Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Problem: BAT/Fake.Privdanger

Problem: BAT/Fake.Privdanger


Plagegeister aller Art und deren Bekämpfung: Problem: BAT/Fake.Privdanger

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.04.2008, 21:45   #1
Basti17
 
Problem: BAT/Fake.Privdanger - Standard

Problem: BAT/Fake.Privdanger


Hilfe...

Ich habe ein Problem mit folgendem Virus:

BAT/Fake.Privdanger

Ich habe nicht sonderlich viel Ahnung aber dennoch kann ich die kleineren Probleme selberbeheben, wie zum beispiel leicht zu entfernende Trojaner oder Viren.

Mein Vater hat die Kontrolle über seinen PC verloren.
Ich kann ihm nicht mehr weiter helfen.

Ich kann weder Dateien deinstallieren und einige Programme nicht öffnen.
Der Rechner hat sich scheinbar selbstständig gemacht. Er öffnet wahllos immer wieder die selben Programme und wechselt ständig die Fenster. Er ist sehr langsam und das Hintergrundbild hat sich durch ein Bild ersetzt. Wenn ich linksklick mache (auf das neue Hintergrundbild) öffnet sich irgendeine Internetseite.
Es sind drei Verknüpfungen auf dem Desktop, welche mir unbekannt sind.


Hier das Protokoll von Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:04, on 20.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: dpevflbg - {87F195A2-E583-4FE1-9649-3333E6FE1A61} - C:\WINDOWS\dpevflbg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O21 - SSODL: vadokmxt - {682F1E48-9D31-4074-87AC-49C0D54A7973} - C:\WINDOWS\vadokmxt.dll
O21 - SSODL: wdpoefan - {9B888AB4-B66D-4EB7-8CAF-CF042EC29FC1} - C:\WINDOWS\wdpoefan.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4950 bytes


Irgendeine Idee was ich machen kann???
Hab schon in den anderen beiträgen hierzu geschaut, aber hab das irgenwie nicht so ganz hinbekommen...

Achso noch eins: War kurz davor den Rechner neu zu installieren, aber die als ich es installieren wollte bekam ich ne Warnung, dass ich noch ein anderes Betriebssystem auf dem Rechner befindet... Wahrscheinlich das selbe wie auf der CD.
Eine Reperatur des Systems (Also keine Neuinstallation) hatte kein Erfolg.

Ich bitte außerdem um eine auskunft ob mein Rechner auch gefährdet ist, falls ein Netzwerk besteht oder das Internet über einen Router läuft.

Bitte um eine einfache Erklärung zur Lösung des Problems.

grüße
Basti17

Alt 20.04.2008, 21:53   #2
BataAlexander
> MalwareDB
 
Problem: BAT/Fake.Privdanger - Standard

Problem: BAT/Fake.Privdanger


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
- Boote im abgesicherten Modus
- Starte es dann und lass das System Reinigen. (Option 2)
- es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen
- nach dem erfolgreichen Durchlauf öffnet es ein Notepad Fenster mit der rapport.txt
- Im Hintergrund muss smitfraudfix.exe noch mit "Q" beendet werden
- Nach diesem Durchlauf wird ggf. Dein Hintergrundbild verschwunden sein.


-Poste danach den Inhalt der Datei C:\rapport.txt
- Wenn auf dem Rechner XP Antispy mit den Standard Einstellungen benutzt wurde, läuft Smitfraudfix ggf. nicht richtig.
__________________
Alt 21.04.2008, 15:38   #3
Basti17
 
Problem: BAT/Fake.Privdanger - Standard

Problem: BAT/Fake.Privdanger


Hmmm gut danke ich werde es veruschen...

Edit: Das Programm sagt mir dann das sie den angegebenen Pfad nicht findet...
__________________
Geändert von Basti17 (21.04.2008 um 16:01 Uhr)

Alt 21.04.2008, 16:23   #4
Basti17
 
Problem: BAT/Fake.Privdanger - Standard

Problem: BAT/Fake.Privdanger


Hier das Ergebnis des scanns:


