|
Plagegeister aller Art und deren Bekämpfung: TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.09.2009, 16:02 | #31 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Vorher die *** durch deinen Anmeldenamen ersetzen. Vor dem Ausführen des Scriptes die Internetverbindung kappen (Stecker ziehen/WLAN deaktivieren), sonst bekommt jemand den ganzen Müll, den ich lösche, zugeschickt. Scripten mit Combofix
Code:
ATTFilter KILLALL:: File:: c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewewyvyta.db c:\dokumente und einstellungen\All Users\Anwendungsdaten\exuzany.dat c:\dokumente und einstellungen\*********\Anwendungsdaten\aqaxot.dat c:\windows\byqux._sy c:\windows\anujaku._sy c:\windows\oqavavycag._sy c:\windows\ywuxeh.lib c:\windows\system32\qijoxyb.db c:\windows\system32\zamovivol._sy c:\windows\system32\jamahok.db c:\programme\Gemeinsame Dateien\luhel.db c:\programme\Gemeinsame Dateien\odijufajix.dat c:\programme\Gemeinsame Dateien\imokybyny.db c:\windows\system32\perfh007.dat c:\windows\system32\perfc007.dat c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\papy.lib c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\adyqalyq.db c:\VO.log c:\dxva.log c:\install.log c:\SVKSettings.txt c:\drivez.log c:\windows\system32\perfh009.dat c:\windows\system32\perfc009.dat C:\WINDOWS\system32\CONFIG.TMP C:\WINDOWS\system32\SETD3.tmp C:\WINDOWS\system32\SETD6.tmp C:\WINDOWS\system32\SETE2.tmp C:\WINDOWS\system32\SETE4.tmp C:\WINDOWS\system32\AccConnBasic.Log C:\WINDOWS\system32\spupdwxp.log C:\WINDOWS\system32\TZLog.log C:\WINDOWS\002851_.tmp C:\WINDOWS\clock.avi Folder:: c:\2aeb7ad095a678d53d55a9 c:\48de36c8a253698daa c:\b30a5476b8f3e0a39e9b68bf c:\ec6a754e432cb7c3e732c20764 c:\Config.Msi c:\rsit C:\WINDOWS\Temp C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp C:\Programme\Zone Labs C:\Programme\Online-Dienste C:\Programme\Online Services DirLook:: c:\Recycled c:\Recycler
Das Log wird sehr groß werden. Lade es bei einem Filehoster hoch (z.B. www.file-upload.net) und poste hier den Link. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
30.09.2009, 22:48 | #32 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Hallo Andreas,
__________________da bin ich wieder mit Verspätung: PrevXCI hat nichts gefunden und Pandafix muss ich noch mal machen, weil ich das mit der Logdatei nicht hinbekommen hab. Und hier ist dein Combofixlog: http://www.materialordner.de/xHp6pTIZccvaOGe4fGTKt5KmJaga1D.html wieder einmal Danke für Geduld und Hilfe Gute Nacht Christina |
30.09.2009, 22:52 | #33 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Das sieht schon viel freundlicher aus.
__________________Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten? Gute Nacht, Andreas
__________________ |
30.09.2009, 23:27 | #34 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Meine auch, dass das ganz ok aussieht. hier mein log aus Panda, dass ich grad wiedergefunden hab: ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-09-30 22:55:02 PROTECTIONS: 1 MALWARE: 19 SUSPECTS: 1 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== AntiVir Desktop 9.0.1.32 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@casalemedia[1].txt 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@doubleclick[3].txt 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@doubleclick[1].txt 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@atdmt[2].txt 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@atdmt[1].txt 00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tradedoubler[1].txt 00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tradedoubler[2].txt 00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tribalfusion[2].txt 00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@mediaplex[2].txt 00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@ad.yieldmanager[3].txt 00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@ad.yieldmanager[2].txt 00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@apmebf[1].txt 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@serving-sys[1].txt 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@serving-sys[3].txt 00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@bs.serving-sys[3].txt 00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@bs.serving-sys[1].txt 00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@weborama[2].txt 00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@weborama[3].txt 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@adtech[2].txt 00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@advertising[1].txt 00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@advertising[3].txt 00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@statse.webtrendslive[2].txt 00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@questionmarket[1].txt 00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@zedo[2].txt 00198795 Bck/Dumador.CU Virus/Trojan No 0 Yes No C:\WINDOWS\system32\drivers\etc\HOSTS.bak 00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@smartadserver[1].txt 00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@smartadserver[2].txt 02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP314\A0133887.sys ;===================================================================================================================================================== ============================== SUSPECTS Sent Location ;===================================================================================================================================================== ============================== No C:\Dokumente und Einstellungen\******\Desktop\Christina\downloads\RealPlayer11GOLD_de.exe ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== endgültig gute Nacht |
01.10.2009, 16:13 | #35 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm 1.) Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten? 2.) Start => Ausführen => combofix /u => OK 3.) Deinstalliere:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
01.10.2009, 20:58 | #36 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Hallo Andreas, na, was meinst denn du, wie es aussieht? Ich selbst merke keine Veränderung am Rechner. Er lief die ganze Zeit gut. Daher können wir nur auf die logs vertrauen. Start => Ausführen => combofix /u => OK hat bei mir nicht geklappt, da kam immer ne Fehlermeldung. meine letztes log liegt hier: kannst du darin noch Schädliches entdecken? http://www.materialordner.de/EjQigJl...iMJhOiJpO.html |
01.10.2009, 21:07 | #37 | ||||
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxmZitat:
Zitat:
Zitat:
Zitat:
Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter Alle R0, R1, O2, O3, O8, O9, O11, O14, O16 und O20-Einträge Du bist entlassen oder gehet hin im Frieden des Herrn. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
01.10.2009, 21:40 | #38 | |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Brauch doch nicht von hand löschen hatte nen Leerzeichen vergessen: hier das letzte log von Combofix: Zitat:
Ist mein Rechner jetzt "geheilt"? Dann bedanke ich mich mit einem virtuellen Bierchen: und 4Mose 6,24-26 |
01.10.2009, 21:47 | #39 | |||
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxmZitat:
Markiere und kopiere den Text in der Box und füge ihn bei Start => Ausführen ein. Es muss die Meldung kommen Combofix wird deinstalliert. Code:
ATTFilter combofix /u Zitat:
Zitat:
Für die, die noch mitlesen sollten und nicht so bibelfest sind => Bibel-Online.NET - - Lutherbibel 1912 ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
02.10.2009, 15:57 | #40 |
| TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm Ich habe doch glatt etwas übersehen. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm |
.dll, 0 bytes, antivir, avg, avgnt.exe, computern, content.ie5, desktop, einstellungen, google, igdctrl.exe, internet, logon.exe, lsass.exe, löschen, modul, nt.dll, popup, programm, programme, prozesse, registry, rundll, services.exe, starten, suchlauf, svchost.exe, taskleiste, trojaner, versteckte objekte, verweise, virus gefunden, warnung, windows, winlogon.exe, wmp |