|
Plagegeister aller Art und deren Bekämpfung: MicroAV Wie bekomm ich das weg?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.09.2008, 10:54 | #1 |
| MicroAV Wie bekomm ich das weg? Hallo Community, ich hoffe ihr könnt mir helfen. Ich hab hier schon einen Thread dazu gefunden, allerdings erschien mir die Problematik dort nicht ganz auf mich zuzutreffen. ich hab mir diesen MicroAV eingefangen, was ich zunächst gar nicht gemerkt hatte, weil es so sehr nach windows aussieht Ich habe nun ein schickes BioHazard zeichen als versteckten Link als Desktophintergrund, verschiedene Verknüpfungen zu pseudo-Virenschutz-Seiten, kann unter dem Hauptprofil den Taskmanager nicht starten ("Dienst wurde von Administrator unterbunden" oder so ähnlich) und verzweifele grad. Hab nun erst mal das Profil gewechselt, damit ich überhaupt irgendwas machen kann. Im Browser springen ständig die Seiten rum... ach. *heul* Habe Spybot drüber laufen lassen, einige verfolgende Cookies und Registryeinträge konnten behoben werden, allerdins nicht alle. Hier ein HijackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:47, on 19.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\pdf24\PDFBackend.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\Opera\Opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://mediasportal--2008.com/phandl...=0&aid=0&pid=2 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: QXK Olive - {8B93A89B-7332-4B4B-830C-72EB6323D0DB} - C:\WINDOWS\vmgspntbvlw.dll O3 - Toolbar: fqbewlna - {32678B97-2C98-4D22-A8F6-55C35572E946} - C:\WINDOWS\fqbewlna.dll (file missing) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [\YUR153.exe] C:\Windows\system32\YUR153.exe O4 - HKLM\..\Run: [\YUR157.exe] C:\Windows\system32\YUR157.exe O4 - HKLM\..\Run: [\YUR159.exe] C:\Windows\system32\YUR159.exe O4 - HKLM\..\Run: [\YUR15A.exe] C:\Windows\system32\YUR15A.exe O4 - HKLM\..\Run: [ANTIVIRUS] C:\Programme\MicroAV\MicroAV.exe O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe O4 - HKLM\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [SpybotDeletingA6354] command /c del "C:\Programme\PCHealthCenter\0.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingC2978] cmd /c del "C:\Programme\PCHealthCenter\0.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingA9649] command /c del "C:\Programme\PCHealthCenter\1.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingC824] cmd /c del "C:\Programme\PCHealthCenter\1.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingA1375] command /c del "C:\Programme\PCHealthCenter\1.ico" O4 - HKLM\..\RunOnce: [SpybotDeletingC568] cmd /c del "C:\Programme\PCHealthCenter\1.ico" O4 - HKLM\..\RunOnce: [SpybotDeletingA2351] command /c del "C:\Programme\PCHealthCenter\2.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC7277] cmd /c del "C:\Programme\PCHealthCenter\2.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA4140] command /c del "C:\Programme\PCHealthCenter\2.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingC1224] cmd /c del "C:\Programme\PCHealthCenter\2.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingA840] command /c del "C:\Programme\PCHealthCenter\2.ico" O4 - HKLM\..\RunOnce: [SpybotDeletingC6575] cmd /c del "C:\Programme\PCHealthCenter\2.ico" O4 - HKLM\..\RunOnce: [SpybotDeletingA3161] command /c del "C:\Programme\PCHealthCenter\3.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingC7521] cmd /c del "C:\Programme\PCHealthCenter\3.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingA6487] command /c del "C:\Programme\PCHealthCenter\0.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC7711] cmd /c del "C:\Programme\PCHealthCenter\0.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA7621] command /c del "C:\Programme\PCHealthCenter\1.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC2482] cmd /c del "C:\Programme\PCHealthCenter\1.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA9563] command /c del "C:\Programme\PCHealthCenter\3.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC6834] cmd /c del "C:\Programme\PCHealthCenter\3.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA6201] command /c del "C:\Programme\PCHealthCenter\4.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC1370] cmd /c del "C:\Programme\PCHealthCenter\4.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA6268] command /c del "C:\WINDOWS\system32\tdssadw.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC6390] cmd /c del "C:\WINDOWS\system32\tdssadw.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA5682] command /c del "C:\WINDOWS\system32\tdssl.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC7495] cmd /c del "C:\WINDOWS\system32\tdssl.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA2332] command /c del "C:\WINDOWS\system32\tdsslog.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC3077] cmd /c del "C:\WINDOWS\system32\tdsslog.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA4598] command /c del "C:\WINDOWS\system32\tdssmain.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC8959] cmd /c del "C:\WINDOWS\system32\tdssmain.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA9552] command /c del "C:\WINDOWS\system32\tdssserf.