| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe - TR/FakeAV.AM + TR/Fakealert.AAFWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.09.2008, 05:59
| #1 |
 |  Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF Hallo liebe Helfer! Auch mich haben zwei Antivirus-Trojaner befallen. Mein AntiVir hat bei Systemcheck 2 Funde gemacht: TR/FakeAV.AM + TR/Fakealert.AAF. Seitdem kann ich im Internet nicht mehr auf Antivirenseiten zugreifen, mein Bildschirm wurde geändert, es prangt eine Virenmeldung in der Mitte. Außerdem kommt ständig ein Fenster, dass mich auffordert, einen Antivir zu installieren, was ich nicht getan habe. des weiteren werde ich im Internet bei google-Suche auf andere Seiten umgelenkt. Bitte, bitte helft mir!! |
|
09.09.2008, 07:19
| #2 |
  | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF Hallo
__________________ erstelle bitte zuerst ein HijackThis Log mit dieser umbenannten Datei. http://mitglied.lycos.de/efunction/t...02/qlketzd.com editiere bitte aktive Links heraus (http --> hxxp) und deinen Realnamen (z.B. Max Muster --> Mxx Mxxxx). MFG
__________________ |
|
09.09.2008, 15:10
| #3 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF hallo!
__________________danke, dass du mir hilfst! ich habe versucht, hijack auf meinen computer herunterzuladen, hat nicht funktioniert (Meldung "hijack.exe ist kein Windows23 Programm"). Hab jetzt das Programm auf einem anderen Rechner heruntergeladen und auf meinen Computer installiert, hoffe, das ist ok und verfälscht das Ergebnis nicht. Das Log lautet: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:02:44, on 09.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\lphccd5j0eedg.exe C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\drivers\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe C:\Programme\Freund\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://mail.yahoo.com/ R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll (file missing) O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0 O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [lphccd5j0eedg] C:\WINDOWS\system32\lphccd5j0eedg.exe O4 - HKLM\..\Run: [inrhc9d5j0eedg] C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe /CR=E378D6B80573F693830D714814CC3DF89C64928ABAA780BA1471EB1777C5B22973E1E0BF3219750508EAAD9C84AB17417C90F183A1E4B0AF2982F32C9F5932AFEC58CC49CB88C7338230B779D0896B0C0F O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbar...tml?p=ZNfox000 O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hxxp://www2.snapfish.com/SnapfishActivia.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe -- End of file - 9696 bytes Geändert von celmis6 (09.09.2008 um 15:29 Uhr) |
|
09.09.2008, 17:02
| #4 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF Hallo versuche bitte zuerst Malwarebytes laufen zu lassen, lass alles gefundene löschen und poste anschließend das Log, dann sehen wir weiter. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
09.09.2008, 18:36
| #5 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF so, scan ist jetzt fertig. das bild auf meinem desktop ist verschwunden, ich kann auch wieder auf antivirus-seiten zugreifen. weiß aber nicht, ob wirklich alles weg ist. hier das log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2
09.09.2008 19:30:19
mbam-log-2008-09-09 (19-30-19).txt
Scan-Methode: Vollständiger Scan (A:\|B:\|C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 262281
Laufzeit: 1 hour(s), 5 minute(s), 26 second(s)
Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 30
Infizierte Registrierungswerte: 9
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 6
Infizierte Dateien: 34
Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe (Rogue.Installer) -> Unloaded process successfully.
