| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virus/Fake AV lässt sich nicht entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.05.2012, 08:48
| #1 |
| |  Virus/Fake AV lässt sich nicht entfernen Guten Tag ihr Profis :-) Zu meiner Situation: Ich bin in einer kleinen Firma tätig und eine Kollegin hat es hinbekommen, über eine Webseite sich mit dem Fake AV zu infizieren. Das Programm hat sich deinstallieren lassen. Der Virenscanner findet Infektionen und behebt diese, allerdings sind sie nach kurzer Zeit schon wieder da und das Virenprogramm schlägt Alarm, dass es eine infizierte Adware in einer *.dll Datei findet (C:\Windows\....). Das Problem ist natürlich, dass dies ein Geschäftspc ist und ich nicht viel installieren kann. Deshalb hoffe ich, dass meine Angabe für euch ausreichend sind. Folgende Vorarbeit wurde geleistet: - Panda Desktop Security Virenprogramm mehrmals durchlaufen lassen - Spybot - Search and Destroy (Bei bereits eingeloggtem PC und nicht im abgesicherten Modus) - Malwarebytes Anti-Malware In den abgesicherten Modus kann ich mich aus welchen Gründen auch immer nicht einloggen, mein Kennwort funktioniert da nicht. Selbst wenn ich kein Kennwort einspeichere geht es nicht, vielleicht liegt das am Netzwerk? Ich habe hier mal die Logfile von Hijack this. Wenn noch was anderes benötigt wird, bitte sagen ich werde es versuchen nachzureichen, aber wie gesagt, Geschäftspc und da kann ich nicht soviel "unnötiges" installieren.  Ich bedanke mich bei euch allen!! HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 09:29:20, on 09.05.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Software\AVTC\PskSvc.exe C:\Programme\Panda Software\AVTC\PavSrvX86.exe C:\Programme\Panda Software\AVTC\AVENGINE.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\lkcitdl.exe C:\WINDOWS\system32\lkads.exe C:\WINDOWS\system32\lktsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\National Instruments\Shared\Security\nidmsrv.exe C:\WINDOWS\system32\nisvcloc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Panda Software\AVTC\PsCtrlS.exe C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\AVTC\PsImSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\Programme\UltraVNC\WinVNC.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\UltraVNC\WinVNC.exe C:\Programme\Panda Software\AVTC\WebProxy.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\Panda Software\AVTC\PSCtrlC.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Panda Software\AVTC\psimreal.exe C:\Programme\Panda Software\AVTC\PSIMMON.exe C:\Programme\Panda Software\AVTC\avciman.exe C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe C:\Programme\Vimicro Corporation\VMUVC\VMonitor.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\RunDLL32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosHdpProc.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\Dokumente und Einstellungen\*****\Eigene Dateien\Downloads\HiJackThis204(1).exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\winvnc.exe" -servicehelper O4 - HKLM\..\Run: [Panda Controller Client] "C:\Programme\Panda Software\AVTC\PSCtrlC.exe" O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 11\Register\registration.exe /title="CorelDRAW Graphics Suite 11" /date=101011 serial=DR11WBL-2155586-LXG O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [VMonitorVMUVC] "C:\Programme\Vimicro Corporation\VMUVC\VMonitor.exe" VMUVC O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-515967899-1788223648-725345543-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Bluetooth Manager.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139411802515 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ******.local O17 - HKLM\Software\..\Telephony: DomainName = *****.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ******.local O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - C:\WINDOWS\system32\lkads.exe O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - C:\WINDOWS\system32\lktsrv.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - C:\Programme\National Instruments\Shared\Security\nidmsrv.exe O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corporation - C:\WINDOWS\system32\nisvcloc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe O23 - Service: Panda Software Controller - Panda Security - C:\Programme\Panda Software\AVTC\PsCtrlS.exe O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Security, S.L. - C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Security, S.L. - C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Security, S.L. - C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe O23 - Service: Panda Antivirus Service (PavSrv) - Panda Security, S.L. - C:\Programme\Panda Software\AVTC\PavSrvX86.exe O23 - Service: Panda AntiSpam Engine (PMShellSrv) - Panda Software International - C:\Programme\Panda Software\AVTC\PSKMsSvc.exe O23 - Service: Panda IManager Service (PsImSvc) - Panda Security S.L. - C:\Programme\Panda Software\AVTC\PsImSvc.exe O23 - Service: Panda Kernel Service (PskSvc) - Panda Software International - C:\Programme\Panda Software\AVTC\PskSvc.exe O23 - Service: SuperProServer - Unknown owner - D:\ivf\Server\WinNT\spnsrvnt.exe (file missing) O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: uvnc_service - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe -- End of file - 11508 bytes Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.09.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 ***** :: ***** [Administrator] Schutz: Aktiviert 09.05.2012 09:59:19 mbam-log-2012-05-09 (10-10-54).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 272825 Laufzeit: 8 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 2 HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Keine Aktion durchgeführt. (Ende) Geändert von Ankano (09.05.2012 um 09:19 Uhr) |
|
11.05.2012, 11:21
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Virus/Fake AV lässt sich nicht entfernenZitat:
Was hindert dich daran was zu installieren? Dir ist klar, dass man Büro-Computer besser neu aufsetzen sollte?
