joke/BlueScrreen.B, TR/Fakealert.AAF, VBS/Agent.1002

Hitman 21 · 25.08.2008, 09:29

Hallo

Seit gestern Abend habe ich ein paar Plagegeister auf meinem Computer.
Ich habe den Computer mit `Antivir Personal Edition Classic`durchsucht und anschliessend die gefundenen Sachen löschen lassen.
Aber nach dem Neustart des Computers waren alle wieder da zum Teil mit anderen Dateinamen.

Nachher habe ich nochmals alles mit Antivir durchsucht und mir die Dateien aufgeschrieben die es gefunden hat und liess sie von Antivir nicht löschen sondern ignorieren.

Nun startete ich den Computer im Abgesicherten Modus und Löschte alle Dateien manuell. Aber nach dem Neustart waren einige wieder da.

Es sind diese Plagegeister:

C:/Windows/Inf/alchem.inf konnte ich löschen
C:/Windows/System32/H@tKeysH@@k.DLL konnte ich löschen

C:/Windows/System32/blphcrksj0en1t.scr kommt immer wieder
(Joke/BlueScreen.B)

C:/Windows/System32/phcrksj0en1t.bmp kommt immer wieder
(TR/Fakealert.AAF)

C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/.tt3.tmp.vbs
C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/.tt4.tmp.vbs
(VBS/Agent.1002) kommt immer wieder wenn man es löschen will mit anderem Dateinamen

Mein System Windows XP Professional mit Service Pack 3
Intel Pentium 4, CPU 2 GHZ, 512 RAM

PS: Ein Komisches Hintergrundbild habe ich auch welches ich nicht mehr wegmachen kann, da im Fenster `Eigenschaften von Anzeige` der Menüpunkt mit dem Bildschirmschoner und dem Desktophintergrund fehlen.

Desktophintergrund: Warning. Spyware detected on your computer. Install an Antivirus or spyware ...

Besten Dank im Voraus für die Hilfen

undoreal · 25.08.2008, 09:40

Hallo Hitman 21

Überprüfe dein System bitte mit SUPERAntiSpyware und Anti-Malware und poste beide logs.

Hitman 21 · 25.08.2008, 09:47

Ich habe meinen `wirenverseuchten Computer vom internet getrennt, und schreibe nun mit meinem Laptop.

Umdie beiden programme zu downloaden kann ich meinen verseuchten PC ans Internet anschliessen ohne dass der Trojaner irgendwelche Sachen von mir ausspioniert und ins internet schickt?

undoreal · 25.08.2008, 09:49

Zitat:

Umdie beiden programme zu downloaden kann ich meinen verseuchten PC ans Internet anschliessen ohne dass der Trojaner irgendwelche Sachen von mir ausspioniert und ins internet schickt?

Also bei den Schädlingen die du im Titel nennst besteht kein zu großes Risiko aber du kannst die Install Dateien auch auf deinen Lappi und dann auf nen USB stick ziehen..

Hitman 21 · 25.08.2008, 09:51

Danke für die schnelle antwort dann werde ich die programme auf nen USB Stick Speichern.

Hitman 21 · 25.08.2008, 10:03

Hallo UNDOREAL

Du Hast geschrieben: Überprüfe dein System bitte mit SUPERAntiSpyware und Anti-Malware und poste beide logs.

Soll ich die gefundenen Dateien löschen lassen oder nur logs erstellen?

undoreal · 25.08.2008, 10:04

Packe sie in die Quarantäne. Damit kann man eigentlich nie was falsch machen..

Hitman 21 · 25.08.2008, 10:07

Danke für die Antwort

Gut werde das so machen

Werde nun die Programme installieren

Hitman 21 · 25.08.2008, 10:23

Habe nun SUPERAntiSpyware installiert und währen dem updaten war plötzlich noch ein anderes Programm neu auf dem Desktop erschienen namens Antivirus XP 2008 gehört das zu SUPERAntiSpyware oder ist das ein Trojaner oder sonst irgend was?

Antivirus XP 2008 Startete von selbst und durchsuchte das system und nun sagt es Antivirus XP 2008 has found 1516 threats. Its recommended to proceed with removal. jetz kann ich ja oder nein anklicken

was soll ich tun?

undoreal · 25.08.2008, 10:25

Antivirus XP 2008 ist schädlich!

Einfach schließen und nicht verrückt machen lassen wegen der Meldungen. Die sind gefälscht. Zur Not beende den Mist über den Taskmanager.

