Hallo zusammen,

ich habe ein Problem mit ein paar Schädlingen. Um genau zu sein geht es um den Scriptvirus VBS/Agent.1002 und die Trojaner TR/FakeAV.AM und TR/Fakealert.AAF.
Ich weiß nicht, ob es mit diesen Schädlingen zu tun hat, aber seit ein paar Tagen bekomme ich direkt nach Systemstart eine Reihe von Fehlermeldungen dieser Art: Internet Explorer Skriptfehler, in dem Skript auf dieser Seite ist ein Fehler aufgetreten. Soll es weiterhin ausgeführt werden?
Dummerweise reagieren die Fenster nicht auf die Ja/Nein Klicks, lassen sich aber verschieben. Nur das vorderste Fenster ist selektierbar.
Defenitiv mit den Schädlingen hängen aber folgende Probleme zusammen: Zum einen wird bei jedem Systemstart eine Installationsroutine für AntiVir XP 2008 ausgeführt, welches ja bekanntlicherweise schädlich ist. Also muss ich schonmal bei jedem Start in den Taskmanager.
Außerdem wird bei jedem Start meine Windows Firewall deaktiviert und zwar komplett mit Dienst! Also muss ich jedesmal den verdammten Dienst neu starten, wenn ich nicht leichte Beute für Eindringlinge sein will. Obwohl die Routerfirewall das schlimmste abwenden dürfte.
Zusätzlich habe ich auch noch ein schönes neues Hintergrundbild verpasst bekommen, das sich nicht mehr ändern lässt, da in den Desktopeinstellungen der Hintergrundbild-Reiter fehlt.
Und zu guter letzt habe ich geradeeben auch noch eine Meldung von der Firewall bekommen, ob ich weiterhin einen Dienst namens svchost blockem möchte. Kurzum: Jede Menge Ärger.
Ich habe die drei Quälgeister eigentlich schon von AV löschen lassen, nur dummerweise sind die Symptome geblieben. Daher wende ich micht jetzt an euch.
Ich habe WinXP mit SP2, Antivir (Personal Edition) und die Windows Firewall plus Hardware Firewall im Router.

Hier das Protokoll vom AntiVir Suchlauf:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. September 2008  13:17

Es wird nach 1612438 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     ***

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  25.07.2008 17:41:20
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  25.07.2008 17:41:20
LUKE.DLL      : 8.1.4.5       164097 Bytes  25.07.2008 17:41:20
LUKERES.DLL   : 8.1.4.0        12545 Bytes  25.07.2008 17:41:20
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 14:25:50
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 19:31:40
ANTIVIR2.VDF  : 7.0.6.153    3341312 Bytes  12.09.2008 18:14:56
ANTIVIR3.VDF  : 7.0.6.154       2048 Bytes  12.09.2008 18:14:56
Engineversion : 8.1.1.28  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  19.04.2008 18:10:32
AESCRIPT.DLL  : 8.1.0.70      319866 Bytes  09.09.2008 09:56:16
AESCN.DLL     : 8.1.0.23      119156 Bytes  25.07.2008 17:41:22
AERDL.DLL     : 8.1.1.1       397683 Bytes  09.09.2008 09:56:16
AEPACK.DLL    : 8.1.2.1       364917 Bytes  25.07.2008 17:41:22
AEOFFICE.DLL  : 8.1.0.23      196987 Bytes  09.09.2008 09:56:14
AEHEUR.DLL    : 8.1.0.51     1397111 Bytes  09.09.2008 09:56:12
AEHELP.DLL    : 8.1.0.15      115063 Bytes  31.05.2008 14:38:10
AEGEN.DLL     : 8.1.0.36      315764 Bytes  23.08.2008 10:38:08
AEEMU.DLL     : 8.1.0.7       430452 Bytes  05.08.2008 07:49:40
AECORE.DLL    : 8.1.1.11      172406 Bytes  09.09.2008 09:56:08
AEBB.DLL      : 8.1.0.1        53617 Bytes  25.07.2008 17:41:20
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  25.07.2008 17:41:20
AVPREF.DLL    : 8.0.2.0        38657 Bytes  25.07.2008 17:41:20
AVREP.DLL     : 8.0.0.2        98344 Bytes  05.08.2008 07:49:20
AVREG.DLL     : 8.0.0.1        33537 Bytes  25.07.2008 17:41:20
AVARKT.DLL    : 1.0.0.23      307457 Bytes  19.04.2008 18:10:30
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  25.07.2008 17:41:20
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  19.04.2008 18:10:32
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  25.07.2008 17:41:20
NETNT.DLL     : 8.0.0.1         7937 Bytes  19.04.2008 18:10:32
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  25.07.2008 17:41:18
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  25.07.2008 17:41:18