C:\WINDOWS\system32\lphccd5j0eedg.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Infizierte Speichermodule:
C:\WINDOWS\system32\blphccd5j0eedg.scr (Trojan.FakeAlert) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2763e333-b168-41a0-a112-d35f96f410c0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1E0DE227-5CE4-4ea3-AB0C-8B03E1AA76BC} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{53ced2d0-5e9a-4761-9005-648404e6f7e5} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d292-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d296-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{adb01e81-3c79-4272-a0f1-7b2be7a782dc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2eff3cf7-99c1-4c29-bc2b-68e057e22340} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{a6573479-9075-4a65-98a6-19fd29cf7374} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-f3embed (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphccd5j0eedg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc9d5j0eedg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\ (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3PopularScreensavers (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\Programme\Starware (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\bin (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\icons (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\xml (Adware.Starware) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\blphccd5j0eedg.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\Starware\brand.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\Setup.exe (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\StarwareConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\bin\Starware.dll (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons\screensaver.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons\Thumbs.db (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\error.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\Related.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\Travel.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\icons\star_16.ico (Adware.Starware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lphccd5j0eedg.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phccd5j0eedg.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
|
|
09.09.2008, 19:00
| #6 | |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF Hallo und holla(nd), da ist ja was zusammen gekommen... Dann schicken wir mal Combofix hinterher Zitat:
MFG
__________________ --> Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF |
|
09.09.2008, 19:31
| #7 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF während der analyse mit CCleaner hat avira antivir abermals zwei virenmeldungen angezeigt: VBS-Scriptvirus VBS/Agent.1002 und der bereits bekannte TR/FakeAV.AM. ich habe CCleaner analyse fertiggestellt und alle angezeigten fehler behoben. soll ich nun trotz der virenmeldungen mit combofix weitermachen oder vorher etwas anderes wiederholen? |
|
09.09.2008, 21:22
| #8 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF Hallo schicke erstmal Combofix übers System. Wo wurde der Fund gemacht (Pfad/Dateiname)? MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
09.09.2008, 21:30
| #9 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF danke für die rasche antwort!! anbei die antivir meldungen: 1) In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\nsz3.tmp\euladlg.dll' wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.AM' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben 2) In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\nsv3.tmp\euladlg.dll' wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.AM' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben 3) In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt6.tmp.vbs' wurde ein Virus oder unerwünschtes Programm 'VBS/Agent.1002' [virus] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben 4) In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt5.tmp.vbs' wurde ein Virus oder unerwünschtes Programm 'VBS/Agent.1002' [virus] gefunden. Ausgeführte Aktion: Datei löschen so, ich lass dann mal combofix drüber laufen... mfg |
|
09.09.2008, 21:32
| #10 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF anbei das letzte malware scan-ergebnis (hab ihn nochmals drüberlaufen lassen) Code:
ATTFilter Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2
09.09.2008 22:31:22
mbam-log-2008-09-09 (22-31-22).txt
Scan-Methode: Vollständiger Scan (A:\|B:\|C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 235986
Laufzeit: 1 hour(s), 28 minute(s), 20 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\tdsspopup.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup1.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup2.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup3.url (Malware.Trace) -> Quarantined and deleted successfully.
|
|
09.09.2008, 21:38
| #11 | |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF Hallo Zitat:
Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
09.09.2008, 22:05
| #12 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF sorry, hat etwas gedauert, mein pc ist nicht mehr der schnellste... hier einmal das combofix-log: Code:
ATTFilter ComboFix 08-09-05.12 - Hecher 2008-09-09 22:35:58.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.611 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hecher\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 228 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Blacky.HECHER\Cookies\blacky@komtrack[1].txt
C:\Dokumente und Einstellungen\Blacky.HECHER\Cookies\blacky@serving-sys[2].txt
C:\Dokumente und Einstellungen\Hecher\Cookies\hecher@ehg-tiscover.hitbox[2].txt
C:\Dokumente und Einstellungen\Hecher\Cookies\hecher@komtrack[2].txt
C:\WINDOWS\jestertb.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TDSSSERV
-------\Service_TDSSserv
((((((((((((((((((((((( Dateien erstellt von 2008-08-09 bis 2008-09-09 ))))))))))))))))))))))))))))))
.
