bewirkt?

Aktivieren oder nicht musst Du entscheiden. Ich lass sie aus. Im Zweifel wird sie nicht funktionieren, da sind Image-Programme sinnvoller.

Durch das Deaktivieren werden die Dateien in der SWH gelöscht.

Gruß :daumenhoc
Yopie

So, dann möchte ich mich bei allen bedanken die sich Zeit genommen haben und mir hier geholfen haben!!