| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BAT/Fake.PrivdangerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
08.08.2008, 13:30
| #1 |
| |  BAT/Fake.Privdanger Hallo brauche dringent Hilfe seit zwei Tagen ist mein Pc mit dem Virus BAT/ Fake.Privdanger befallen! Der hat versucht ein Programm aus dem Internet zu installieren und einige Links auf meinen Desktop kopiert. Desweiteren hat mein Antivier den Virus TR/Vundo.Gen und TR/Crypt.XPACK.Gen gefunden. Antivier sowie Spybot bekommen es nicht in den Griff ich bin absuluter Laie und weiß nichtmehr weiter?? Habe eine LogFile mit HijackThis erstellt weiß aber nicht wie ich die posten soll?? |
|
08.08.2008, 13:33
| #2 |
 | BAT/Fake.Privdanger Guck mal da herein: http://www.trojaner-board.de/22771-a...log-files.html
__________________Dann poste am Besten mal den HJT Log nach diesen Regeln. |
|
08.08.2008, 13:35
| #3 | |
| | BAT/Fake.PrivdangerZitat:
Scan saved at 00:44: VIRUS ALERT!, on 08.08.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe D:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\HPZipm12.exe C:\WINNT\system32\PnkBstrA.exe D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\WBEM\WinMgmt.exe D:\Programme\PTBSync\PTBSync.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINNT\SOUNDMAN.EXE D:\Programme\D-Tools\daemon.exe D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\USBMonit.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe X:\Programme\HP\HP Software Update\HPWuSchd2.exe X:\Programme\ICQLite\ICQLite.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe X:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe D:\Programme\Radeon Omega Drivers\v2.6.83\ATI Tray Tools\atitray.exe X:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\svchost.exe X:\Programme\HP\Digital Imaging\bin\hpqtra08.exe X:\Programme\Pinnacle\Pinnacle PCTV\TeleText\WebServer.exe D:\PROGRA~1\PINNAC~1\SHARED~1\Filter\server.exe X:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe D:\PROGRA~1\PINNAC~1\SHARED~1\Filter\VBI_SE~1.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE D:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - X:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {FE07740C-ED9E-4041-A4F6-565AE689A3E8} - C:\WINNT\system32\efcCsQGX.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: bgrqfetx - {5A1364E1-F41E-44F5-A015-4BF35B7FF55B} - C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\ac8zt2\bgrqfetx.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [PTBSync] D:\Programme\PTBSync\PTBSync.exe /Start O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Programme\Executive Software\Diskeeper\DkIcon.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\USBMonit.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [HP Software Update] X:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [ICQ Lite] "X:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programme\Google\Google Pinyin\GooglePinyinDaemon.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [PCTVRemote] X:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [WinampAgent] X:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [AtiTrayTools] "D:\Programme\Radeon Omega Drivers\v2.6.83\ATI Tray Tools\atitray.exe" O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] x:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] X:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\RunOnce: [ICQ Lite] X:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKCU\..\RunOnce: [SpybotDeletingB6035] command /c del "C:\WINNT\system32\efcCsQGX.dll" O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Startup: WebServer.lnk = X:\Programme\Pinnacle\Pinnacle PCTV\TeleText\WebServer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = X:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - X:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - X:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - X:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - X:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - X:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - X:\PROGRA~1\SPYBOT~1\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C48FF0CB-B538-441B-B057-F5C67BC0288F}: NameServer = 192.168.2.1 O20 - Winlogon Notify: efcCsQGX - C:\WINNT\SYSTEM32\efcCsQGX.dll O21 - SSODL: tfnslopk - {B0F3070A-A088-4ECC-9330-5FF2D8876772} - C:\WINNT\tfnslopk.dll (file missing) O21 - SSODL: xokvrpwg - {547BD0EE-2099-4667-B8A4-7DE15AFF9072} - C:\WINNT\xokvrpwg.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINNT\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 9304 bytes Das ist die Logfile sorry für meine Unkenntniss! |
|
08.08.2008, 13:45
| #4 | |
| | BAT/Fake.PrivdangerZitat:
Dazu hast du ein paar Sachen drinne, wo die Files nicht mehr existieren. Am Besten wartest du auf einen qualifizierten Helfer, da ich mich nicht so gut auskenne. |
|
09.08.2008, 13:38
| #5 |
| | BAT/Fake.Privdanger Hallo nochmal Problem besteht immernoch brauche Hilfe kennt sich jemand aus? Mitlerweile hab ich keinen Internetzugang mehr Router nicht synchron kann das mit dem Virus zusammenhängen?? Werde morgen vormittag nochmals hier nachschauen! |
|
09.08.2008, 15:36
| #6 |
  | BAT/Fake.Privdanger Hallo deaktiviere bitte den Hintergrundwächter (Guard) deines Antivirenprogramms und wende dann bitte mal Smitfraudfix an SmitFraudFix wechsel in den abgesicherten Modus (beim start F8 drücken) und lass Smitfraudfix mit der Option 2 dein System bereinigen. Zurück im normalen Modus scanne dein System mit Malwarebytes aber bitte noch nix löschen. MFG
__________________ --> BAT/Fake.Privdanger |
|
09.08.2008, 16:49
| #7 |
| | BAT/Fake.Privdanger SmitFraudFix v2.333 Scan done at 17:01:25,90, Sa 09.08.2008 Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{C48FF0CB-B538-441B-B057-F5C67BC0288F}: NameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{C48FF0CB-B538-441B-B057-F5C67BC0288F}: NameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{C48FF0CB-B538-441B-B057-F5C67BC0288F}: NameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Das war erstmal das Ergebnis von Smitfraud, dass andere Programm ist noch am Scannen poste ich sobald es fertig ist. Vielen Dank schon mal gibt schon erste Veränderungen kann wieder auf C: und D: zugreifen konnte ich zuvor nicht! Ach ja Internet hab ich wieder war wohl ein Problem der T-Com!? |
|
| Themen zu BAT/Fake.Privdanger |
| befallen, brauche, desktop, dringen, erstell, erstellt, fake.privdanger, gen, griff, hijack, hijackthis, installieren, interne, internet, links, logfile, poste, posten, programm, spybot, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/vundo.gen, versucht, virus |
Hybrid-Darstellung
