| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.08.2006, 19:13
| #61 |
 |  TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! hier einmal der report von antivir AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 22. August 2006 23:06 Es wird nach 484638 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Angie Computername: ANGIE-PRQVOM9A5 Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 14.05.2006 16:53:57 AVSCAN.DLL : 7.0.0.42 57384 14.05.2006 16:53:57 LUKE.DLL : 7.0.0.42 118824 14.05.2006 16:53:57 LUKERES.DLL : 7.0.0.42 32808 14.05.2006 16:53:57 ANTIVIR0.VDF : 6.35.0.1 7371264 14.05.2006 16:53:57 ANTIVIR1.VDF : 6.35.1.122 1270784 14.05.2006 16:53:57 ANTIVIR2.VDF : 6.35.1.123 2048 14.05.2006 16:53:57 ANTIVIR3.VDF : 6.35.1.125 9728 14.05.2006 16:53:57 AVEWIN32.DLL : 7.1.1.2 1782272 14.05.2006 16:53:57 AVPREF.DLL : 7.0.0.1 53288 14.05.2006 16:53:57 AVREP.DLL : 6.35.1.100 757800 14.05.2006 16:53:57 AVRPBASE.DLL : 7.0.0.0 2162728 14.05.2006 16:55:46 AVPACK32.DLL : 7.1.0.1 335912 14.05.2006 16:53:57 AVREG.DLL : 6.31.0.90 27688 14.05.2006 16:53:57 NETNT.DLL : 6.32.0.0 6696 14.05.2006 16:53:57 NETNW.DLL : 6.32.0.0 9768 14.05.2006 16:53:57 RCIMAGE.DLL : 7.0.0.71 1642536 14.05.2006 16:53:58 RCTEXT.DLL : 7.0.0.75 77864 14.05.2006 16:53:58 Konfiguration für den aktuellen Suchlauf: Job Name......................: Lokale Laufwerke Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Bootsektoren..................: C,G,A,D,E Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 2 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Dienstag, 22. August 2006 23:06 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 39 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'G:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 22 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\NTUSER.DAT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\parent.lock [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Temp\hsperfdata_Angie\3860 [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\VundoFix Backups\atfmybys.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4551771a.qua' verschoben! C:\VundoFix Backups\bwhmqyya.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45537722.qua' verschoben! C:\VundoFix Backups\cjsordws.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7719.qua' verschoben! C:\VundoFix Backups\ephyrulu.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44dc1f8b.qua' verschoben! C:\VundoFix Backups\eqxmqryk.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637726.qua' verschoben! C:\VundoFix Backups\fabacnfn.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d771b.qua' verschoben! C:\VundoFix Backups\fhtbpile.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455f7726.qua' verschoben! C:\VundoFix Backups\hqdxmjwr.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7732.qua' verschoben! C:\VundoFix Backups\irxaxafq.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637736.qua' verschoben! C:\VundoFix Backups\iufljuju.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4551773c.qua' verschoben! C:\VundoFix Backups\iwohmfkh.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455a7743.qua' verschoben! C:\VundoFix Backups\kgbhtqke.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7736.qua' verschoben! C:\VundoFix Backups\lnpwlpmv.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde gelöscht. C:\VundoFix Backups\lnsbighb.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde gelöscht. C:\VundoFix Backups\sogarvnl.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4552774f.qua' verschoben! C:\VundoFix Backups\stlgbgmi.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde gelöscht. C:\VundoFix Backups\tumwfiso.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4558776d.qua' verschoben! C:\VundoFix Backups\yvkbugek.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567772.qua' verschoben! C:\WINDOWS\SoftwareDistribution\EventCache\{81CD9779-3E3D-4DEC-B095-86304408B219}.bin [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\anfdawfw.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517a98.qua' verschoben! C:\WINDOWS\system32\bagcvujr.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45527a90.qua' verschoben! C:\WINDOWS\system32\btsjvgpv.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7aa6.qua' verschoben! C:\WINDOWS\system32\bxeesgwb.