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC4271] cmd /c del "C:\WINDOWS\system32\tdssserf.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA6055] command /c del "C:\WINDOWS\dtseqrxk.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC3222] cmd /c del "C:\WINDOWS\dtseqrxk.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingA1706] command /c del "C:\WINDOWS\mgxfebsq.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC8179] cmd /c del "C:\WINDOWS\mgxfebsq.dll_old" O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ANTIVIRUS] C:\Programme\MicroAV\MicroAV.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB7682] command /c del "C:\Programme\PCHealthCenter\0.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingD1700] cmd /c del "C:\Programme\PCHealthCenter\0.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingB8583] command /c del "C:\Programme\PCHealthCenter\1.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingD3699] cmd /c del "C:\Programme\PCHealthCenter\1.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingB9951] command /c del "C:\Programme\PCHealthCenter\1.ico" O4 - HKCU\..\RunOnce: [SpybotDeletingD516] cmd /c del "C:\Programme\PCHealthCenter\1.ico" O4 - HKCU\..\RunOnce: [SpybotDeletingB7710] command /c del "C:\Programme\PCHealthCenter\2.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD3785] cmd /c del "C:\Programme\PCHealthCenter\2.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB6676] command /c del "C:\Programme\PCHealthCenter\2.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingD6619] cmd /c del "C:\Programme\PCHealthCenter\2.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingB1126] command /c del "C:\Programme\PCHealthCenter\2.ico" O4 - HKCU\..\RunOnce: [SpybotDeletingD521] cmd /c del "C:\Programme\PCHealthCenter\2.ico" O4 - HKCU\..\RunOnce: [SpybotDeletingB9114] command /c del "C:\Programme\PCHealthCenter\3.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingD779] cmd /c del "C:\Programme\PCHealthCenter\3.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingB3230] command /c del "C:\Programme\PCHealthCenter\0.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD8148] cmd /c del "C:\Programme\PCHealthCenter\0.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB4533] command /c del "C:\Programme\PCHealthCenter\1.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD3771] cmd /c del "C:\Programme\PCHealthCenter\1.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB8352] command /c del "C:\Programme\PCHealthCenter\3.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD7974] cmd /c del "C:\Programme\PCHealthCenter\3.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB6323] command /c del "C:\Programme\PCHealthCenter\4.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD366] cmd /c del "C:\Programme\PCHealthCenter\4.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB5394] command /c del "C:\WINDOWS\system32\tdssadw.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD3792] cmd /c del "C:\WINDOWS\system32\tdssadw.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB3817] command /c del "C:\WINDOWS\system32\tdssl.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD5326] cmd /c del "C:\WINDOWS\system32\tdssl.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB2086] command /c del "C:\WINDOWS\system32\tdsslog.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD80] cmd /c del "C:\WINDOWS\system32\tdsslog.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB3963] command /c del "C:\WINDOWS\system32\tdssmain.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD8350] cmd /c del "C:\WINDOWS\system32\tdssmain.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB397] command /c del "C:\WINDOWS\system32\tdssserf.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD4700] cmd /c del "C:\WINDOWS\system32\tdssserf.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB8926] command /c del "C:\WINDOWS\dtseqrxk.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD7181] cmd /c del "C:\WINDOWS\dtseqrxk.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingB810] command /c del "C:\WINDOWS\mgxfebsq.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD6607] cmd /c del "C:\WINDOWS\mgxfebsq.dll_old" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextde.oberon-media.com/G...onGameHost.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: mgxfebsq - {EC075CF8-E7E2-4F82-9855-47286C7F172A} - C:\WINDOWS\mgxfebsq.dll (file missing) O21 - SSODL: dtseqrxk - {F90DE08D-16E4-4759-B1F3-8F646CB69407} - C:\WINDOWS\dtseqrxk.dll (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 12921 bytes ich würd mich sehr über Hilfe freuen. Wenns geht eine halbe DAU Anleitung, ich komm zwar klar mit PCs, aber wenns um Registry und sonstiges geht, versteh ich nur Bahnhof. Bei Bedarf kann ich auch noch einen Screenshot vom aktuellen Spybot Suchlauf anhängen (also, der zweite dann sozusagen). moah, heul piens, das is doch echt moah! EDIT: lasse grad noch Malwarebytes drüberlaufen, stelle dann - falls es einen log gibt - diesen hier rein. Geändert von muhkuh (19.09.2008 um 11:02 Uhr) |
19.09.2008, 12:22 | #2 |
