Trojaner-Board - System neu aber gleich wieder verseucht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - System neu aber gleich wieder verseucht (https://www.trojaner-board.de/21741-system-neu-gleich-verseucht.html)

System neu aber gleich wieder verseucht

Hallo!

Ich glaube ich habe da einen riesen Fehler gemacht. Mein Rechner hat zwei Platten. Die C: auf der ist das BS und die J: auf der sind eigene Dateien.
Wenn ich formatiert habe, dann habe ich immer nur C: formatiert, J: nicht.
Gestern habe ich neu eingerichtet. eScan hat aber ergeben, dass der Rechner verseucht ist. Der Virenscanner hat nichts gefunden. Das Hijackthis Log ist auch clean. AdAware hat was gefunden. Danach habe ich neu gestartet und nochmal gescannt. Wieder was gefunden. Dann eScan:

Mon Sep 12 13:56:33 2005 => Total Objects Scanned: 111990
Mon Sep 12 13:56:33 2005 => Total Virus(es) Found: 179
Mon Sep 12 13:56:33 2005 => Total Disinfected Files: 0
Mon Sep 12 13:56:33 2005 => Total Files Renamed: 0
Mon Sep 12 13:56:33 2005 => Total Deleted Objects: 0
Mon Sep 12 13:56:33 2005 => Total Errors: 29
Mon Sep 12 13:56:33 2005 => Time Elapsed: 01:45:38
Mon Sep 12 13:56:33 2005 => Virus Database Date: 2005/09/09
Mon Sep 12 13:56:33 2005 => Virus Database Count: 148428

Mon Sep 12 13:56:33 2005 => Scan Completed.

Wie werde ich das wieder los?

Bis auf weiteres werde ich die Virenschleuder von Netz nehmen und einen anderen Rechner benutzen.

Hallo, pumuckl!
Möglicherweise treibt sich ein Kobold auf Deinem PC herum :D
Aber

Zitat:

Mon Sep 12 13:56:33 2005 => Total Virus(es) Found: 179

Wo findet escan denn die Bande!
Poste das Ergebnis von haui45´s find.bat auch ganz.
Cu, stupormundi

Zitat:

Zitat von stupormundi

Möglicherweise treibt sich ein Kobold auf Deinem PC herum :D

Der war gut!

Der Kobold ist mir auf den Leim gegangen. Fast alle der Viren habe ich schon gelöscht. Sie waren in der Datenplatte J:
Die Platte war mal mit WIN 98 eine C: Platte. Dort waren sie im Ordner Infected gespeichert.

Dann wären da nur noch die paar in C:
Der neue Scan läuft noch. Wenn er fertig ist, poste ich das Ergebnis.

Jetzt sind es bedeutend weniger:

Mon Sep 12 22:25:16 2005 => ***** Scanning complete. *****
Mon Sep 12 22:25:16 2005 => Total Objects Scanned: 111618
Mon Sep 12 22:25:16 2005 => Total Virus(es) Found: 10
Mon Sep 12 22:25:16 2005 => Total Disinfected Files: 0
Mon Sep 12 22:25:16 2005 => Total Files Renamed: 0
Mon Sep 12 22:25:16 2005 => Total Deleted Objects: 0
Mon Sep 12 22:25:16 2005 => Total Errors: 30
Mon Sep 12 22:25:16 2005 => Time Elapsed: 01:43:15
Mon Sep 12 22:25:16 2005 => Virus Database Date: 2005/09/09
Mon Sep 12 22:25:16 2005 => Virus Database Count: 148428

Object "RedV Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\Dokumente und Einstellungen\Richard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\hijackthis.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" refers to invalid object "C:\Programme\VIA Technologies, Inc.\USB 2.0 Setup program\yourapp.Exe". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".msf". Action Taken: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000183.dll tagged as "not-a-virus:AdWare.Aureate.a". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000184.exe tagged as "not-a-virus:AdWare.Aureate.a". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000185.dll tagged as "not-a-virus:AdWare.Aureate.a". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000186.dll tagged as "not-a-virus:AdWare.Aureate.a". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000187.exe tagged as "not-a-virus:AdWare.EZula.p". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000188.exe tagged as "not-a-virus:AdWare.SaveNow.aa". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000189.exe tagged as "not-a-virus:AdWare.Gator.2001". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000190.exe tagged as "not-a-virus:AdWare.EZula.p". Action Taken: No Action Taken.
File J:\System Volume Information\_restore{8B6B368D-71CF-4217-B29E-CFBBD4FC4D28}\RP1\A0000191.exe tagged as "not-a-virus:AdWare.SaveNow.aa". Action Taken: No Action Taken.

Eigentlich hatte ich mit weniger gerechnet. Alle in J: hatte ich entferrnt. Wo komme die Viecher bloß her?

Deaktiviere die Systemwiederherstellung, Neustart, Systemwiederherstellung wieder aktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Bereinige anschließend deine Registry mit Regseeker .
Lösche auch mittels CleanUp von Zeit zu Zeit mal deine temporären Dateien.

Hallo,
sind in der Systemwiederherstellung, einfach Rechtsklick auf J:\ Eigenschaften>>Bereinigen Karteikarte "weitere Optionen" Systemwiederherstellung dort auf bereinigen.
Den Eintrag
Object "RedV Spyware/Adware" found in File System! Action Taken: No Action Taken.
kann ich nicht direkt zuordnen, sollte aber kein Eintag unter systemsteuerung>>Software der redv oder redv protector heißt sein, denke ich das es ein Fehlalarm ist.
Die anderen Einträge sind ja nur Fehler, also sicherheitstechnisch harmlos, lassen sich aber beispielsweise mit Regseeker(auf eigene Gefahr) bereinigen.

Grüße Wildone

RedV hatte ich übersehen, glaube allerdings, dass es sich um einen Fehlalarm handelt.
Kannst das System aber noch zusätzlich mit Adaware und Spybot scannen, die sollten das auf jeden Fall erkennen.

Zitat:

Zitat von Wildone

Hallo,
sind in der Systemwiederherstellung, einfach Rechtsklick auf J:\ Eigenschaften>>Bereinigen Karteikarte "weitere Optionen" Systemwiederherstellung dort auf bereinigen.
Grüße Wildone

Bei mir kommt beim Rechtsklick "Direkthilfe"

Wenn alle Einträge Fehlalarm sind, kann ich es doch auch lassen?
AdAware hat diesmal nichts mehr gefunden. Aber Spybot hat 4 Probleme angezeit. Die habe ich gelöscht.

Nach einen Neustart und einen erneuten Scan mit Spybot wurde nichts mehr gefunden. Ist das System clean und die Sache erledigt oder soll ich weitere Scans ausführen?

Hallo, pumuckl!

Zitat:

Nach einen Neustart und einen erneuten Scan mit Spybot wurde nichts mehr gefunden. Ist das System clean und die Sache erledigt oder soll ich weitere Scans ausführen?

Da die letzten Funde alle in der Systemwiederherstellung waren und Du die Systemwiederherstellungspunkte nach cronos´ Anleitung gelöscht hast, sind zumindest diese Probleme vorerst gelöst!
Weitere Scans?- Nun, ein regelmäßiger Check mit zB. escan mit aktuellen Signaturen kann nie schaden, aber wenn Du die hier im board empfohlenen Tipps zum sicheren Surfen beherzigst und Dein System wie auch deinen Hintergrundvirenscanner immer aktuell hältst, solltest Du halbwegs sicher sein.
Bis denn, stupormundi

OK, vielen Dank an alle die geholfen haben!
Von mir aus kann das Thema geschlossen werden.