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507aab.qua' verschoben! C:\WINDOWS\system32\ctfrftyw.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517ab0.qua' verschoben! C:\WINDOWS\system32\cvprcjow.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455b7ab4.qua' verschoben! C:\WINDOWS\system32\dhboxixk.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7aac.qua' verschoben! C:\WINDOWS\system32\dsycwedj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647abd.qua' verschoben! C:\WINDOWS\system32\dtcsxpnf.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7ac1.qua' verschoben! C:\WINDOWS\system32\dvlwvixd.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45577ac5.qua' verschoben! C:\WINDOWS\system32\dxxsukoh.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637ac9.qua' verschoben! C:\WINDOWS\system32\gnuwsigx.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45607ac4.qua' verschoben! C:\WINDOWS\system32\haohwmdi.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455a7ab9.qua' verschoben! C:\WINDOWS\system32\idgwnjdj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45527abf.qua' verschoben! C:\WINDOWS\system32\ihiatabs.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45547ac5.qua' verschoben! C:\WINDOWS\system32\jpdaeclg.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7ad4.qua' verschoben! C:\WINDOWS\system32\jrigiavr.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45547ad8.qua' verschoben! C:\WINDOWS\system32\juhembfa.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45537add.qua' verschoben! C:\WINDOWS\system32\jxxnnaoj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637ae2.qua' verschoben! C:\WINDOWS\system32\lnrjmhhx.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455d7ae0.qua' verschoben! C:\WINDOWS\system32\lpcrpbme.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7ae4.qua' verschoben! C:\WINDOWS\system32\lrsmbref.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7ae8.qua' verschoben! C:\WINDOWS\system32\lufbbocl.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517aed.qua' verschoben! C:\WINDOWS\system32\nhkeyilx.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567b59.qua' verschoben! C:\WINDOWS\system32\pvvnkabv.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45617b95.qua' verschoben! C:\WINDOWS\system32\pxctpxxv.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7b9a.qua' verschoben! C:\WINDOWS\system32\sndqucjf.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7ba1.qua' verschoben! C:\WINDOWS\system32\srlmwrdc.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45577baa.qua' verschoben! C:\WINDOWS\system32\sxeqkigr.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507bb8.qua' verschoben! C:\WINDOWS\system32\udbdveuf.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7bae.qua' verschoben! C:\WINDOWS\system32\vdktioot.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567bbc.qua' verschoben! C:\WINDOWS\system32\vlequefl.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507bc7.qua' verschoben! C:\WINDOWS\system32\wxqmppcy.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455c7c01.qua' verschoben! C:\WINDOWS\system32\xwybtlni.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647c04.qua' verschoben! C:\WINDOWS\system32\ylywytec.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647bfc.qua' verschoben! C:\WINDOWS\system32\yuftbfkj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517c08.qua' verschoben! C:\WINDOWS\system32\yxsghooj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7c0f.qua' verschoben! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Dienstag, 22. August 2006 23:54 Benötigte Zeit: 48:17 min Der Suchlauf wurde vollständig durchgeführt. 3265 Verzeichnisse wurden überprüft 145738 Dateien wurden geprüft 55 Viren bzw. unerwünschte Programme wurden gefunden 3 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 52 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1497 Archive wurden durchsucht 26 Warnungen 4 Hinweise |
|
23.08.2006, 19:19
| #62 |
  | TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! Hallo,
__________________hmm, gefällt mir nicht. Könnte zwar sein das es nur Reste waren, und Antivir da erst jetzt drauf anspringt, aber poste mal auf jeden Fall die Logfiles. Grüße Wildone |
|
23.08.2006, 19:20
| #63 |
| | TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! Volume in Laufwerk C: hat keine Bezeichnung.