Hitman 21 · 25.08.2008, 10:32

Ich kann Antivirus XP 2008 nicht schliessen da das Kreuz open reschts nicht aktiv ist und unter dem Taskmanager ist es unter Anwendungen nicht drinnen und unter Prozesse weis ich nicht welcher prozess es ist

Ich habe nun den Computer im abgesicherten Modus gestartet und Antivirus XP 2008 unter dem Startmenü, auf dem Desktop und in c:/Programme/rhcvksj0en1t gelöscht.

Nun ist wenigstens dieser Schädling weg

Hitman 21 · 25.08.2008, 13:46

Habe nun mein System mit Super Anti Spyware durchsucht.
Antivir hat beim durchsuchen mit Super Anti Spyware noch einen Anderen Trojaner namens Dldr.FraudLoa.NC gefunden.

Habe nun beim Super Anti Spyware auf weiter geklickt und es wurden die gefundenen Schädlinge gelöscht und in die Karantäne verschoben.

Nun fragt es mich ob ich den Computer herunterfahren will damit die gefundenen Schädlinge komplett gelöscht werden können. Soll ich das jetzt tun ?

Danke im Voraus

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/25/2008 at 02:29 PM

Application Version : 4.20.1046

Core Rules Database Version : 3546
Trace Rules Database Version: 1535

Scan type : Complete Scan
Total Scan Time : 02:12:49

Memory items scanned : 417
Memory threats detected : 0
Registry items scanned : 6920
Registry threats detected : 3
File items scanned : 137341
File threats detected : 13

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\hansulrich@ad.swissguide[1].txt

Rogue.AntiVirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008

Trojan.FakeAlert/Desktop
HKU\S-1-5-21-2070620897-1754454779-3683679437-1005\CONTROL PANEL\DESKTOP#WALLPAPER
HKU\S-1-5-21-2070620897-1754454779-3683679437-1005\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER
HKU\S-1-5-21-2070620897-1754454779-3683679437-1005\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER

Rogue.AntiVirus 2008
C:\Dokumente und Einstellungen\***\Anwendungsdaten\RHCVKSJ0EN1T
C:\WINDOWS\SYSTEM32\PHCRKSJ0EN1T.BMP

Rogue.MalwareProtector/Variant
C:\WINDOWS\SYSTEM32\1A.TMP
C:\WINDOWS\SYSTEM32\1B.TMP
C:\WINDOWS\SYSTEM32\PPHCRKSJ0EN1T.EXE

NotHarmful.Sysinternals Bluescreen Screen Saver
C:\WINDOWS\SYSTEM32\BLPHCRKSJ0EN1T.SCR

undoreal · 25.08.2008, 13:50

Jo, kannst den Rechner neustarten.

Bei Scans mit den Progs die wir dir hier empfehlen solltest du den AntiVir Guard übrigens generell deaktivieren! Die blockieren sich sonst gegenseitig.

Mache danach dann den Anti-Malware scan -> Funde löschen lassen, log posten und poste danach ein frisches HJT log.

Hitman 21 · 25.08.2008, 13:53

Danke für die Antwort

Ich habe den Antivir Guard deaktiviert aber als das andere programm beim systemdurchsuchen war, kammen trotzdem immer fundmeldungen und ich habe beim antivir fenster immmer ein häkchen bei ignorieren gesetzt

undoreal · 25.08.2008, 14:33

Zitat:

und ich habe beim antivir fenster immmer ein häkchen bei ignorieren gesetzt

Das war jetzt nicht besonders schlau.. Denn nun ignoriert AntiVir die schädliche Datei..

Aber mach' mal einfach weiter im Text..

25.08.2008, 09:40	#2
undoreal /// AVZ-Toolkit Guru	joke/BlueScrreen.B, TR/Fakealert.AAF, VBS/Agent.1002 Hallo Hitman 21 Überprüfe dein System bitte mit SUPERAntiSpyware und Anti-Malware und poste beide logs. __________________ __________________

25.08.2008, 10:04	#7
undoreal /// AVZ-Toolkit Guru	joke/BlueScrreen.B, TR/Fakealert.AAF, VBS/Agent.1002 Packe sie in die Quarantäne. Damit kann man eigentlich nie was falsch machen.. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

joke/BlueScrreen.B, TR/Fakealert.AAF, VBS/Agent.1002

Plagegeister aller Art und deren Bekämpfung: joke/BlueScrreen.B, TR/Fakealert.AAF, VBS/Agent.1002