Zitat:

Sagt dir "AdvertisingCenter" etwas?

Ja.

Zitat:

War in meiner software liste und wurde schon gelöscht.
Allerdings hab ich das (bewusst) nie installiert ...

Warst du auch nicht, das hat das Rootkit erledigt. Die verdienen Geld damit, ungefragt Rogue und Scareware zu installieren.

Je mehr Rechner infiziert werden, desto mehr Geld bekommen sie. Einige fallen auf Scareware und Rogue herein und bezahlen für nichts. So läuft das Geschäft.

Solange ich Logs lese, kannst du weiterscannen. Mir gefällt dein AVP überhaupt nicht, es erkennt ja so gut wie gar nichts. Mir wäre es lieb, wenn du das zeitweise deinstallierst und stattdessen damit scannst => http://www.trojaner-board.de/54192-a...tellungen.html

Kannst danach wieder installieren. Dann noch

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) http://www.trojaner-board.de/59299-a...eb-cureit.html

ciao, andreas

dachte mehr so daran ob dir das installierte insofern was sagt dass du wüsstest was es macht ;>

bin ja leider nicht dein erster fall


scanne immo mit Avira "fullscann"

cureit habe ich vorbereitet

mit dem kaspersky online scanner hab ich immo noch nen problem
der will dass ich die activeX elemente für ALLE benutzer installiere (ergo Administrator)
ich weiß nicht wie ich dass hinbekommen könnte ohne im abgesicherten modus zu starten - und dann hab ich ja selbst im "mit netzwerktreibern" Modus kein Internet um da irgendwas runterzuladen

Als Administrator starten hilft nicht (also den prozess) ... ka sry ;>


Gruß Addy

Dann lasse Kaspersky weg, der macht häufiger Ärger und bei den TDSS-Varianten hängt er eh immer zurück. Habe gerade wieder eine Analyse, achte auf Kaspersky und NOD.

Code: Alles auswählenAufklappen

ATTFilter

Datei UACymophqiafd.dll.vir empfangen 2009.08.07 20:38:35 (UTC)
Status:    Beendet 
Ergebnis: 18/41 (43.91%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.07	Trojan.Win32.FakeCog!IK
AhnLab-V3	5.0.0.2	2009.08.07	Win-Trojan/Alureon.20480.B
AntiVir	7.9.0.248	2009.08.07	TR/Alureon.20480C.1
Antiy-AVL	2.0.3.7	2009.08.07	-
Authentium	5.1.2.4	2009.08.07	-
Avast	4.8.1335.0	2009.08.07	Win32:Fasec
AVG	8.5.0.406	2009.08.07	-
BitDefender	7.2	2009.08.07	-
CAT-QuickHeal	10.00	2009.08.07	-
ClamAV	0.94.1	2009.08.07	-
Comodo	1901	2009.08.07	-
DrWeb	5.0.0.12182	2009.08.07	-
eSafe	7.0.17.0	2009.08.06	Win32.Metajuan
eTrust-Vet	31.6.6665	2009.08.07	Win32/Alureon.AEU
F-Prot	4.4.4.56	2009.08.07	-
F-Secure	8.0.14470.0	2009.08.07	-
Fortinet	3.120.0.0	2009.08.07	-
GData	19	2009.08.07	Win32:Fasec 
Ikarus	T3.1.1.64.0	2009.08.07	Trojan.Win32.FakeCog
Jiangmin	11.0.800	2009.08.07	-
K7AntiVirus	7.10.813	2009.08.07	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.08.07	-
McAfee	5701	2009.08.07	-
McAfee+Artemis	5701	2009.08.07	Artemis!B91C01DC687B
McAfee-GW-Edition	6.8.5	2009.08.07	Trojan.Alureon.20480C.1
Microsoft	1.4903	2009.08.07	Trojan:Win32/Alureon.gen!C
NOD32	4316	2009.08.07	-
Norman	6.01.09	2009.08.07	-
nProtect	2009.1.8.0	2009.08.07	-
Panda	10.0.0.14	2009.08.07	Generic Trojan
PCTools	4.4.2.0	2009.08.07	-
Prevx	3.0	2009.08.07	High Risk Rootkit
Rising	21.41.44.00	2009.08.07	-
Sophos	4.44.0	2009.08.07	Mal/TDSSPack-A
Sunbelt	3.2.1858.2	2009.08.07	FraudTool.Win32.Antivirus2010 (v)
Symantec	1.4.4.12	2009.08.07	Trojan.Metajuan
TheHacker	6.3.4.3.377	2009.08.05	-
TrendMicro	8.950.0.1094	2009.08.07	-
VBA32	3.12.10.9	2009.08.07	-
ViRobot	2009.8.7.1873	2009.08.07	-
VirusBuster	4.6.5.0	2009.08.07	Trojan.Alureon.GHE
weitere Informationen
File size: 20480 bytes
MD5...: b91c01dc687b2984ef4e4f1515ae3ee7
SHA1..: 3bd74815fd9c35977e61f8baa97b04fdf090d9f4
SHA256: a9122a3910802b1ead8d6f00a297f87e6b959550e7424dd86ececdb1184ff57e
ssdeep: 384:gzcC4OhnJJM5GkJRGNEsBjYofnUUNWKnY8Kdb4:gzgOhJG5b3GNEslTcLOY8
w4
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x144b
timedatestamp.....: 0x4a6dac34 (Mon Jul 27 13:31:32 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.itext 0x1000 0x5000 0x1000 3.28 7746f36f01baba7e72648d162ba891a0
.lrq1lr 0x6000 0x4000 0x3000 7.89 c4db749f1c034691ee7595a2a682ecb0
.idata 0xa000 0x13f4 0x800 1.36 4be6a1429a8a3ac0bfb4c767d8e9444d
.rsrc 0xc000 0x1000 0x400 4.90 c62ad4659b964cb29d7f78d3d13fb291