__________________Volumeseriennummer: C0FD-FF8D Verzeichnis von C:\WINDOWS\system32 17.08.2006 23:37 13.844 epvpamtc.exe 17.08.2006 22:50 13.844 axvuhsyd.exe 17.08.2006 21:41 13.844 yvaptklg.exe 17.08.2006 21:01 13.844 cmbgujon.exe 13.08.2006 07:54 143 mcrh.tmp 09.08.2006 21:03 8.325.544 MRT.exe 02.08.2006 21:18 2.206 wpa.dbl 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0FD-FF8D Verzeichnis von C:\DOKUME~1\Angie\LOKALE~1\Temp 23.08.2006 20:15 240 datFind.zip 23.08.2006 19:38 112.796 xpinstall.exe 23.08.2006 19:38 1.324.838 tmp.xpi 23.08.2006 19:27 40.960 rtdrvmon.exe 23.08.2006 15:23 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}603.html 23.08.2006 13:06 3.137 jusched.log 23.08.2006 12:58 65.536 ~DF9F9A.tmp 23.08.2006 12:57 16.384 ~DF3E1.tmp 23.08.2006 12:57 16.384 ~DFE162.tmp 23.08.2006 12:57 512 ~DFE173.tmp 22.08.2006 19:07 2.496 java_install_reg.log 21.08.2006 14:22 0 jinstall.cfg 21.08.2006 14:13 65.536 ~DFEAEF.tmp 20.08.2006 23:23 0 nuaA6.tmp 20.08.2006 23:23 0 ocuA5.tmp 20.08.2006 23:22 0 nhlA4.tmp 20.08.2006 14:43 0 NBR67.tmp 20.08.2006 00:32 0 y0p27.tmp 20.08.2006 00:29 0 7nm26.tmp 20.08.2006 00:28 0 muw25.tmp 20.08.2006 00:22 65.536 ~DFD796.tmp 18.08.2006 01:58 14.756 Z@R15.tmp 18.08.2006 01:58 9.016 Z@R11.tmp 18.08.2006 01:58 17.192 Z@RD.tmp 18.08.2006 01:58 21.464 Z@R9.tmp 18.08.2006 01:58 17.368 Z@R5.tmp 27.07.2006 01:40 251.656 AutoDL%3FBundleId=10641_b1977ba6.exe 27 Datei(en) 2.046.790 Bytes 0 Verzeichnis(se), 10.149.834.752 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0FD-FF8D Verzeichnis von C:\WINDOWS 23.08.2006 19:38 2.896 mozver.dat 23.08.2006 17:46 387 lexstat.ini 23.08.2006 13:04 1.931.102 WindowsUpdate.log 23.08.2006 12:57 0 0.log 23.08.2006 12:56 159 wiadebug.log 23.08.2006 12:56 50 wiaservc.log 23.08.2006 12:56 2.048 bootstat.dat 23.08.2006 00:59 32.588 SchedLgU.Txt 16.08.2006 21:29 4.868 cdplayer.ini 14.08.2006 13:41 0 nsreg.dat 14.08.2006 13:41 107.132 UninstallFirefox.exe 17.06.2006 22:24 151 PhotoSnapViewer.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0FD-FF8D Verzeichnis von C:\ 23.08.2006 20:20 0 sys.txt 23.08.2006 20:20 4.194 system.txt 23.08.2006 20:19 1.619 systemtemp.txt 23.08.2006 20:19 95.820 system32.txt 23.08.2006 12:56 553.648.128 pagefile.sys 18.08.2006 00:04 4.642 VundoFix.txt 10.08.2006 22:20 891 rapport.txt2.txt 10.08.2006 22:20 891 rapport.txt 27.04.2006 20:02 32 ALCSetup.log |
|
23.08.2006, 19:33
| #64 |
| | TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! Hallo, scheint harmlos zu sein, das sind wohl noch die Reste von dem Schädling den wir schon beseitigt haben. Lösche noch folgende Dateien aus dem System32 Ordner: 17.08.2006 23:37 13.844 epvpamtc.exe 17.08.2006 22:50 13.844 axvuhsyd.exe 17.08.2006 21:41 13.844 yvaptklg.exe 17.08.2006 21:01 13.844 cmbgujon.exe 13.08.2006 07:54 143 mcrh.tmp Außerdem löschst du noch den Ordner C:\VundoFix Backups\ Im Prinzip sollte es das gewesen sein. Aber beobachte mal dein System weiter, falls, entgegen meiner Vermutung, noch etwas kommen sollte meldest du dich wieder, ansonsten war das jetzt aber wirklich mein letztes Posting in den Userforen  Grüße Wildone Geändert von Wildone (23.08.2006 um 19:42 Uhr) |
|
23.08.2006, 22:36
| #65 |
| | TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! danke  |