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Montag, 15. September 2008  13:17

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kkqclocd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GetRight.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmartDoctor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SAFECNMEMORY8.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTASK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opwareSE2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINVNC4.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OODAG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVSVC32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FileZillaServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDANTSRV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '49' Prozesse mit '49' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\admin.***.000\Lokale Einstellungen\Temp\.tt51.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\admin.***.000\Lokale Einstellungen\Temp\nsp58.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\phceu7j0e39a.bmp
    [FUND]      Ist das Trojanische Pferd TR/Fakealert.AAF
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Montag, 15. September 2008  15:56
Benötigte Zeit:  2:38:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  49899 Verzeichnisse wurden überprüft
 1690526 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      3 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 1690522 Dateien ohne Befall
  19706 Archive wurden durchsucht
      1 Warnungen
      3 Hinweise
         

Ich hoffe ihr könnt mir weiterhelfen.

Vielen Dank im Voraus

taouri

Hallöle

Geh mal wie folgt vor:


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Danach

MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile
• Lass Das Programm nach dem Scan die Funde unter "Ergebnisse anzeigen" löschen

und

SUPERAntiSpyware:

• Lade dir SUPERAntiSpyware und installiere es
• Folge den Anweisungen und poste das entstandene Logfile

hi hi ich hatte ungefähr das selbe problem versuchs mal mithttp://www.virus-protect.org/artikel/tools/malwarebytes.html .... danach lief mein laptop wie ne eins LG benny

Zitat:

Zitat von benny

hi hi ich hatte ungefähr das selbe problem versuchs mal mithttp://www.virus-protect.org/artikel/tools/malwarebytes.html .... danach lief mein laptop wie ne eins LG benny

Das hab ich schon empfohlen

@SilverDragon: Würde ich gerne machen, aber alle drei Programme lassen sich leider nicht herunterladen...

Danke

taouri

Warum lassen sie sich nicht runterladen?
Hast du schonmal mit einem anderen Browser wie Internet Explorer probiert?

Weil die Links in die glückseligkeit des Nirvana führen. Auch beim IE. Keine Ahnung warum, aber ich kann die Seiten nicht erreichen.

Danke

taouri

Dann kopier folgende Links oben in die Adresszeile:

trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html für Malwarebytes

siri.geekstogo.com/SmitfraudFix_De.php für Smitfraudfix

trojaner-board.de/51871-anleitung-superantispyware.html für Super Anti Spyware

Wenn das nicht geht suche die Anleitungen für Malwarebytes und SUPERAntiSpyware im Unterforum Anleitungen FAQs & Links.

Fehlanzeige, geht auch nicht. Ich bekomme immer die Meldung, dass der Server nicht erreichbar ist. Kommst du denn auf die Seiten? Vielleicht sind sie ja down...

Gruß

taouri

Nein, es kann daran liegen dass die Malware das Laden der Seiten blockiert.

Ich hab die Dateien mal für dich hochgeladen

-Malwarebytes

-SUPERAntiSpyware

-SmitfraudFix

Danke SilverDragon, ich konnte die Dateien jetzt herunterladen. Dummerweise kann ich nur die Systemwiederherstellung nicht deaktivieren. Es läuft eigentlich alles wie in der Anleitung beschrieben, nur dass ich am Ende folgende Fehlermeldung bekomme:

Beim Aktivieren bzw. Deaktivieren der Laufwerke wurde ein Fehler ermittelt. Starten Sie den Computer neu, und wiederholen Sie den Vorgang.

Könnte das auch mit dem Virus zusammenhängen?

Gruß

taouri

Hallo zusammen,

erst mal Sorry wegen dem Doppelpost, aber der Edit wäre wegen der langen Inaktivität in der Versenkung verschwunden.
Ich hab jetzt versucht im abgesicherten Modus die Systemwiederherstellung zu deaktivieren. Über den normalen Weg bin ich nicht mal in den Modus gekommen, ich musste es über MSConfig machen.
Nur leider kann ich die Wiederherstellung auch jetzt noch nicht deaktivieren, ich bekomme die selbe Fehlermeldung wie zuvor und bin all,ählich am Verzweifeln.
Gibt es noch etwas was ich machen kann? Es gäbe auch noch eine andere Windowspartition, auf die ich ausweichen könnte - falls das geht.
Oder heißt es jetzt endgültig plattmachen?

Vielen Dank schonmal

taouri