2008-09-09 20:07 . 2008-09-09 20:07 <DIR> d-------- C:\Programme\CCleaner
2008-09-09 18:22 . 2008-09-09 18:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 18:22 . 2008-09-09 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Malwarebytes
2008-09-09 18:22 . 2008-09-09 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-09-09 18:22 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 18:22 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 18:20 . 2008-09-09 18:20 <DIR> d-------- C:\Programme\Freund_mal
2008-09-09 16:01 . 2008-09-09 16:02 <DIR> d-------- C:\Programme\Freund
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 20:57 --------- d-----w C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Skype
2008-09-09 20:06 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-09 17:33 --------- d-----w C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\skypePM
2008-09-07 12:51 --------- d-----w C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\AdobeUM
2008-08-16 09:32 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-08-16 09:32 --------- d-----w C:\Programme\DVDVideoSoft
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-01-27 16:04 35,832 ----a-w C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-02 16:04 32 ----a-w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ezsid.dat
2007-05-12 17:29 465,520 ----a-w C:\Programme\msgr8us.exe
2007-01-12 15:04 13,256,032 ----a-w C:\Programme\PDF Creator.exe
2006-09-18 12:24 62,132 ----a-w C:\Programme\Uninstall.exe
2006-09-14 14:25 31,236 ----a-w C:\Programme\changelog.ger.txt
2006-09-14 14:25 30,003 ----a-w C:\Programme\changelog.txt
2006-09-14 14:15 5,001,216 ----a-w C:\Programme\emule.exe
2006-09-08 14:15 13,046 ----a-w C:\Programme\readme.txt
2006-08-30 14:51 638,125 ----a-w C:\Programme\eMule.chm
2006-03-22 21:12 270,336 ----a-w C:\Programme\LinkCreator.exe
2005-11-04 13:05 5,100,576 ----a-w C:\Programme\Firefox Setup 1.0.7.exe
2005-09-17 14:38 34,211,008 ----a-w C:\Programme\iTunesSetup.exe
2005-06-16 16:34 14,894 ----a-w C:\Programme\Template.eMuleSkin.ini
2005-06-08 16:12 823,542 ----a-w C:\Programme\Tetris.exe
2005-05-08 08:01 1,694,551 ----a-w C:\Programme\Adaware.exe
2005-04-29 17:00 4,276,528 ----a-w C:\Programme\eMule0.45b-Installer.exe
2005-04-28 15:33 937,001 ----a-w C:\Programme\slsk156c.exe
2005-04-24 17:09 2,278,937 ----a-w C:\Programme\eMule0.45b.zip
2005-03-31 18:00 4,700,500 ----a-w C:\Programme\mh2.zip
2005-03-30 13:24 5,448,742 ----a-w C:\Programme\sven1.zip
2005-03-30 12:48 5,707,238 ----a-w C:\Programme\moorhuhn_x-xs.zip
2005-03-20 17:38 19,952 ----a-w C:\Dokumente und Einstellungen\Blacky.HECHER\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-02-14 15:36 34,752 ----a-w C:\Dokumente und Einstellungen\Meins\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2002-10-08 16:10 18,401 ----a-w C:\Programme\license-GER.txt
2002-10-08 16:10 14,971 ----a-w C:\Programme\license.txt