|
24.08.2006, 19:12
| #66 |
| | TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! und da ist nochmal was.... und zwar: TR/Adload.MAS.3 Quelle ist: C:/System Volume Information\_resort(A17E5493-3DC2-4BAC-BE7F54C9D2CD2339)\RP183\A0126078.exe |
|
25.08.2006, 14:23
| #67 |
  | TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! mOIn angie85, deaktiviere die Systemwiederherstellung --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden. MFG |
|
25.08.2006, 21:30
| #68 |
| | TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! Ich hab auch ein Problem mit folgender Datei: mcrh.tmp und diesem Ordner C:\VundoFix Backups\ ich kann beide nicht löschen. Windows sagt: Datei wird von einem anderen Programm verwendet. Was soll ich tun?? Hat das was damit zu tun, dass ich keine Dateien downloaden kann, d.h. Win sagt immer: Datei bereits vorhanden. Überschreiben?, obwohl die Datei keinesfalls im jeweiligen Ordner ist. Wenn ich dann auf Ja klicke und die Datei heruntergeladen ist sagt er, dass er die Datei nicht öffnen kann, weil sie von einem anderen Prozess oder Programm verwendet wird. HILFE!!   Auch Windows Live Mail Desktop Beta hat bis gestern noch funktioniert nun kann ich das Programm nicht mehr öffnen kommt ne komische Fehlermeldung. Als Admin im Abgesicherten Modus gings noch. |
|
29.06.2010, 21:00
| #69 |
| | TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! hey hab glaube den selben virus -.- hier schonmal der : HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:51:19, on 29.06.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\WinDir\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe C:\PROGRA~1\PHILIP~1\VProperty.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\RocketDock\RocketDock.exe C:\Programme\AIM\aim.exe C:\Programme\Jumi\Jumi.exe C:\Programme\ICQ7.0\ICQ.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\iPod\bin\iPodService.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avnotify.exe C:\Programme\Avira\AntiVir Desktop\avnotify.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: 88.198.16.154 status.wow-europe.com O1 - Hosts: 88.198.16.154 launcher.worldofwarcraft.com O1 - Hosts: 88.198.16.154 eu.logon.worldofwarcraft.com O1 - Hosts: 88.198.16.154 eu.version.worldofwarcraft.com O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_16_Plus_Download-Version\TrayServer.exe O4 - HKLM\..\Run: [Recordpad] "C:\Programme\NCH Swift Sound\Recordpad\recordpad.exe" -logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\WinDir\svchost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [Aim] "C:\Programme\AIM\aim.exe" /d locale=de-DE O4 - HKCU\..\Run: [JumiController] C:\Programme\Jumi\Jumi.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4 O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\WinDir\svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\WinDir\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\WinDir\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (file missing) O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 11016 bytes hoffe ihr könnt mir helfen |
|
| Themen zu TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! |
| ahnung, befallen, beste, besten, helfen, heulen, hilfe!, keine ahnung, plage, plagen |
Linear-Darstellung
