|
Trojaner im Ordner System Volume Information Hallo, habe seit einiger Zeit Probleme mit einem Trojaner. eTrust zeigt ihn mir als Win32.Winshow.S trojan an. Im Ordner System Volume Information. eTrust kann ihn offenbar aber nicht beseitigen. Wenn ich das System anschließend scanne (eTrust + Kaspersky) ist der Trojaner nicht aufzufinden. Habe mal ein logfile mit hijack this erstellt. Weiß jemand Rat? Vielen Dank Logfile of HijackThis v1.98.2 Scan saved at 13:30:42, on 14.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Alwil Software\Avast4\aswUpdSv.exe D:\EZArmor\ETRUST~1\VetTray.exe D:\Kaspersky\Kaspersky.AV.Personal.Pro\avpcc.exe D:\Kaspersky\Kaspersky.AV.Personal.Pro\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\VetMsgNT.exe D:\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Dirk\Eigene Dateien\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VetTray] d:\EZArmor\ETRUST~1\VetTray.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab |
Hallo, Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Deaktiviere die Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html , wechsle in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und scanne mit eScan (mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken), danach Neustart und die Virus Log Information des eScan posten. |
Zitat:
|
@ *Christian* :daumenhoc Hatte ich übersehen, merci. |
Hallo, vielen Dank für die schnelle Antwort. eScan hat leider auch nichts gefunden. Hilft es vielleicht weiter wenn ich hinzufüge, dass das Problem nur auftritt wenn ich den Rechner aus dem Schlafmodus hole? Und dies leider auch nicht zuverlässig, sondern nur ab und zu... Da das gesamte log file wohl zu lang ist hier nur Auszüge: Wed Sep 15 09:48:54 2004 => ********************************************************** Wed Sep 15 09:48:54 2004 => eScan AntiVirus Toolkit Utility. Wed Sep 15 09:48:54 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc. Wed Sep 15 09:48:54 2004 => ********************************************************** Wed Sep 15 09:48:54 2004 => Version 4.4.7 Wed Sep 15 09:48:54 2004 => Log File: C:\bases\mwav.log Wed Sep 15 09:48:54 2004 => Database Path in KL Key: C:\Programme\Gemeinsame Dateien\KAV Shared Files\Bases. Wed Sep 15 09:48:55 2004 => Latest Date of files in KL key: 13 Sep 2004 09:01:48. Wed Sep 15 09:48:55 2004 => Latest Date of files inside MWAV: 15 Sep 2004 08:11:11. Wed Sep 15 09:49:02 2004 => AV Library Loaded... Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavss.exe Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\Getvlist.exe Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavss.dll Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavssdi.dll Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavssi.dll Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavvlg.dll Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\msvlclnt.dll Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\ipc.dll Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\main.avi Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\virus.avi Wed Sep 15 09:49:03 2004 => Virus Database Date: 2004/09/15 Wed Sep 15 09:49:03 2004 => Virus Database Count: 103948 Wed Sep 15 09:49:24 2004 => ********************************************************** Wed Sep 15 09:49:24 2004 => eScan AntiVirus Toolkit Utility. Wed Sep 15 09:49:24 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc. Wed Sep 15 09:49:24 2004 => Wed Sep 15 09:49:24 2004 => Support: support@mwti.net Wed Sep 15 09:49:24 2004 => Web: http://www.mwti.net Wed Sep 15 09:49:24 2004 => ********************************************************** Wed Sep 15 09:49:24 2004 => Version 4.4.7 Wed Sep 15 09:49:24 2004 => Log File: C:\bases\mwav.log Wed Sep 15 09:49:24 2004 => Database Path in KL Key: C:\Programme\Gemeinsame Dateien\KAV Shared Files\Bases. Wed Sep 15 09:49:24 2004 => Latest Date of files in KL key: 13 Sep 2004 09:01:48. Wed Sep 15 09:49:24 2004 => Latest Date of files inside MWAV: 15 Sep 2004 08:11:11. Wed Sep 15 09:49:24 2004 => Options Selected by User: Wed Sep 15 09:49:24 2004 => Memory Check: Enabled Wed Sep 15 09:49:24 2004 => Registry Check: Enabled Wed Sep 15 09:49:24 2004 => StartUp Folder Check: Enabled Wed Sep 15 09:49:24 2004 => System Folder Check: Enabled Wed Sep 15 09:49:24 2004 => System Area Check: Disabled Wed Sep 15 09:49:24 2004 => Services Check: Enabled Wed Sep 15 09:49:24 2004 => Drive Check Option Disabled Wed Sep 15 09:49:24 2004 => Scanning Type: Scan And Clean Wed Sep 15 09:49:24 2004 => Folder Check: Disabled Wed Sep 15 09:49:24 2004 => ***** Scanning Memory Files ***** Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\services.exe Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\lsass.exe Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\svchost.exe Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\svchost.exe Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\Explorer.EXE Wed Sep 15 09:49:24 2004 => Scanning File C:\bases\mwavscan.com Wed Sep 15 09:49:25 2004 => Scanning File