| |
| |||||||
Log-Analyse und Auswertung: Facebook-Virus als Bildschirmschoner getarnt. Komische Prozesse FA2.exe, 89FAC.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.11.2011, 21:04
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Facebook-Virus als Bildschirmschoner getarnt. Komische Prozesse FA2.exe, 89FAC.exe Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL
PRC - [2011.10.28 13:53:54 | 000,173,568 | ---- | M] () -- C:\Users\***\AppData\Roaming\CCCEA\89FAC.exe
PRC - [2011.10.28 13:51:12 | 000,190,976 | ---- | M] () -- C:\Program Files (x86)\EA3D4\lvvm.exe
PRC - [2011.10.28 13:26:28 | 000,283,136 | ---- | M] () -- C:\Program Files (x86)\LP\194C\FA2.exe
PRC - [2011.10.28 13:20:49 | 000,003,072 | ---- | M] (Microsoft Corporation) -- C:\Users\Rene\AppData\Local\Temp\8l3B22E.exe
MOD - [2011.10.28 13:53:54 | 000,173,568 | ---- | M] () -- C:\Users\***\AppData\Roaming\CCCEA\89FAC.exe
MOD - [2011.10.28 13:51:12 | 000,190,976 | ---- | M] () -- C:\Program Files (x86)\EA3D4\lvvm.exe
MOD - [2011.10.28 13:26:28 | 000,283,136 | ---- | M] () -- C:\Program Files (x86)\LP\194C\FA2.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:58141
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 58141
FF - prefs.js..network.proxy.type: 1
O4:64bit: - HKLM..\Run: [JAVA] C:\Windows\java.vbs ()
O4 - HKLM..\Run: [FA2.exe] C:\Program Files (x86)\LP\AC9C\FA2.exe ()
O4 - HKCU..\Run: [4Y3Y0C3A8W9V3WUIMQVRJNXS] C:\ftpuser\0EBD6955321.exe /q File not found
O20 - HKCU Winlogon: Shell - (C:\Users\***\AppData\Roaming\CCCEA\89FAC.exe) -C:\Users\Rene\AppData\Roaming\CCCEA\89FAC.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.07.19 17:54:48 | 000,360,448 | ---- | M] () - C:\Autorun.exe -- [ NTFS ]
O32 - Unable to obtain root file information for disk C:\
O33 - MountPoints2\{0c7a2e83-eb5b-11e0-aa8f-6c626de608d8}\Shell - "" = AutoRun
O33 - MountPoints2\{0c7a2e83-eb5b-11e0-aa8f-6c626de608d8}\Shell\AutoRun\command - "" = I:\BOOT.EXE
[2011.10.23 02:05:53 | 011,342,848 | ---- | C] (illusion) -- C:\AAEdit.exe
[2011.10.23 02:05:53 | 000,000,000 | ---D | C] -- C:\data
[2011.10.21 19:50:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\LP
[2011.10.19 16:55:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\AC9C
[2011.10.16 16:03:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\EA3D4
[2011.10.16 16:02:52 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\CCCEA
[2011.10.16 16:01:23 | 000,000,000 | RHSD | C] -- C:\Users\***\M-1-52-5782-8752-5245
:Commands
[emptytemp]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Facebook-Virus als Bildschirmschoner getarnt. Komische Prozesse FA2.exe, 89FAC.exe |
| ahnung, appdata, biete, bildschirmschoner, browser, downloads, dumme, explorer, facebook-virus, files, getarnt, icreinstall, interne, internet, internet explorer, komische, link, link geklickt, nachdenken, pornoseiten, problem, prozesse, roaming, temp, trojaner, variant, virus, win32/installcore.d, zufällig |
Linear-Darstellung