( 2 imports ) 
> kernel32.dll: GetProcAddress, GetProcessVersion, CopyFileA, VirtualProtectEx, ExitProcess
> user32.dll: CharUpperA, CheckMenuItem, EmptyClipboard, DeferWindowPos

( 4 exports ) 
GetAqjmuji, ReadWluwlgj, CloseSgkleair, Nhdhvqrsnxg
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2BEE27F7000A34735027002DDDE82A0039E4E287' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2BEE27F7000A34735027002DDDE82A0039E4E287</a>
         

ciao, andreas

... :S

könnte man ja auch einfach irgend nen script laufen lassen das ram für sich beansprucht ;>


ich lass ma avira fertig scannen und entscheide dann ob ich
"vorsicht scann kann mehrere stunden dauern"
noch n paar std im abgesicherten modus verbringe


wenn du lustig bist kannst du mir auch gerne sagen mit welchen Virenscannern du (besonders) positive erfahrungen gemacht hast.
Um Werbeflames vorzubeugen gerne auch als pm

dauerhaft zu wechseln wäre nichts vor dem ich zurückschrecke
eher davor selber die scanner zu vergleichen ... zu undurchsichtige werbung
zu wenig offener quellcode
zu wenig erfahrung :S


Gruß Addy

Zitat:

mit welchen Virenscannern du (besonders) positive erfahrungen gemacht hast.

Das werde ich laufend gefragt, dazu gibt es mindestens 1000 Threads.
http://www.trojaner-board.de/453090-post29.html
http://www.trojaner-board.de/450548-post5.html
http://www.trojaner-board.de/75833-w...erleitung.html

ciao, andreas

brain.exe ... was hast du eigentlich alles für scheiß links?

und ich hab auch noch fast geglaubt ...

man man man


http://www.pcfreunde.de/forum/t24886/woher-bekomme-ich-brain-exe/

göttlich


lg Addy

Zitat:

göttlich

Ja, aber leider auch traurig, denn die Anzahl der Leute steigt, die ein AVP, dann noch Spybot, jetzt bin ich sicherer, ne, noch AdAware, dann bin ich noch sicherer, ne, noch ZoneAlarm, jetzt bin ich wirklich sicher, ne, da gibt es ja jetzt noch OnlineArmor, damit bin ich wirklich sicher und dann ein Keygen laden und sich wundern, warum denn nun der Rechner infiziert ist, bei soviel Sicherheit.

