TR/Fakealert.AAF ---? Hilfe!

lemmi93 · 29.09.2008, 17:23

sry aber log.txt kann ich nur als link schicken....
das daurt bei mir
mom also

lemmi93 · 29.09.2008, 17:29

hier kommt der link von log.txt. das info ist schon da, weils klein genug war

File-Upload.net - log.txt

myrtille · 29.09.2008, 17:52

Die beiden Logs sehen schon ganz gut aus.

Rufe bitte HijackThis erneut auf.
Klick auf Do a system scan only

Setzen einen Haken vor folgende Einträge (wenn sie noch vorhanden sind.

)

Zitat:

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [lphcck7j0ejba] C:\WINDOWS\system32\lphcck7j0ejba.exe
O4 - HKLM\..\Run: [SMrhc9k7j0ejba] C:\Programme\rhc9k7j0ejba\rhc9k7j0ejba.exe

Klicke unten auf Fix checked
Poste danach ein neues Hijackthislog hier.

Hast du die Option 2 von Navilog durchlaufen lassen?

lg myrtille

lemmi93 · 29.09.2008, 17:59

hier kommt das scan ergebnis cleannavi

Navipromo Removal version 3.6.5 started on 29.09.2008 at 18:44:30,22

Fix running from C:\Programme\navilog1
Actual User Account : "Eric"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results

Cleanning stage done on Reboot

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *

* Deletion in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

*** Deleting folders in "C:\WINDOWS" ***

*** Deleting folders in "C:\Programme" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Eric\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Eric\startm~1\progra~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***

*** Deleting files ***

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Eric\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "C:\WINDOWS\system32" *

* In "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" *

cqqgkmc.dat found !
Copy cqqgkmc.dat done !
cqqgkmc.dat deleted !

cqqgkmc_nav.dat found !
Copy cqqgkmc_nav.dat done !
cqqgkmc_nav.dat deleted !

cqqgkmc_navps.dat found !
Copy cqqgkmc_navps.dat done !
cqqgkmc_navps.dat deleted !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 29.09.2008 at 18:53:02,74 ***

lemmi93 · 29.09.2008, 18:05

das hier ist das neue log von hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:04, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\notepad.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = IESearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Popsicle - {A67B8FE1-8E6D-44D6-8D74-9C28E7BFF35C} - C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\ADVPro.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll
O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995F657-BEE6-43C8-BB37-8D33E00F9AE2}: NameServer = 195.50.140.178 195.50.140.114
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

--
End of file - 6797 bytes

myrtille · 29.09.2008, 18:09

Hi,

das sieht gut aus.

Hast du noch Probleme mit dem Rechner?

Ansonsten könnte man anfangen die genutzten Programme wieder zu deinstallieren:
Hijackthis, SuperAntiSpyware und Navilog über Start->systemsteuerung->software deinstallieren.

RSIT kannst du einfach so löschen. (Sowie den Ordner C:\rsit)

Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst.
Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht.

lg myrtille

lemmi93 · 29.09.2008, 18:15

ich kann halt unter eigenschaften das hintergrundbild nicht ändern , also wie vorher.
was hast du denn gefunden?

myrtille · 29.09.2008, 21:46

Hi,

dann lass bitte mal noch Malwarebytes über deinen Rechner laufen und poste das Log hier.

lg myrtille

lemmi93 · 29.09.2008, 21:59

wie jetz malwarebites?
als ich avira durchlaufen ließ hat der nur noch einen virus angezeigt und der hieß anders
nämlich TR/Dldr.Small.adwv'
is das vllt. der wahre grund für meinen vermurksten desktop?
ich hab den deleted und das prob is noch immer da

myrtille · 29.09.2008, 22:19

Hi,

das Problem mit dem Desktophintergrund stammt von Fakealert, das ist eine Einstellung, die man unter Windows vornehmen kann, wenn man nicht will, dass der Desktophintergrund von jedem verändert werden kann.

Ich weiß dass das Programm Malwarebytes diesen Eintrag entfernt, daher denke ich, dass du dein Problem damit lösen können solltest.

Wo hat Antivir den Befall denn gemeldet? (Welche Datei)

lg myrtille

lemmi93 · 29.09.2008, 22:23

Die Datei 'C:\System Volume Information\_restore{55243C3A-DBAE-43BF-944B-4F8057F37D00}\RP35\A0009096.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Small.adwv' [trojan].

unter der datei war das

soll ich Malwarebytes jetz durchlaufn lassen ???

myrtille · 29.09.2008, 22:26

Hi,

ja bitte.

Um den Ordner System Volume Information kümmenr wir uns noch.

Den hätte ich dir eh noch bereinigt

EDIT: Das ist eine Art Backup das Windows von sich selbst anlegt. Was da einmal reinkommt, kann nur von Windows selbst wieder herausgeholt werden.
Das heißt der Befall ist zwar noch auf deinem Rechner, kann sich aber nicht mehr ausführen und ist daher ungefährlich

lg myrtille

lemmi93 · 29.09.2008, 22:31

als welche funktion den ?
vollständiger suchlauf ?

myrtille · 29.09.2008, 22:46

Nein, der schnelle Scan sollte reichen, dauert etwa 5 Minuten.

lg myrtille

lemmi93 · 29.09.2008, 22:50

ok was soll ich machn dir den bericht schickn ??

29.09.2008, 22:46	#29
myrtille /// TB-Ausbilder	TR/Fakealert.AAF ---? Hilfe! Nein, der schnelle Scan sollte reichen, dauert etwa 5 Minuten. lg myrtille __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly!

TR/Fakealert.AAF ---? Hilfe!

Plagegeister aller Art und deren Bekämpfung: TR/Fakealert.AAF ---? Hilfe!