| MicroAV Wie bekomm ich das weg? Hier der Malwarebytes Log nachm Neustart und dem button zum Entfernen:
__________________Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1172 Windows 5.1.2600 Service Pack 2 19.09.2008 13:30:46 mbam-log-2008-09-19 (13-30-46).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 89333 Laufzeit: 21 minute(s), 40 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 10 Infizierte Dateiobjekte der Registrierung: 8 Infizierte Verzeichnisse: 3 Infizierte Dateien: 19 Infizierte Speicherprozesse: C:\Programme\MicroAV\MicroAV.exe (Rogue.MicroAntivirus) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\TypeLib\{cb367c75-6190-4ce0-a255-7c1199f0358e} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2f9b1a90-1e69-41eb-ad33-6202aad9a554} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{3a412635-30fd-42d0-a704-c9493be88b9c} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\fqbewlna.bemv (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\fqbewlna.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur153.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur157.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur159.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur15a.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur1.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur2.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur3.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur4.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\privacy_danger (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. Infizierte Dateien: C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004430.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004425.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004426.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004428.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004431.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004432.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004433.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004438.dll (Trojan.Zlob) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004442.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV.cpl (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV.exe (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV.ooo (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV0.dat (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV1.dat (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\mqgldfvo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\vmgspntbvlw.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\MicroAV.cpl (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***user***\Desktop\QUALITY PORN.url (Rogue.Link) -> Quarantined and deleted successfully. Geändert von muhkuh (19.09.2008 um 12:31 Uhr) |
19.09.2008, 12:50 | #3 |
MicroAV Wie bekomm ich das weg? Hi,
__________________mach bitte mal das: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ |
19.09.2008, 13:20 | #4 |
| MicroAV Wie bekomm ich das weg? Dankeschön für deine Hilfe. Habe CCleaner und Combofix laut Anleitung durchlaufen lassen, mit folgendem Ergebnis: ComboFix 08-09-16.05 - **user** 2008-09-19 14:13:56.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1522 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\**user**\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\eflx.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-08-19 bis 2008-09-19 )))))))))))))))))))))))))))))) . 2008-09-19 14:08 . 2008-09-19 14:08 <DIR> d-------- C:\Programme\CCleaner 2008-09-19 13:11 . 2008-09-19 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-09-19 13:10 . 2008-09-19 13:10 <DIR> d-------- C:\Programme\SUPERAntiSpyware 2008-09-19 13:10 . 2008-09-19 13:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-19 13:10 . 2008-09-19 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\SUPERAntiSpyware.com 2008-09-19 12:00 . 2008-09-19 12:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-19 12:00 . 2008-09-19 12:00 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\Malwarebytes 2008-09-19 12:00 . 2008-09-19 12:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-19 12:00 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-19 12:00 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-19 11:36 . 2008-09-19 11:36 <DIR> d-------- C:\Programme\Trend Micro 2008-09-19 11:33 . 2008-09-19 11:34 1,002 --a------ C:\WINDOWS\wininit.ini 2008-09-19 11:14 . 2008-09-19 11:14 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-09-19 11:08 . 2008-09-19 11:08 <DIR> d-------- C:\Programme\Avira 2008-09-19 11:08 . 2008-09-19 11:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-19 11:02 . 2008-09-19 11:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-09-19 11:02 . 2008-09-19 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-19 10:56 . 2008-09-19 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\TmpRecentIcons 2008-09-19 10:45 . 2008-09-19 10:45 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\TmpRecentIcons 2008-09-19 09:58 . 2008-09-19 10:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy2 2008-09-18 11:02 . 2008-09-18 11:02 <DIR> d-------- C:\Programme\uTorrent 2008-09-18 11:01 . 