|
Plagegeister aller Art und deren Bekämpfung: TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.09.2009, 14:14 | #16 | |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Hallo Christina, Zitat:
1.) Falls du dieses Programm nicht kennst oder benutzt, dann bitte deinstallieren => ABBYY FineReader 6.0 Sprint 2.) Deinstalliere:
Code:
ATTFilter C:\Dokumente und Einstellungen\******\Anwendungsdaten\lizkavd.exe C:\Dokumente und Einstellungen\******\Anwendungsdaten\svcst.exe C:\WINDOWS\zopokiqor.exe C:\WINDOWS\system32\ycelob.dll C:\WINDOWS\system32\osuzat.exe C:\Programme\Gemeinsame Dateien\suhoka.exe C:\Dokumente und Einstellungen\******\Anwendungsdaten\uxakufohi.com C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ufufewere.com C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\omameqice.vbs C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ekivew.com C:\Dokumente und Einstellungen\******\Anwendungsdaten\seres.exe ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? Geändert von john.doe (27.09.2009 um 14:23 Uhr) |
27.09.2009, 15:58 | #17 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Lieber Andreas,
__________________meine Hausaufgaben habe ich erledigt, beim Aufspüren der Dateien, die ich uploaden sollte, konnte ich folgende nicht finden (Es war einfach nichts zu sehen): C:\Dokumente und Einstellungen\******\Anwendungsdaten\seres.exe C:\Dokumente und Einstellungen\******\Anwendungsdaten\lizkavd.exe C:\Dokumente und Einstellungen\******\Anwendungsdaten\svcst.exe und C:\Programme\Gemeinsame Dateien\suhoka.exe konnte ich auch nicht finden: Ich erinnere mich aber dunkel, dass ich neulich nach der Atacke in meiner Panik genau in diesem Bereich eine seltsame Datei gelöscht habe ( mit Papierkorb und CCleaner) Wie geht es jetzt weiter, wie schlimm ist die Lage? Gruß Christina |
27.09.2009, 18:17 | #18 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Die Daten, die du hochgeladen hast, hatten alle denselben Inhalt: Datenmüll. Nicht eine davon ist gefährlich, da scheint zu deinem Glück ein Download vorzeitig abgebrochen worden zu sein.
__________________Erstelle ein Filelisting.
__________________ |
27.09.2009, 19:52 | #19 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm So, hier ist die logfile listing: huch, muss da noch ma ran Geändert von All_I_Need (27.09.2009 um 19:59 Uhr) |
27.09.2009, 20:06 | #20 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm So, jetzt müsste das gehen hier deine logfile: http://www.materialordner.de/l9jAw4C94dujilyLOUF6C1QYIEV6ADDM.html |
27.09.2009, 21:02 | #21 | |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Im Filelisting habe ich weitere Schädlinge gefunden. Möchtest du die von Hand löschen oder soll ich dir ein Skript schreiben (Avenger oder ComboFix). Code:
ATTFilter 23.09.2009 00:04 15.366 osuzat.exe 23.09.2009 00:04 12.080 rydukegole.inf 23.09.2009 00:04 15.335 qijoxyb.db 23.09.2009 00:04 15.402 zuca.dl 23.09.2009 00:04 11.130 zamovivol._sy 23.09.2009 00:04 18.043 kago.dl 23.09.2009 00:04 17.632 ycelob.dll 23.09.2009 00:00 19.862 mipo.bin 23.09.2009 00:00 18.700 jamahok.db 23.09.2009 00:00 16.718 ohapezumow.inf 23.09.2009 00:04 12.374 inyby._dl 23.09.2009 00:04 13.460 zopokiqor.exe 23.09.2009 00:00 16.206 mitesupahu.scr 23.09.2009 00:00 10.318 byqux._sy 23.09.2009 00:00 11.525 gixebake.reg 23.09.2009 00:00 10.324 anujaku._sy 23.09.2009 00:00 10.842 legihup.dl 23.09.2009 00:00 12.253 oqavavycag._sy 23.09.2009 00:00 19.739 ywuxeh.lib 23.09.2009 00:00 12.857 utybypyc.reg 23.09.2009 00:04 19.922 omameqice.vbs 23.09.2009 00:04 11.266 muwolus.bin 23.09.2009 00:04 16.017 ufufewere.com 23.09.2009 00:00 19.843 gewewyvyta.db 23.09.2009 00:00 15.450 exuzany.dat 23.09.2009 00:00 13.312 ekivew.com 23.09.2009 00:04 10.521 eqarace.bin 23.09.2009 00:04 17.042 uxakufohi.com 23.09.2009 00:00 12.653 aqaxot.dat 23.09.2009 00:00 18.424 ifabeb.scr Zitat:
ciao, andreas
__________________ --> TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm |
27.09.2009, 21:18 | #22 | ||
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxmZitat:
Zitat:
Geändert von All_I_Need (27.09.2009 um 21:24 Uhr) |
27.09.2009, 21:26 | #23 | ||||
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxmZitat:
Zitat:
C:\WINDOWS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten C:\Dokumente und Einstellungen\**********\Anwendungsdaten Zitat:
Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
27.09.2009, 21:33 | #24 | |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxmZitat:
Möchte nicht, dass mir alles zusammenfällt, nach all der Mühe, die wir hier investiert haben. Also Combofix einfach anwenden und warten und gut ist? |
27.09.2009, 21:38 | #25 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Nein, so einfach nun auch wieder nicht. Ich bastel dir ein Script, dass alle Schädlinge löscht. Dann kann ich mir auch den Inhalt der Ordner anzeigen lassen. Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
27.09.2009, 22:23 | #26 | |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm So, hab Combofix mit Herzklopfen überstanden, meine letzte Amtshandlung heute. Ich geh jetzt ins Bett. Schon mal Danke für Zeit und Nerven. Ich schau morgen wieder rein. und hier dein logfile: Zitat:
|
27.09.2009, 22:40 | #27 | |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxmZitat:
Gute Nacht, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
28.09.2009, 20:08 | #28 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Wir müssen in mehreren Schritten arbeiten, ansonsten wird das Script zu lang. Vorher die *** durch deinen Anmeldenamen ersetzen. Scripten mit Combofix
Code:
ATTFilter KILLALL:: RegLock:: [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"=- "ISUSPM Startup"=- "ISUSScheduler"=- "Microsoft Works Portfolio"=- "Microsoft Works Update Detection"=- "NeroCheck"=- "TkBellExe"=- "QuickTime Task"=- "Adobe Reader Speed Launcher"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=- [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000000 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- Files:: c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewewyvyta.db c:\dokumente und einstellungen\All Users\Anwendungsdaten\exuzany.dat c:\dokumente und einstellungen\*********\Anwendungsdaten\aqaxot.dat c:\windows\byqux._sy c:\windows\anujaku._sy c:\windows\oqavavycag._sy c:\windows\ywuxeh.lib c:\windows\system32\qijoxyb.db c:\windows\system32\zamovivol._sy c:\windows\system32\jamahok.db c:\programme\Gemeinsame Dateien\luhel.db c:\programme\Gemeinsame Dateien\odijufajix.dat c:\programme\Gemeinsame Dateien\imokybyny.db c:\windows\system32\perfh007.dat c:\windows\system32\perfc007.dat Folder:: c:\dokumente und einstellungen\*********\Cookies C:\rsit DirLook:: c:\programme\Gemeinsame Dateien c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten c:\48de36c8a253698daa c:\2aeb7ad095a678d53d55a9 c:\b30a5476b8f3e0a39e9b68bf c:\ec6a754e432cb7c3e732c20764
Das Log wird sehr groß werden. Lade es bei einem Filehoster hoch (z.B. www.file-upload.net) und poste hier den Link. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
28.09.2009, 22:17 | #29 | |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm N'abend Andreas, Danke für deine Arbeit. Ich habe meine Aufgaben erledigt hier ist dein logfile: http://www.materialordner.de/viMXT1P0mISrHCOMhZgzYJPbuCP4JEe4.html Ach und... Zitat:
|
28.09.2009, 23:15 | #30 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Mein Vater war auch einer und wenn ich Herrenhuth lese, weiß ich Bescheid. Für das nächste Script brauche ich etwas Zeit. Kommt dann morgen. Du kannst die Zeit aber schonmal zum Scannen nutzen. 1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. 2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 InstallationGute Nacht, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm |
.dll, 0 bytes, antivir, avg, avgnt.exe, computern, content.ie5, desktop, einstellungen, google, igdctrl.exe, internet, logon.exe, lsass.exe, löschen, modul, nt.dll, popup, programm, programme, prozesse, registry, rundll, services.exe, starten, suchlauf, svchost.exe, taskleiste, trojaner, versteckte objekte, verweise, virus gefunden, warnung, windows, winlogon.exe, wmp |