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"pdfSaver3"="C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe" [2004-09-05 380928]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-11-16 21760296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 8466432]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"SpeedTouch USB Diagnostics"="C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-06-14 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-18 282624]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 81920]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"nwiz"="nwiz.exe" [2007-06-29 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\eMule0.45b\\emule.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\generals.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\WorldBuilder.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\E-Mule neu\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 viaraid;viaraid;C:\WINDOWS\system32\DRIVERS\viaraid.sys [2003-10-31 72192]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 1287296]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-pdfSaver3 - (no file)
Notify-WgaLogon - (no file)
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Mozilla\Firefox\Profiles\10z5o2d4.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 22:54:31
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-09 23:02:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-09 21:02:26
Pre-Run: 22 Verzeichnis(se), 106,475,687,936 Bytes frei
Post-Run: 24 Verzeichnis(se), 110,531,801,088 Bytes frei
170 --- E O F --- 2008-08-13 10:07:59
|
|
09.09.2008, 22:17
| #13 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF ok, hier die daten aus dem filelist-log (Verzeichnis von C:\Windows\Temp ist leer): Code:
ATTFilter Verzeichnis von C:\
09.09.2008 23:02 10.603 ComboFix.txt
09.09.2008 22:53 1.610.612.736 pagefile.sys
Verzeichnis von C:\WINDOWS\system32
08.09.2008 16:09 13.676 wpa.dbl
13.08.2008 12:07 609.048 TZLog.log
Verzeichnis von C:\WINDOWS\Prefetch
09.09.2008 23:07 16.894 VERCLSID.EXE-3667BD89.pf
09.09.2008 23:06 42.102 AVWSC.EXE-2F6C3C95.pf
09.09.2008 23:04 32.622 JUCHECK.EXE-03FBF417.pf
09.09.2008 23:04 11.052 JAVA.EXE-1586CEFA.pf
09.09.2008 23:03 18.830 HELPER.EXE-244ABC1F.pf
09.09.2008 23:03 109.336 FIREFOX.EXE-17EE503B.pf
09.09.2008 23:02 13.990 REGEDIT.EXE-1B606482.pf
09.09.2008 23:02 24.178 NOTEPAD.EXE-336351A9.pf
09.09.2008 23:02 30.152 IMAPI.EXE-0BF740A4.pf
09.09.2008 23:02 54.058 WMIPRVSE.EXE-28F301A9.pf
09.09.2008 22:56 114.524 SKYPEPM.EXE-03F1BFBD.pf
09.09.2008 22:56 74.058 WUAUCLT.EXE-399A8E72.pf
09.09.2008 22:56 51.118 ALG.EXE-0F138680.pf
09.09.2008 22:55 27.122 WSCNTFY.EXE-1B24F5EB.pf
09.09.2008 22:55 45.170 IPODSERVICE.EXE-233792DA.pf
09.09.2008 22:55 29.988 RUNDLL32.EXE-35A483DA.pf
09.09.2008 22:55 1.158.400 NTOSBOOT-B00DFAAD.pf
09.09.2008 22:52 22.768 LOGONUI.EXE-0AF22957.pf
09.09.2008 22:52 34.676 DWWIN.EXE-30875ADC.pf
09.09.2008 22:36 21.394 GUARDGUI.EXE-1BD45C30.pf
09.09.2008 22:35 17.080 NIRCMD.COM-223F42C3.pf
09.09.2008 22:35 4.796 HIDEC.EXE-1E46E0B3.pf
09.09.2008 22:35 17.426 RUNDLL32.EXE-36E71144.pf
09.09.2008 22:35 18.988 RUNONCE.EXE-2803F297.pf
09.09.2008 22:35 12.404 GRPCONV.EXE-111CD845.pf
09.09.2008 22:33 139.274 FIREFOX.EXE-1D57670A.pf
09.09.2008 22:33 65.138 UPDATER.EXE-0325006B.pf
09.09.2008 22:26 48.178 AVCENTER.EXE-37584419.pf
09.09.2008 22:06 71.788 AVNOTIFY.EXE-22AE9451.pf
09.09.2008 22:06 72.228 UPDATE.EXE-13D57D76.pf
09.09.2008 22:06 14.876 PREUPD.EXE-358AA1C1.pf
09.09.2008 21:02 51.726 MBAM.EXE-11D8BBD8.pf
09.09.2008 20:07 17.564 CCLEANER.EXE-065E2F3F.pf
09.09.2008 20:06 22.616 CCSETUP211.EXE-289D3138.pf
09.09.2008 19:31 10.522 MBAM-DOR.EXE-05145661.pf
09.09.2008 18:22 23.834 REGSVR32.EXE-25EEFE2F.pf
