Forum
Tipps
News
Menu-Icon

Virenfund mit eScan--Wie löschen?

Hallo zusmmen,
ich habe--nachdem eScan einige Viren gefunden hat--meinem PC neu formatiert. Danach habe ich nochmal mit eScan gescannt. Wieder die gleichen Funde! Was sind das für Funde, weiß jemand die Pfade vor allem von kraze.b?
Damit ich das manuell löschen kann.


 Hier die Funde:

Tue Nov 06 03:28:16 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Tue Nov 06 03:28:17 2007 => Loading Spyware Signatures from new External Database [Name: C:\WINDOWS\TEMP\spydb.avs, Size: 255868].
Tue Nov 06 03:28:58 2007 => Indexed Spyware Databases Successfully Created...
 
Tue Nov 06 03:29:03 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\OptionalComponents\winpopup !!!
Tue Nov 06 03:33:38 2007 => Object "winpopup Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Nov 06 03:33:40 2007 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: scanregistry !!!
Tue Nov 06 03:33:40 2007 => Object "kraze.b Virus" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Nov 06 03:33:42 2007 => Offending file found: C:\WINDOWS\TEMP\versatel\versatel\dialer\1.exe
Tue Nov 06 03:33:42 2007 => System found infected with topbrowsing Adware (1.exe)! Action taken: Keine Aktion vorgenommen.


Vielen Dank im voraus! :)
Gruß
Sternlilly
 



Antworten zu Virenfund mit eScan--Wie löschen?:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ich verstehe etwas an der sache nicht wenn du deinen pc formatierst können keinesfalles die viren verbleiben.
ich schätze du hast von einer bestimmten anzahl partitionen nur einen gelöscht das ist weniger schlau.
erstelle trotztdem mal ein logfile mit dem programm hijackthis.

luis

Hallo,
Partition formatiert ist Partition formatiert... ;)
Darin dürften sich keinerlei Schädlinge finden lassen,wenn die Formatierung korrekt gemacht wurde und nicht als Drüberinstallierung gelten muß.... ():-)

EScan ist eigentlich kein schlechtes rogramm.Es wird in den besseren Hilfeforen immer zur Analyse benutzt.
Da dort auch die besseren Experten zu Hause sind ,ist denen auch bekannt das EScan sehr viel findet, das Onlinescanner oder installierte A Programme nicht finden,es sind aber auch eine Menge Fehlalarme dabei... ::)
Diese Fehlalarme sind namentlich den Experten bekannt.
Ich kann dir daher auch versichern das es sich um selbige auch bei dir handelt.... 8)
Du kannst aber im Trojaner Board mal nachfragen,sollte dir meine Meinung nichtgenügen...
Sir Reklov
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Was ist hier mit: ???

Tue Nov 06 03:33:40 2007 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: scanregistry !!!
Tue Nov 06 03:33:40 2007 => Object "kraze.b Virus" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Siehe hier:
http://www.sophos.de/security/analyses/w32krazeb.html

Der pfad wo Escan das gefunden hat,ist der pfad der auch bei sophos steht.

Also meiner mein ung ist da was drauf.

gruß deniz

Hallo Leute...
danke für die Antworten. :)


@mastaluis:

Also eigentlich meine ich, daß ich richtig formatiere. Zuerst im BIOS die Boot-Reihenfolge "First Boot Device" auf "CD" gestellt. Danach neu gestartet mit der Recovery-CD. Aus dem Auswahlmenü " Mit CD-Rom-Unterstützung starten" gewählt, danach wartet der PC auf eine Eingabe die wie folgt aussieht:
D:
CD Win9x
Format C:
Dann noch bestätigen und es wird angezeigt, daß alle Daten auf der Festplatte (Laufwerk C) gelöscht werden. Habe ich eigentlich immer so gemacht. Ich hoffe doch, daß die gesamteKiste deleted wird  ;D