__________________ |
|
11.05.2012, 11:35
| #3 |
| | Virus/Fake AV lässt sich nicht entfernen Es ist der Pc auf meiner Arbeit,
__________________d.h. ich hab da zu arbeiten und nicht PCs zu warten. Mittlerweile habe ich noch diverses anderes ausprobiert allerdings hab ich die Schnauze voll und formatier das Ding jetzt. Bzw. lass es formatieren, denn leider haben wir keine IT sondern einen externe Firma die anrückt und einen Haufen Kohle kostet. Und ja ich weiß das formatieren und Netzwerkeinrichtung nicht sonderlich kompliziert sind. Allerdings hab ich keine Berechtigung dass zu machen, da ich als Chemiker eingestellt wurde und nicht als PC-Wartungsdienst  Aber so ist es halt auf der Arbeit, wenn der Chef sagt das geht so, dann gehts auch so, auch wenn es totaler Schwachsinn ist |
|
11.05.2012, 11:43
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus/Fake AV lässt sich nicht entfernenZitat:
 Administration der EDV-Systeme/Bürocomputer und auch des Netzwerks? Wenn nein: Chef den Hinweis geben, dass du lt. Arbeitsvertrag zu sowas nicht verpflichtet bist und das deswegen auch nicht machen wirst  Zitat:
Aber er kann nicht sagen er will von IT-Service/EDV-Abteilung oder so nichts hören und von euch Aufgaben verlangen, für die ihr garnicht zuständig und btw auch garnicht qualifiziert seid - oder soll demnächst seine Sekretärin auch Chemiezeugs machen wenn du mal nicht da bist?  Aber solche komischen Ansichten von einem Geiz-ist-Geil-Chef beobachte ich offensichtlich nicht nur bei dir 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
11.05.2012, 12:25
| #5 |
| | Virus/Fake AV lässt sich nicht entfernen Also erstmal als Anmerkung, ich bin mit PCs nicht ganz unbegabt, meine Kenntnisse sind sagen wir mal fortgeschritten, aber mein Chef möchte nicht, dass ich die Admintätigkeiten mache, die macht er lieber selbst. Und er kann das auch super gut, er hat mich erst 3 mal dieses Jahr gefragt wie er das Bild aus der Zip-Datei bekommt :-D Ne ist schrecklich, auf jeden Fall falls das mal jmd liest, folgendes habe ich probiert und es hat nichts gebracht: Abgesicherter Modus: Spybot Panda Malwarebytes AntifakeAV hat zwar die Daten weitesgehend bereinigt. Aber der Trojaner.LameShield ist dann aufgetaucht --> Kaspersky Notfall CD gestartet, hat auch eingiges bereinigt --> Trojaner.Lameshield weiterhin da. Das ist jetzt zwar ein neues Problem, ich mache aber keinen neuen Topic auf, ich gebe mich geschlagen, akzeptiere mein Schicksal und nehme wähle die Methode die ich jederzeit daheim wählen würde: Format C (oder Alternativ --> PC ausm 3ten Stock werfen, vllt gibts dann mal was neues -.- ) Danke an alle die mal reingeschaut haben und sich Gedanken machten. Schönes WE |
|
11.05.2012, 13:11
| #6 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus/Fake AV lässt sich nicht entfernenZitat:
Zitat:
Minesweeper bekommt er aber allein hin?
__________________ --> Virus/Fake AV lässt sich nicht entfernen |
|
| Themen zu Virus/Fake AV lässt sich nicht entfernen |
| .dll datei, adware, antivirus, bho, citadel, computer, dateisystem, desktop, einstellungen, entfernen, excel, flash player, heuristiks/extra, heuristiks/shuriken, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, lässt sich nicht entfernen, mozilla, national, nvidia update, plug-in, problem, programm, rundll, scan, security, server, software, system, windows, windows xp |
Linear-Darstellung