09.09.2008 18:22 21.630 MBAM-SETUP.TMP-14642B11.pf
09.09.2008 18:22 16.746 MBAM-SETUP.EXE-066EDA0B.pf
09.09.2008 18:21 78.610 COMPONENTLAUNCHER.EXE-10A25719.pf
09.09.2008 18:21 15.564 RUNDLL32.EXE-451FC2C0.pf
09.09.2008 18:20 9.626 MBAMTRAYCTRL.EXE-075285CF.pf
09.09.2008 18:20 23.858 MBAM.EXE-1AFC3ED0.pf
09.09.2008 18:18 9.576 MBAMTRAYCTRL.EXE-1A66C8F0.pf
09.09.2008 18:18 29.890 MBAM.EXE-184B3D23.pf
09.09.2008 16:10 21.792 QLKETZD.COM-2567FAA9.pf
09.09.2008 16:02 22.642 HIJACKTHIS.EXE-08B81E61.pf
09.09.2008 16:00 19.140 HIJACKTHIS.EXE-007BCCC5.pf
09.09.2008 06:44 41.848 DRWTSN32.EXE-2B4B52AC.pf
09.09.2008 06:30 46.714 RUNDLL32.EXE-3858A8A3.pf
09.09.2008 06:16 125.296 ACRORD32.EXE-0EC716D9.pf
09.09.2008 04:33 503.014 Layout.ini
09.09.2008 00:27 107.738 HELPSVC.EXE-2878DDA2.pf
08.09.2008 23:07 69.286 AD-AWARE.EXE-308139F4.pf
08.09.2008 23:02 48.208 AVSCAN.EXE-05AECC0E.pf
08.09.2008 22:52 26.248 .TT81.TMP-278F287F.pf
08.09.2008 22:42 17.756 MSIEXEC.EXE-2F8A8CAE.pf
08.09.2008 22:42 10.906 KCJLBBLM.EXE-03FF4808.pf
08.09.2008 22:41 42.746 GHJOMPDF.EXE-1E5ED60B.pf
08.09.2008 22:40 14.620 SVCHOST.EXE-3530F672.pf
08.09.2008 22:40 14.686 SVCHOST.EXE-0EB47E31.pf
08.09.2008 22:40 17.688 RUNDLL32.EXE-2153773E.pf
08.09.2008 22:40 12.592 WJQS.EXE-1834AD25.pf
08.09.2008 19:35 47.316 RUNDLL32.EXE-448830BB.pf
08.09.2008 19:35 6.412 CNMSE83.EXE-09304C2A.pf
08.09.2008 19:23 84.120 WINWORD.EXE-259486DA.pf
08.09.2008 18:58 18.104 RUNDLL32.EXE-1599D39A.pf
08.09.2008 17:16 42.270 PREPMASTER.EXE-005EB0C5.pf
08.09.2008 17:12 48.170 FOLIENVIEWER2.EXE-170F3F8D.pf
08.09.2008 17:12 21.042 RUNDLL32.EXE-2A94BB85.pf
08.09.2008 17:12 21.186 RUNDLL32.EXE-2E5AF1D7.pf
08.09.2008 16:54 17.876 PFADFINDER.EXE-3519151C.pf
08.09.2008 16:44 52.264 POWERPNT.EXE-019F2E3D.pf
08.09.2008 16:42 72.382 ACRORD32.EXE-2525A870.pf
07.09.2008 18:53 62.244 POWERDVD.EXE-35D9A3BA.pf
07.09.2008 17:43 47.830 EMULE.EXE-0B6B817E.pf
07.09.2008 17:38 90.294 ITUNES.EXE-15E88941.pf
07.09.2008 14:18 25.634 MSTORDB.EXE-31FDF221.pf
07.09.2008 12:45 45.916 ACRORD32INFO.EXE-30CEC19C.pf
07.09.2008 12:41 39.092 MPNSCAN.EXE-0D97832C.pf
07.09.2008 12:41 58.026 MPN30.EXE-399681E3.pf
06.09.2008 22:53 64.908 DFRGNTFS.EXE-269967DF.pf
06.09.2008 22:53 16.170 DEFRAG.EXE-273F131E.pf
06.09.2008 21:17 43.258 RUNDLL32.EXE-29F28A58.pf
06.09.2008 21:15 50.868 WMPLAYER.EXE-09969332.pf
06.09.2008 20:37 13.642 SRV.EXE-35B01693.pf
06.09.2008 20:37 24.498 WEATHER.EXE-053445CC.pf
06.09.2008 20:37 6.230 OEADDON.EXE-2ADBD0D5.pf
06.09.2008 20:37 27.392 ZAN33.EXE-34338E03.pf
06.09.2008 20:36 28.384 ZANGOUNINSTALLER.EXE-076A1C43.pf
06.09.2008 20:36 26.696 ZAN2C.EXE-0A1A3735.pf
06.09.2008 20:36 76.758 RUNDLL32.EXE-13404D23.pf
06.09.2008 20:23 47.624 ZANGOSA.EXE-193C3913.pf
06.09.2008 20:22 31.258 SAI14.TMP-0BA6B429.pf
06.09.2008 20:21 55.668 SETUP.EXE-2EE9E72C.pf
05.09.2008 20:15 17.938 FFMPEG.EXE-03BB1812.pf
05.09.2008 19:26 17.184 FREEYOUTUBEDOWNLOAD.EXE-066EC66E.pf
05.09.2008 19:26 17.886 FREESTUDIOMANAGER.EXE-019C2D18.pf
03.09.2008 19:13 34.958 AVGNT.EXE-36CA4640.pf
02.09.2008 20:28 37.750 RUNDLL32.EXE-264FD60D.pf
28.08.2008 15:52 34.906 SETUP_WM.EXE-19AC5A9B.pf
28.08.2008 15:51 50.290 WMPLAYER.EXE-0996933B.pf
28.08.2008 15:44 29.076 MSPAINT.EXE-11CBB631.pf
24.08.2008 18:24 19.064 RUNDLL32.EXE-12E27DD0.pf
24.08.2008 00:31 63.574 IEXPLORE.EXE-2CA9778D.pf
16.08.2008 11:32 14.818 COMMON.EXE-376F0C4E.pf