C:\bases\kavss.exe Wed Sep 15 09:49:25 2004 => ***** Scanning Registry Files ***** Wed Sep 15 09:49:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Wed Sep 15 09:49:25 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction *** Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**] Wed Sep 15 09:49:25 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction *** Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**] Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\System32\webcheck.dll Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\System32\stobject.dll Wed Sep 15 09:49:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects Wed Sep 15 09:49:25 2004 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll Wed Sep 15 09:49:25 2004 => Scanning File D:\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.DLL Wed Sep 15 09:49:25 2004 => {53707962-6F74-2D53-2644-206D7942484F} = D:\SPYBOT~1\SDHelper.dll Wed Sep 15 09:49:25 2004 => Scanning File D:\SPYBOT~1\SDHelper.dll Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\Explorer.exe Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\system32\userinit.exe Wed Sep 15 09:49:26 2004 => Scanning HKCU\Control Panel\Desktop Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\System32\logon.scr Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Wed Sep 15 09:49:26 2004 => Scanning File d:\EZArmor\ETRUST~1\VetTray.exe Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Wed Sep 15 09:49:26 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Wed Sep 15 09:49:27 2004 => Scanning HKCR\txtfile\shell\open\command Wed Sep 15 09:49:27 2004 => Scanning HKCR\comfile\shell\open\command Wed Sep 15 09:49:27 2004 => Scanning HKCR\exefile\shell\open\command Wed Sep 15 09:49:27 2004 => Scanning HKCR\dllfile\shell\open\command Wed Sep 15 09:49:27 2004 => Scanning HKCR\batfile\shell\open\command Wed Sep 15 09:49:27 2004 => Scanning HKCR\piffile\shell\open\command Wed Sep 15 09:49:27 2004 => Scanning HKCR\scrfile\shell\open\command Wed Sep 15 09:49:27 2004 => Scanning HKCR\scrfile\shell\config\command Wed Sep 15 09:49:27 2004 => Scanning HKCR\regfile\shell\open\command Wed Sep 15 09:49:27 2004 => ***** Scanning StartUp Folders ***** Wed Sep 15 09:49:27 2004 => ***** Scanning C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart Folder ***** Wed Sep 15 09:49:27 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart\*.* Wed Sep 15 09:49:27 2004 => Scanning File C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart\desktop.ini Wed Sep 15 09:49:27 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder ***** Wed Sep 15 09:49:27 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.* Wed Sep 15 09:49:27 2004 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini Wed Sep 15 09:52:51 2004 => ***** Checking for specific ITW Viruses ***** Wed Sep 15 09:52:52 2004 => Checking for Welchia Virus... Wed Sep 15 09:52:52 2004 => Checking for LovGate Virus... Wed Sep 15 09:52:52 2004 => Checking for CodeRed Virus... Wed Sep 15 09:52:52 2004 => Checking for OpaServ Virus... Wed Sep 15 09:52:52 2004 => Checking for Sobig.e Virus... Wed Sep 15 09:52:52 2004 => Checking for Winupie Virus... Wed Sep 15 09:52:52 2004 => Checking for Swen Virus... Wed Sep 15 09:52:52 2004 => Checking for JS.Fortnight Virus... Wed Sep 15 09:52:52 2004 => Checking for Novarg Virus... Wed Sep 15 09:52:52 2004 => Checking for Pagabot Virus... Wed Sep 15 09:52:52 2004 => Checking for Parite.b Virus... Wed Sep 15 09:52:52 2004 => Checking for Parite.a Virus... Wed Sep 15 09:52:52 2004 => ***** Scanning complete. ***** Wed Sep 15 09:52:52 2004 => Total Number of Files Scanned: 2109 Wed Sep 15 09:52:52 2004 => Total Number of Virus(es) Found: 0 Wed Sep 15 09:52:52 2004 => Total Number of Disinfected Files: 0 Wed Sep 15 09:52:52 2004 => Total Number of Files Renamed: 0 Wed Sep 15 09:52:52 2004 => Total Number of Deleted Files: 0 Wed Sep 15 09:52:52 2004 => Total Number of Errors: 1 Wed Sep 15 09:52:52 2004 => Time Elapsed: 00:03:27 Wed Sep 15 09:52:52 2004 => Virus Database Date: 2004/09/15 Wed Sep 15 09:52:53 2004 => Virus Database Count: 103948 Wed Sep 15 09:52:53 2004 => Scan Completed. Wed Sep 15 09:53:21 2004 => Virus Database Date: 2004/09/15 Wed Sep 15 09:53:21 2004 => Virus Database Count: 103948 Wed Sep 15 09:53:27 2004 => AV Library Unloaded (3)... |
habt ihr euer problem lösen können !??? wenn nicht schreibt es !! der weg ist sehr unterschiedlich .... daher erst mal nur in kurzform : Der eigentliche virus ist weg !!!! er würde nur wieder aktiv wenn ihr eine systemwiederherstellung macht !!!!!! also SOLLTE man(n) schon etwas unternehmen den eintrag zu entfernen ... alleine schon wegen den lästigen meldungen ... :koch: |
Wenn wie von Cidre beschrieben mit der Systemwiederherstellung verfahren wird, sind alle alten Wiederherstellungspunkte gelöscht inklusive des Schädlings, eine Wiederherstellung kann ihn also auch nicht mehr zurückbringen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:44 Uhr. |
Copyright ©2000-2024, Trojaner-Board