2008-09-19 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\uTorrent 2008-09-11 13:51 . 2008-09-11 13:51 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\Apple Computer 2008-09-11 13:42 . 2008-09-11 13:43 <DIR> d-------- C:\Programme\QuickTime 2008-09-11 13:42 . 2008-09-11 13:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2008-09-11 13:42 . 2008-09-11 13:42 <DIR> d-------- C:\Programme\Apple Software Update 2008-09-11 13:42 . 2008-09-11 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-09-11 13:42 . 2008-09-11 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts 2008-09-04 10:40 . 2008-09-04 10:41 <DIR> d-------- C:\Programme\pdf24 2008-08-27 12:01 . 2008-08-27 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\IrfanView 2008-08-22 15:20 . 2008-08-22 15:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FireGlow . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-19 08:52 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-09-19 08:50 --------- d-----w C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\Skype 2008-09-19 07:58 --------- d-----w C:\Programme\GamesBar 2008-09-19 07:57 --------- d-----w C:\Programme\Gamenext 2008-09-19 07:41 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-09-19 07:39 --------- d-----w C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\skypePM 2008-09-18 09:16 --------- d-----w C:\Programme\Mozilla Sunbird 2008-07-29 07:37 --------- d-----w C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\WEB.DE 2008-07-29 07:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEB.DE 2008-07-09 09:09 0 ----a-w C:\Programme\temp01 . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "PDFPrint"="C:\Programme\pdf24\PDFBackend.exe" [2008-01-31 134144] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "RTHDCPL"="RTHDCPL.EXE" [2008-02-19 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - SSODL-mgxfebsq-{EC075CF8-E7E2-4F82-9855-47286C7F172A} - (no file) SSODL-dtseqrxk-{F90DE08D-16E4-4759-B1F3-8F646CB69407} - (no file) . ------- Zusätzlicher Suchlauf ------- . R0 -: HKCU-Main,Start Page = about:blank R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://mediasportal--2008.com/phandler.php?sid=0&pn=&said=0&aid=0&pid=2 O17 -: HKLM\CCS\Interface\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1 O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game03.zylom.com/activex/zylomgamesplayer.cab C:\WINDOWS\Downloaded Program Files\ZylomGamesPlayer.inf C:\WINDOWS\Downloaded Program Files\zylomgamesplayer.dll O16 -: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab C:\WINDOWS\Downloaded Program Files\OberonGameHost_dbg.inf C:\WINDOWS\Downloaded Program Files\OberonGameHost.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-19 14:15:04 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-19 14:15:29 ComboFix-quarantined-files.txt 2008-09-19 12:15:27 Vor Suchlauf: 6 Verzeichnis(se), 201,502,883,840 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 201,827,348,480 Bytes frei 122 --- E O F --- 2008-09-19 09:14:15 Soll ich einen neuen HijackThis Log posten, oder muss nun erst mal noch differential Diagnose betrieben werden? (es ist schon viel viel besser geworden, normaler hintergrund, keine popups... <3 ) |
19.09.2008, 13:22 | #5 |
MicroAV Wie bekomm ich das weg? Sieht gut aus, bis auf Spybot eben. Noch Probleme mit dem Rechner?
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
19.09.2008, 13:28 | #6 |
| MicroAV Wie bekomm ich das weg? Was ist mit Spybot? habe bisher nur gute erfahrungen gemacht, aber ich hab ja auch keine Ahnung Nein, augenscheinlich momentan keine Probleme mehr :aplaus: Oh ich bin so froh, ich bin so froh!! HURRA! |
19.09.2008, 13:30 | #7 |
MicroAV Wie bekomm ich das weg? Spybot ist einfach nicht befriedigend in dem Sinne, was er eigentlich leisten sollte. Der TeaTimer bereitet mehr Probleme, als er verhindern sollte. Als Alternative würde ich SUPERAntiSpyware oder Malwarebytes empfehlen und damit gelegentliche Scans durchführen.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
22.09.2008, 09:37 | #8 |
| MicroAV Wie bekomm ich das weg? Ich muss den Thread noch mal hochholen, habe noch eine Frage. Hoffe das passt noch hier dazu. Dieser MicroAV Virus scheint ja ziemliche Runden gemacht zu haben, ich sehe hier unglaublich viele Themen zu ihm. Weiß jemand genaueres wo er herkommt, oder hat sonst jemand mehr Informationen zu dem? Ich frage mich nur, ob alle Leute auf den gleichen Scheiß geklickt haben, oder gemacht haben oder sonst was, oder ob der sich einfach schon so massiv verbreitet haben kann. Ich bin so planlos, ich hoffe ihr wisst, was ich meine Ich finds beängstigend. |
29.10.2008, 23:32 | #9 |
MicroAV Wie bekomm ich das weg? Man fängt sich das ein, indem man heiter auf alle blinkenden und kunterbunten Popups klickt.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
Themen zu MicroAV Wie bekomm ich das weg? |
administrator, adobe, antivir, antivirus, avira, bho, browser, explorer, google, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, hängen, internet, internet explorer, nicht starten, opera, pdf, software, starten, suchlauf, system, taskmanager, verfolgende cookies, windows, windows xp, wmid |