SmitFraudFix v2.315

Scan done at 17:08:20,50, 21.04.2008
Run from C:\Dokumente und Einstellungen\J”rg\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{33B9C4B9-1342-426B-BEF3-94F8890B280B}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D595856D-C029-44EF-BC69-61DE07B23BF1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E06FEDB8-E39D-4498-94FA-B6F27DB1870A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{33B9C4B9-1342-426B-BEF3-94F8890B280B}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D595856D-C029-44EF-BC69-61DE07B23BF1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E06FEDB8-E39D-4498-94FA-B6F27DB1870A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{33B9C4B9-1342-426B-BEF3-94F8890B280B}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D595856D-C029-44EF-BC69-61DE07B23BF1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E06FEDB8-E39D-4498-94FA-B6F27DB1870A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 21.04.2008, 16:46   #5
BataAlexander
> MalwareDB
 
Problem: BAT/Fake.Privdanger - Standard

Problem: BAT/Fake.Privdanger


Seltsam das SMF nichts gefunden hat, die zwei nerver sollte er können.

Führe dies aus:

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.


Alt 21.04.2008, 17:21   #6
Basti17
 
Problem: BAT/Fake.Privdanger - Standard

Problem: BAT/Fake.Privdanger


So hab durchlaufen lassen hier der Bericht von ComboFix:

ComboFix 08-04-20.5 - Jörg 2008-04-21 18:14:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.595 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jörg\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.

2008-04-21 17:43 . 2008-04-21 17:43 <DIR> d-------- C:\WINDOWS\LastGood
2008-04-21 17:40 . 2008-04-21 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\MSNInstaller
2008-04-21 16:56 . 2008-04-21 17:08 1,392 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-21 16:52 . 2005-02-26 15:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-21 16:52 . 2008-04-21 18:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-21 16:52 . 2006-12-29 21:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-21 16:52 . 2008-04-21 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-21 16:52 . 2008-04-21 18:14 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-20 21:57 . 2008-04-20 21:57 <DIR> d-------- C:\Programme\Trend Micro
2008-04-20 21:45 . 2008-04-20 18:03 543 --a------ C:\WINDOWS\win.tmp
2008-04-20 21:45 . 2008-04-20 17:46 231 --a------ C:\WINDOWS\system.tmp
2008-04-20 18:07 . 2004-08-04 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-04-20 18:06 . 2004-08-04 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-04-20 18:05 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-04-20 17:46 . 2004-08-04 14:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2008-04-20 17:46 . 2004-08-04 14:00 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2008-04-20 17:46 . 2004-08-04 14:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2008-04-20 17:46 . 2004-08-04 14:00 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2008-04-20 07:52 . 2008-04-20 07:52 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-04-20 07:52 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-04-20 07:43 . 2008-04-21 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\TmpRecentIcons
2008-04-19 17:54 . 2008-04-19 12:39 98,304 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-19 17:54 . 2008-04-19 12:39 94,208 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-13 17:41 . 2008-04-13 17:41 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-13 17:18 . 2008-04-20 08:23 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-08 20:00 . 2008-04-13 19:23 28,814 --a------ C:\WINDOWS\setupapi.old
2008-04-08 20:00 . 2008-04-08 20:02 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-04 10:46 . 2006-10-05 04:42 2,560 --a------ C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-04-04 10:46 . 2006-10-05 04:42 2,432 --a------ C:\WINDOWS\system32\drivers\cdr4_xp.sys
3 Datei(en) . 1,049,790 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-21 15:43 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-20 09:26 --------- d-----w C:\Programme\Google
2008-04-20 09:03 --------- d-----w C:\Programme\EPSON
2008-04-20 08:58 --------- d-----w C:\Programme\Riven
2008-04-20 07:34 --------- d-----w C:\Programme\TuneUp Utilities
2008-04-20 07:21 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-04-20 07:13 --------- d-----w C:\Programme\a-squared Free
2008-04-13 16:19 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-12 20:45 --------- d-----w C:\Programme\Call of Duty
2008-03-04 16:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-04 16:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-02-28 19:09 --------- d-----w C:\Programme\QuickTime
2008-02-23 14:33 --------- d-----w C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Apple Computer
2008-02-23 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-02-23 11:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Newsoft
2008-02-23 02:38 43,872 ----a-w C:\WINDOWS\system32\drivers\pxhelp20.sys
2005-07-01 21:51 129,495,341 ----a-w C:\Dokumente und Einstellungen\Jörg\aptmp.exe
2005-07-01 21:51 129,495,341 ----a-w C:\Dokumente und Einstellungen\Jörg\aptmp.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 07:46 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\Illusion Softworks\\Hidden & Dangerous 2\\hd2.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\WINDOWS\\system32\\mshearts.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Programme\\Call of Duty\\CoDMP.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"E:\\Programme\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundRouterRequest"= 1 (0x1)