Brain.exe hätte gereicht, aber das läuft irgendwie nicht bei jedem so richtig.

ciao, andreas

Avira hat fertig ...

ich habe mir erlaubt die offensichtlichen false positives wiederherzustellen


D:\Basics\Programme\CryptLoad_1.1.4\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aaa9f32.qua' verschoben!

Kryptload = Programm um anonym posten / hochladen zu können


C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\****\Desktop\avenger\avenger.exe.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae19f3f.qua' verschoben!

Avenger hab ich da gelasssen wo er is ... brauch ich atm nicht ;>

logfile im anhang

/edit dann mal ab in den abgesicherten ... wenns zu lange geht mach ichs morgen (fertig)

Gruß Addy

Zitat:

ich habe mir erlaubt die offensichtlichen false positives wiederherzustellen

Avenger kann weg bleiben, den brauchen wir nicht mehr und wenn doch, wird er wieder geladen.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Start => Ausführen => combofix /u => OK

ciao, andreas

naja CureIT braucht wohl noch pi mal daumen 4-5 std

zumindest wenns mit der geschwindigkeit weiterscannt ;>


bin hier übern sauberes system drin und wollt mal schaun was es neues gibt
(zuviel zeit um anderes zu tun)


Gruß Addy

1.) Lade dir den Anhang auf deinen Desktop => doppelklicke auf Genotron.reg => klicke auf Ja => lösche Genotron.reg.

2.) Lösche die Ordner

Code: Alles auswählenAufklappen

ATTFilter

C:\rsit
C:\WINDOWS\isRS-000.tmp
C:\Programme\Desktop Butterflies 3D Screensaver
C:\Programme\Panda Security
         

3.) Lösche die Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\ComboFix.txt
C:\WINDOWS\system32\svchost.exee
         

4.) Stell sicher, daß Dir auch alle Dateien angezeigt werden und kontrolliere den Inhalt der Ordner

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~0
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~2
         

5.) Deinstalliere:

• Apple Software Update

6.) Lade die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\anarpokw.sys
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

1. Gemacht

2. C:\WINDOWS\isRS-000.tmp existiert nicht

ich + suche Findet nichts - alle dateien inkl systemdateien werden bereits angezeigt

3. Gemacht

4. Inwiefern kontrollieren?

5. Gemacht

6. Datei existiert nicht


curit log im anhang ... 7 lange stunden


p.s. Systemwiederherstellung wurde erst Nach dem scann deaktiviert

/edit combofix deinstalliert


Gruß Addy

Zitat:

Inwiefern kontrollieren?

Gibt es Dateien, insbesondere ausführbare Programme in den Ordnern?

Deinstalliere DrWeb. Lösche danach den Ordner von DrWeb.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

Code: Alles auswählenAufklappen

ATTFilter

 Datenträger in Laufwerk C: ist Lokaler Datenträger
 Volumeseriennummer: ********

 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

08.08.2009  18:36    <DIR>          .
08.08.2009  18:36    <DIR>          ..
07.06.2009  23:39    <DIR>          {5CB3B214-2971-41B4-93F5-3344A403F942}
07.06.2009  19:04    <DIR>          Acronis (true image scripte)
07.08.2009  21:56    <DIR>          Avira (viel avira kram ...)
02.07.2009  23:22    <DIR>          Installations (teile der software um mein handy mit dem pc zu verbinden)
18.07.2009  09:49    <DIR>          Malwarebytes (...)
27.06.2009  20:59    <DIR>          Microsoft (viel windows kram ...)
12.07.2009  13:54    <DIR>          Microsoft Help (dito)
02.07.2009  23:23    <DIR>          Nokia (noch mehr fürs handy)
05.08.2009  19:55    <DIR>          Skype (skype profilbilder)
07.06.2009  23:16    <DIR>          Windows Genuine Advantage (windows)
08.08.2009  18:36                30 Dateiliste.bat mein script
07.06.2009  19:26                62 desktop.ini
08.08.2009  18:36                 0 dateiliste.txt deine datei
               3 Datei(en)             92 Bytes
              13 Verzeichnis(se), 28.458.983.424 Bytes frei
         

jap is zeugs drinauch ausführbarer code

Gruß Addy

dr web gelöscht inkl ordner

Systemwiederherstellung ist bereits deaktiviert

war nu während dem web scann noch an =)

Gruß addy