 Hier ist das Ergebnis von HiJack von heute online:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:10:26, on 08.11.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\Windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\VERSATEL\VERSATEL.EXE
C:\PROGRAMME\NETSCAPE\NAVIGATOR 9\NAVIGATOR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS202.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.Versatel.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Versatel.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\Windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\Windows\SYSTEM\KB891711\KB891711.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--
End of file - 2683 bytes

::::::::::::::::::::::.
:::::::::::::::::::::::::


@SirReklov: Ja kann sein. Bei meinen Recherchen habe ich auch erfahren, daß eScan schon mal vergeblich losmeckert.
Ich möchte dennoch sicher gehen, da ich vor dem Formatieren einige Schwierigkeiten hatte. (online--Pc nach 20-30 Min. ganz langsam---permanenter Zugriff auf das Laufwerk u.a.). Ja im Trojaner Board war ich auch, habe aber bis jetzt keine Antwort erhalten.

@ersguterjunge:
 

Zitat
Was ist hier mit: Huh

Tue Nov 06 03:33:40 2007 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: scanregistry !!!
Tue Nov 06 03:33:40 2007 => Object "kraze.b Virus" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 
Also den Eintrag-- hat mir auch schon jemand gesagt-- soll ich löschen, was ich auch gemacht habe.

Das Sophos Zeugs habe ich mal runtergeladen. Als ich das Prog. installieren wollte, hat es sich zwar entpackt, doch dann kamen ein paar mal komische Meldungen, wo nur ein Fragezeichen drauf war und wo ich mit ja oder nein bestätigen mußte. Hab´s wieder gelöscht.

 Zu den in Deinem Link angegebenen Pfaden! Dort steht:

 
Zitat
Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Kraze-B nach:

<Start>\WinZip Quick Pick.exe
\WINZIP_TMP.exe
<Windows>\Rundll16.exe
<Windows>\WINZIP_TMP.exe
<System>\scanregw.exe

Also aus Win Zip Quick Pick.exe und WINZIP_TMP.exe werd ich nich schlau. Rundll16.exe und scanregw.exe werden vom Windows Explorer gefunden (Start->Suchen->Dateien/Ordner). WINZIP_TMP.exe wird nich gefunden( Falls das überhaupt eine Datei ist).

 
Zitat
Er erstellt die folgenden Dateien:

<Benutzer>\Local Settings\Temp<Originaler Dateiname des Trojaners>
<Windows>\Tasks\At1.job - kann gelöscht werden
<Windows>\Tasks\At1.job - kann gelöscht werden

Wo Benutzer? Wo müßte ich denn da suchen? At1.job wurde nicht gefunden. Im Ordner Windows/TASKS befindet sich als job-Datei nur: PCHealth-Planer für die Zusammenstellung der Daten.job und Programmstart beschleunigen.job und DESKTOP.ini.

 
Zitat

Der folgende Registrierungseintrag wird erstellt, damit scanregw.exe beim Start ausgeführt wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry
scanregw.exe /scan

Der Eintrag war in der Registry vorhanden--habe ich bereits manuell gelöscht.Aber was ist mit der scanregw.exe die ich oben gefunden habe?

Nochmal danke
Gruss
Sternlilly

 

Hallo,
deine Schwierigkeiten vor dem Formatieren sind nach dem Formatieren keine mehr... ;D
Aus deiner Beschreibung sehe ich so mal keinen Fehler bei Format C.....
EScan und Windows ME sind keine glückliche Kombination...
Deshalb wird auch so manches Programm rumzicken....
Iss halt ein bissel alt dein BS... 8)
Du mußt darauf achten ob du mit Kompalitätsproblemen zu kämpfen hast...
Ich halte nach wie vor die Escan meldungen für kokolores... ;D
Windows ME kennt er nicht mehr...gut zu erkennen an dem pfadlosen Meldungen,ersguterjunge... ::) Wir zwei müssen uns mal dringend darüber unterhalten was ein Pfad ist und was nicht... ::)
Sir Reklov