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-20 07:46]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-20 07:46]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-05-09 16:52]
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2005-05-09 16:45]
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-11-24 03:00]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-05-09 16:52]
S3 o1394bul;o1394bul;C:\DOKUME~1\JRG~1\LOKALE~1\Temp\o1394bul.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-20 07:52]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-21 16:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-04-20 17:01:06 C:\WINDOWS\Tasks\TuneUp SystemOptimizer - Schnellwartung.job"
- C:\Programme\TuneUp Utilities\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 18:15:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-21 18:16:50
ComboFix-quarantined-files.txt 2008-04-21 16:16:39

11 Verzeichnis(se), 16,183,574,528 Bytes frei
14 Verzeichnis(se), 16,233,213,952 Bytes frei

141 --- E O F --- 2008-04-20 20:54:42

Und hier der Bericht bon Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:30, on 21.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4203 bytes


Danke schon mal soweit. Rechner läuft schon besser.... Kann wieder deinstallieren und die Verknüpfungen sind weg. Das hin und herspringen der Fenster ist auch weg und die geschwindigkeit bessert sich acuh so langsam.

Alt 21.04.2008, 17:57   #7
BataAlexander
> MalwareDB
 
Problem: BAT/Fake.Privdanger - Standard

Problem: BAT/Fake.Privdanger


komisch, die 021 Einträge sind weg, gut so auch wenns nicht im Log steht.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
C:\WINDOWS\wxvgsdbq.exe
C:\WINDOWS\olgdqarf.exe
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Antwort

Themen zu Problem: BAT/Fake.Privdanger
antivir, avira, bho, browser, desktop, dsl, firefox, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, immer wieder, internet explorer, langsam, mozilla, mozilla firefox, problem, sehr langsam, server, software, spyware, system, trojaner, tuneup.defrag, virus, warnung, windows, windows xp, wmid


« MSN Virus/Trojaner 04.2008 | HEUR/HTML.Malware/Programme stürzen ab! »


Ähnliche Themen: Problem: BAT/Fake.Privdanger


  1. BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (17)
  2. Fake.Privdanger wiedermal *himmelguck*
    Log-Analyse und Auswertung - 19.08.2008 (5)
  3. Bitte hilfe für: BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 19.06.2008 (2)
  4. Fake.Privdanger
    Log-Analyse und Auswertung - 04.06.2008 (8)
  5. Bat/fake.privdanger problem
    Plagegeister aller Art und deren Bekämpfung - 13.05.2008 (1)
  6. BAT/Fake Privdanger eingefangen
    Log-Analyse und Auswertung - 25.03.2008 (13)
  7. BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 23.03.2008 (7)
  8. Bat/Fake.Privdanger
    Log-Analyse und Auswertung - 23.03.2008 (9)
  9. Hilfe bei BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 07.03.2008 (0)
  10. Virus BAT/LuckyA. und BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 08.02.2008 (7)
  11. bat.fake/privdanger
    Log-Analyse und Auswertung - 31.01.2008 (14)
  12. ebenfalls bat.fake/privdanger
    Log-Analyse und Auswertung - 30.01.2008 (3)
  13. Bitte helft mir BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 29.01.2008 (3)
  14. bat.fake/privdanger - die zweite, hilfe!
    Mülltonne - 27.01.2008 (0)
  15. bat/fake.privdanger
    Log-Analyse und Auswertung - 10.01.2008 (3)
  16. -HILFE- vs. BAT/Fake.Privdanger und VBS/Click.A
    Plagegeister aller Art und deren Bekämpfung - 10.01.2008 (5)
  17. BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 29.10.2007 (16)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Problem: BAT/Fake.Privdanger - Hilfe... Ich habe ein Problem mit folgendem Virus: BAT/Fake.Privdanger Ich habe nicht sonderlich viel Ahnung aber dennoch kann ich die kleineren Probleme selberbeheben, wie zum beispiel leicht zu entfernende Trojaner - Problem: BAT/Fake.Privdanger...
Archiv
Du betrachtest: Problem: BAT/Fake.Privdanger auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131