| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Was tun gegen Fakealert.AAF und Fakescanner.F?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.09.2008, 15:15
| #1 |
| |  Was tun gegen Fakealert.AAF und Fakescanner.F? Hallo, gestern habe ich mit Antivir meinen gesamten Rechner (XP Home Service Pack 2) gescannt und dabei wurde eine größere Zahl an Trojaner gefunden. (gesamtes Ergebnis siehe unten) Habe bei jedem Fund auf Löschen geklickt, was auch in den Ergebnissen vermerkt wurde. Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 24. September 2008 09:35
Es wird nach 1636327 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: ***
Computername: ***
Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 07:33:31
ANTIVIR3.VDF : 7.0.6.203 346624 Bytes 24.09.2008 07:33:33
Engineversion : 8.1.1.34
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 24.09.2008 07:33:47
AESCN.DLL : 8.1.0.23 119156 Bytes 24.09.2008 07:33:46
AERDL.DLL : 8.1.1.2 438644 Bytes 24.09.2008 07:33:46
AEPACK.DLL : 8.1.2.1 364917 Bytes 24.09.2008 07:33:44
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 24.09.2008 07:33:44
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 24.09.2008 07:33:42
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.36 315764 Bytes 24.09.2008 07:33:40
AEEMU.DLL : 8.1.0.7 430452 Bytes 24.09.2008 07:33:38
AECORE.DLL : 8.1.1.11 172406 Bytes 24.09.2008 07:33:36
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 24.09.2008 07:33:34
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Mittwoch, 24. September 2008 09:35
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CAVTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'caissdt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CAVRid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb07.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lphc77cj0e12c.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VetMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISafe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AccVSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\smart.dll
[FUND] Ist das Trojanische Pferd TR/PSW.Wow.bht
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
Die Registry wurde durchsucht ( '71' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
C:\ARK17.tmp
[FUND] Ist das Trojanische Pferd TR/PSW.Wow.bht
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt1.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt17.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt4.tmp
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPAntivirus.TA
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt4.tmp.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPAntivirus.TA
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt5.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt6.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt7.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt8.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt9.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\pant.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsc3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsh3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsi3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsk3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsm3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsm4.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsw3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsx8.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-16\pdf.php
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Small.CR.2
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-17\pdf.php
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Small.CR.2
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-18\pdf.php
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Small.CR.2
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-19\pdf.php
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Small.CR.2
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\26PHI4JC\live[1].exe
[FUND] Ist das Trojanische Pferd TR/PSW.Wow.bci.8
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C0RG0FMH\index[1]
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J2OI56SO\x[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.18944.131
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP4\A0000083.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP4\A0000084.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\6KtLcr.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\B3N6Bj.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\BUij9r.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\HLpZiw.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\IFPakW.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\jUDRq0.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\phc77cj0e12c.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\sysrest.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] TR/Rootkit.Gen:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys]
[HINWEIS] TR/Rootkit.Gen:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_sysrest.sys]
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\uvjOdU.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\vHCW21.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\vwS2SC.syz
[FUND] Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Mittwoch, 24. September 2008 11:42
Benötigte Zeit: 2:07:09 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
8745 Verzeichnisse wurden überprüft
471892 Dateien wurden geprüft
40 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
40 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
471850 Dateien ohne Befall
9613 Archive wurden durchsucht
4 Warnungen
40 Hinweise
1.) C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tt8E.tmp Ist das Trojanische Pferd TR/FakeScanner.F 2.) C:\WINDOWS\system32\phc77cj0e12c.bmp Ist das Trojanische Pferd TR/Fakealert.AAF Das zweite zeigt mir auf dem Desktop als Hintergrund immer folgendes an:  Es bringt auch nichts, die Datei zu löschen, da sie beim nächsten Hochfahren wieder da ist. Ich hoffe, dass mir jemand weiterhelfen kann. Lucyfan470 |
| Themen zu Was tun gegen Fakealert.AAF und Fakescanner.F? |
| .dll, antivir, avg, avgnt.exe, content.ie5, ctfmon.exe, desktop, einstellungen, home, immer wieder, index, internet, jusched.exe, logon.exe, lsass.exe, löschen, mdm.exe, modul, monitor.exe, msiexec.exe, nt.dll, programme, prozesse, registry, rundll, sched.exe, services.exe, suchlauf, svchost.exe, system volume information, tr/crypt.xpack.ge, trojaner, verweise, virus, virus gefunden, warnung, was tun, windows, winlogon.exe |
Baum-Darstellung