Hallo...
thanx for responding.
Also Sir Reklov: Das ich mit meinem ollen BS im Abseits stehe, ist mir bewußt geworden, seitdem ich mit Netzwerkkarte on gehe. Ich hätte laaaange schon ME rausgeschmissen und auch meinen RAM erweitert, mit dem es auch nich so rosig aussieht.  :-\
Für meine Arbeiten hat es bis jetzt gereicht, habe mich auch nicht so ausgiebig drum gekümmert *zugeb*  :-X
Doch jetzt hat es auch nicht viel Sinn mehr, da ich in Kürze für mehrere Monate weg muß und den PC dann eh nicht mehr in Anspruch nehmen kann.

 Fakt ist jedoch:Ich habe beim durchchecken des Windows Ordners ein paar komische
Dateien und Ordner gefunden, nach denen ich mal mit der altbekannten Searchmachine gefahndet habe. Ergebnis u.a.=
http://www.internet-magazin.de/internet/cm/virenecke/show_sophos.php?id=3447]

Es handelte sich dabei um die Datei "rundl132.exe", die im Windows Ordner vorhanden ist. Ebenso wurde "Logo_1.exe" gefunden. Auch diese "desktop.ini" von denen im o.g Link zu lesen ist sind mehrfach da. Einmal im Windows-Ordner, dreimal in Windows/System (jeweils andere Schreibweise), einmal in Windows/Tasks, einmal in Windows/Recent und einmal in C:\Pogramme. Ich lese mal den Bericht genau, was zu tun ist. Komisch kommt`s mir doch vor. Weiterhin fängt die Kiste wieder mitunter fürchterlich zu schnaufen an. Dies liegt aber wohl eher an meinem begrenzten Arbeitsspeicher. Hier mal die Systeminfo:
[Systemübersicht]

Element   Wert   
Betriebssystemname   Microsoft Windows   
Version   4.90.3000   Build 3000   
Betriebssystemhersteller   Microsoft Corporation   
Systemname   FUJITSU SIEMENS   
Systemhersteller   Fujitsu Siemens   
Systemmodel   CW35-L   
Systemtyp   X86-based PC   
Prozessor   Intel(r) Celeron(tm) processor GenuineIntel ~635 MHz   
BIOS-Version   Award Modular BIOS v6.00PG   
Windows-Verzeichnis   C:\WINDOWS   
Systemverzeichnis   C:\WINDOWS\SYSTEM   
Startgerät   \\Device\Harddisk0   
Gebietsschema   Germany   
Benutzername      
Zeitzone   (MEZ) Mitteleuropäische Zeit   
Gesamter realer Speicher   62,44 MB   
Verfügbarer realer Speicher   1,80 MB   
Gesamter virtueller Speicher   2,00 GB   
Verfügbarer virtueller Speicher   1,81 GB   
Auslagerungsdateispeicher   1,94 GB   
Auslagerungsdatei   C:\WINDOWS\WIN386.SWP

:::::::::
Ich habe nach dem Formatieren nur ein paar Programme drauf (Sygate, Aborange, Netscape, FilZip, Photo Filtre, Adobe, HiJack, Versatel). Den Rest meiner Dateien und Progs habe ich auf USB-Stick.

Vorrangig mache ich mir jetzt erst mal über die rundl132.exe und das andere Zeug Sorgen.

Tschüß
SternLilly  :)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@Sir Reklov ich glaube nicht das ich mit DIR reden müsste!!!!


« AntiVir - welche Datei für Überprüfung??IE Starseite und Dialer Frage »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Wiederherstellungspunkt
Siehe Systemwiederherstellung. ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...

Spyware
Als Spyware bezeichnet man Programme, Dateien und Funktionen, die Daten über das Surfverhalten an den Hersteller der Spyware verschicken. Meistens kommen diese Anh&a...