|
Plagegeister aller Art und deren Bekämpfung: Spyware- trojaner "TR/FakeAV.bak.2"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.10.2008, 14:46 | #1 |
| Spyware- trojaner "TR/FakeAV.bak.2" Hallo, hatte/habe ein Problem wo irgendetwas mit antispyware ist und mein Pc versucht irgendetwas herunter zu laden und zu installieren "antispyware2009" oder so. Das hatte ich allerdings abgebrochen und auf einmal hat er einen Neustart vorgenommen. Das Problem, was ich danach hatte war, dass in der Taskleiste ein Kreuz war und er mir immer wieder andrehen wollte, dass ich doch die antispyware runterladen soll. Zudem öffnet sich immer ein angebliches windowsfenster, was fragt: "Do you want to block this software from sending dara over the Internet? Name: Trojan-Sy.Win32.KeyLogger.aa Risklevel: critical" Dieses Fenster kann ich weder weiterhin blocken noch entblocken "enable Protection" ist meine einzige Auswahlsmöglichkeit. Nachdem ich CCleaner und ComboFix durchlaufen hab lassen, kam folgende Textdatei bei raus, die ich allerdings in keinster weise interpretieren kann. Darum bitte ich um Hilfe, ob mir vllt wer sagen könnte, ob ich immernoch den Virus drauf hab oder nicht. Das Kreuz ist zwar weg, aber so 100% sicher bin ich mir nunmal nicht, da das oben genannte Fenster von Windows immer noch auftaucht. Vielen Dank schonmal im voraus! Die Textdatei von ComboFix: -------------------------------------------------- ComboFix 08-10-11.02 - Kruzn 2008-10-12 15:14:02.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1580 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kruzn\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 )))))))))))))))))))))))))))))) . 2008-10-12 14:09 . 2008-10-12 14:10 65,428 --a------ C:\WINDOWS\system32\wini104552663.exe 2008-10-12 14:08 . 2008-10-12 14:08 <DIR> d-------- C:\Programme\lxgaheb 2008-10-12 14:08 . 2008-10-12 14:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\chorynwf 2008-10-12 14:08 . 2008-10-12 14:08 81,920 --a------ C:\WINDOWS\system32\khgbcjun.exe 2008-10-09 19:56 . 2008-10-09 19:56 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-10-04 18:30 . 2008-10-04 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio 2008-09-25 13:20 . 2008-09-25 13:25 <DIR> d-------- C:\Dokumente und Einstellungen\Kruzn\Anwendungsdaten\mIRC 2008-09-18 14:38 . 2008-09-18 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire 2008-09-18 02:41 . 2008-09-18 02:41 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll 2008-09-17 16:45 . 2008-04-14 04:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-09-17 14:49 . 2008-09-17 14:49 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-09-17 14:49 . 2008-09-17 14:49 <DIR> d-------- C:\WINDOWS\system32\de 2008-09-17 14:49 . 2008-09-17 14:49 <DIR> d-------- C:\WINDOWS\system32\bits 2008-09-17 14:49 . 2008-09-17 14:49 <DIR> d-------- C:\WINDOWS\l2schemas 2008-09-17 14:48 . 2008-09-17 14:50 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-09-17 14:47 . 2008-09-17 14:47 <DIR> d-------- C:\WINDOWS\EHome . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-12 13:07 --------- d-----w C:\Programme\FlashGet 2008-10-12 12:08 --------- d-----w C:\Programme\ICQToolbar 2008-10-11 23:21 --------- d-----w C:\Dokumente und Einstellungen\Kruzn\Anwendungsdaten\Xfire 2008-10-10 13:06 --------- d-----w C:\Dokumente und Einstellungen\Kruzn\Anwendungsdaten\teamspeak2 2008-10-09 17:30 183,120 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-10-09 17:30 137,480 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-10-09 12:36 --------- d-----w C:\Dokumente und Einstellungen\Kruzn\Anwendungsdaten\ICQ 2008-09-24 21:04 --------- d-----w C:\Dokumente und Einstellungen\Kruzn\Anwendungsdaten\Ventrilo 2008-08-28 19:16 --------- d-----w C:\Programme\Sun 2008-08-28 19:16 --------- d-----w C:\Programme\Java 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-02-15 22:48 22,328 ----a-w C:\Dokumente und Einstellungen\Kruzn\Anwendungsdaten\PnkBstrK.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "Steam"="g:\steam\steam.exe" [2008-10-08 1410296] "WebMon"="C:\WINDOWS\system32\khgbcjun.exe" [2008-10-12 81920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "Flashget"="C:\Programme\FlashGet\FlashGet.exe" [2007-09-25 2007088] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-02-15 1838592] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "RTHDCPL"="RTHDCPL.EXE" [2008-01-29 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\KerstinA\Startmen\Programme\Autostart\ Xfire.lnk - I:\Xfire\xfire.exe [2008-09-18 3089232] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] Ashampoo Magical Defrag.lnk - H:\Programme\Ashampoo Magical Defrag\bin\aDefragCtrl.exe [2008-04-02 4540120] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "syssh"= {621483C7-EF15-1660-0E71-00BE5E159BBC} - C:\Programme\lxgaheb\syssh.dll [2008-10-12 102400] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.XFR1"= xfcodec.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\FlashGet\\flashget.exe"= "H:\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"= "H:\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "G:\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"= "G:\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"= "G:\\World of Warcraft\\WoW-2.3.0-deDE-downloader.exe"= "G:\\Steam\\SteamApps\\hatschie\\counter-strike source\\hl2.exe"= "G:\\World of Warcraft\\BackgroundDownloader.exe"= "H:\\Programme\\ICQ6\\ICQ.exe"= "G:\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "I:\\Xfire\\xfire.exe"= "H:\\AgeOfEmpires\\EMPIRES2.ICD"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "H:\\Programme\\mIRC\\mirc.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) S3 DualCoreCenter;DualCoreCenter;C:\Programme\ATI Technologies\ATI.ACE\NTGLM7X.sys [ ] S3 FLASHSYS;FLASHSYS;C:\Programme\ATI Technologies\ATI.ACE\FLASHSYS.sys [ ] S3 RushTopDevice2;RushTopDevice2;C:\Programme\ATI Technologies\ATI.ACE\RushTop.sys [ ] S3 SIVDRIVER;SIV Kernel Driver;C:\WINDOWS\system32\Drivers\SIVX32.sys [2008-02-11 48480] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\KerstinA\Anwendungsdaten\Mozilla\Firefox\Profiles\mfby9cfk.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-12 15:14:38 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-12 15:15:00 ComboFix-quarantined-files.txt 2008-10-12 13:14:58 ComboFix2.txt 2008-10-12 13:10:20 Vor Suchlauf: 3,248,508,928 Bytes frei Nach Suchlauf: 3,237,474,304 Bytes frei 142 --- E O F --- 2008-09-18 15:54:28 ----------------------------------------------------------------- |
Themen zu Spyware- trojaner "TR/FakeAV.bak.2" |
100%, antivir, auf einmal, avg, avgnt, avgnt.exe, avira, browser, call of duty, combofix, counter-strike source, ctfmon.exe, desktop, einstellungen, firefox, firefox.exe, google, home, immer wieder, internet, jusched.exe, malware, mozilla, problem, rthdcpl.exe, scan, security, software, suchlauf, system, tcp, teamspeak, trojaner, virus, windows xp, windows\system32\drivers |