16.08.2008 11:32 48.766 IS-3CGD2.TMP-2F453074.pf
16.08.2008 11:32 14.844 FREEYOUTUBEDOWNLOAD.EXE-33F862AC.pf
16.08.2008 11:32 18.460 IS-15TIP.TMP-1FBFE370.pf
15.08.2008 23:06 30.254 RUNDLL32.EXE-227CCD67.pf
15.08.2008 15:35 18.746 TASKMGR.EXE-20256C55.pf
15.08.2008 15:24 25.886 ZAN1CF.EXE-2152C29F.pf
15.08.2008 15:23 58.164 RUNDLL32.EXE-132B2031.pf
15.08.2008 15:11 31.214 SAIF1.TMP-0289ED4A.pf
15.08.2008 14:59 13.104 AU_.EXE-39DFE18D.pf
15.08.2008 14:59 5.890 NSCC.TMP-020AE9E9.pf
15.08.2008 14:59 13.972 UNINSTALL_PLUGIN.EXE-1B14221A.pf
15.08.2008 14:59 19.914 INSTALL_FLASH_PLAYER.EXE-264204C5.pf
15.08.2008 14:33 27.150 EMULE0.49B-INSTALLER1.EXE-22F4BC0D.pf
15.08.2008 11:41 18.384 SCHED.EXE-236A886F.pf
15.08.2008 11:41 49.284 AVGUARD.EXE-3490B18B.pf
13.08.2008 12:07 5.308 TZCHANGE.EXE-02A31019.pf
13.08.2008 11:58 53.468 UPDATE.EXE-26CB048A.pf
13.08.2008 11:58 56.054 UPDATE.EXE-068E1E14.pf
13.08.2008 11:58 58.010 UPDATE.EXE-09E31419.pf
Verzeichnis von C:\WINDOWS
09.09.2008 22:56 1.067.167 WindowsUpdate.log
09.09.2008 22:54 0 0.log
09.09.2008 22:54 159 wiadebug.log
09.09.2008 22:54 227 system.ini
09.09.2008 22:54 50 wiaservc.log
09.09.2008 22:53 2.048 bootstat.dat
09.09.2008 22:52 32.618 SchedLgU.Txt
07.09.2008 18:53 116 NeroDigital.ini
28.08.2008 19:50 11.884 setupapi.log
28.08.2008 15:52 48.879 wmsetup.log
13.08.2008 12:07 211.324 ntdtcsetup.log
13.08.2008 12:07 55.605 ocmsn.log
13.08.2008 12:07 1.374 imsins.log
13.08.2008 12:07 161.163 iis6.log
13.08.2008 12:07 348.782 comsetup.log
13.08.2008 12:07 388.125 tsoc.log
13.08.2008 12:07 22.537 KB952954.log
13.08.2008 12:07 484.161 ocgen.log
13.08.2008 12:07 50.620 msgsocm.log
13.08.2008 12:07 1.006.928 FaxSetup.log
13.08.2008 12:07 157.574 updspapi.log
13.08.2008 12:07 1.374 imsins.BAK
13.08.2008 12:07 15.794 KB946648.log
13.08.2008 12:07 14.282 KB953839.log
13.08.2008 12:07 22.007 KB950974.log
13.08.2008 12:07 35.110 KB951072-v2.log
13.08.2008 12:07 15.258 KB952287.log
13.08.2008 12:07 20.134 KB953838-IE7.log
13.08.2008 12:07 9.541 KB951066.log
Verzeichnis von C:\WINDOWS\tasks
09.09.2008 22:53 6 SA.DAT
Verzeichnis von C:\DOKUME~1\Hecher\LOKALE~1\Temp
09.09.2008 23:08 121.211 filelist.txt
09.09.2008 23:06 634 filelist.zip
09.09.2008 23:04 580 jusched.log
09.09.2008 23:03 0 etilqs_f7RvaXcLW2wHS1Ez5vaO
|
|
10.09.2008, 06:07
| #14 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF neuester trojanerfund: TR/Drop.Softomat.AN - heute früh; In der Datei 'C:\System Volume Information\_restore{F2F335CA-1810-4872-9C19-DEC1758124EC}\RP1\A0000014.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Softomat.AN' [trojan] gefunden. Ausgeführte Aktion: Datei löschen irgendwie hab ich das gefühl, dass ich für jeden, den ich loswerd, zwei neue dazubekomm  |
|
10.09.2008, 06:10
| #15 |
| | Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF muss ich mich eigentlich fürchten, dass auf meine passwörter zugegriffen wird (netbanking, email,...)? hab diese zwar nicht gespeichert, aber geht das trotzdem? |
|
| Themen zu Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF |
| andere, antivirenseiten, bildschirm, fenster, funde, geändert, helfer, helft, installiere, installieren, inter, interne, internet, liebe, meldung, nicht mehr, seitdem, seite, seiten, systemcheck, tr/fakeav.am, virenmeldung, weiteren, zugreife, zugreifen |
Linear-Darstellung
