Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.09.2009, 16:02   #31
john.doe
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Vorher die *** durch deinen Anmeldenamen ersetzen. Vor dem Ausführen des Scriptes die Internetverbindung kappen (Stecker ziehen/WLAN deaktivieren), sonst bekommt jemand den ganzen Müll, den ich lösche, zugeschickt.

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

File::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewewyvyta.db
c:\dokumente und einstellungen\All Users\Anwendungsdaten\exuzany.dat
c:\dokumente und einstellungen\*********\Anwendungsdaten\aqaxot.dat
c:\windows\byqux._sy
c:\windows\anujaku._sy
c:\windows\oqavavycag._sy
c:\windows\ywuxeh.lib
c:\windows\system32\qijoxyb.db
c:\windows\system32\zamovivol._sy
c:\windows\system32\jamahok.db
c:\programme\Gemeinsame Dateien\luhel.db
c:\programme\Gemeinsame Dateien\odijufajix.dat
c:\programme\Gemeinsame Dateien\imokybyny.db
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\papy.lib
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\adyqalyq.db
c:\VO.log
c:\dxva.log
c:\install.log
c:\SVKSettings.txt
c:\drivez.log
c:\windows\system32\perfh009.dat
c:\windows\system32\perfc009.dat
C:\WINDOWS\system32\CONFIG.TMP
C:\WINDOWS\system32\SETD3.tmp
C:\WINDOWS\system32\SETD6.tmp
C:\WINDOWS\system32\SETE2.tmp
C:\WINDOWS\system32\SETE4.tmp
C:\WINDOWS\system32\AccConnBasic.Log
C:\WINDOWS\system32\spupdwxp.log
C:\WINDOWS\system32\TZLog.log
C:\WINDOWS\002851_.tmp
C:\WINDOWS\clock.avi

Folder::
c:\2aeb7ad095a678d53d55a9
c:\48de36c8a253698daa
c:\b30a5476b8f3e0a39e9b68bf
c:\ec6a754e432cb7c3e732c20764
c:\Config.Msi
c:\rsit
C:\WINDOWS\Temp
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
C:\Programme\Zone Labs
C:\Programme\Online-Dienste
C:\Programme\Online Services

DirLook::
c:\Recycled
c:\Recycler
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

  • Danach das Log von Combofix posten.

Das Log wird sehr groß werden. Lade es bei einem Filehoster hoch (z.B. www.file-upload.net) und poste hier den Link.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 30.09.2009, 22:48   #32
All_I_Need
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Hallo Andreas,

da bin ich wieder mit Verspätung:
PrevXCI hat nichts gefunden und Pandafix muss ich noch mal machen, weil ich das mit der Logdatei nicht hinbekommen hab.

Und hier ist dein Combofixlog:

http://www.materialordner.de/xHp6pTIZccvaOGe4fGTKt5KmJaga1D.html

wieder einmal Danke für Geduld und Hilfe

Gute Nacht
Christina
__________________


Alt 30.09.2009, 22:52   #33
john.doe
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Das sieht schon viel freundlicher aus.

Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

Gute Nacht, Andreas
__________________
__________________

Alt 30.09.2009, 23:27   #34
All_I_Need
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Meine auch, dass das ganz ok aussieht.

hier mein log aus Panda, dass ich grad wiedergefunden hab:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-09-30 22:55:02
PROTECTIONS: 1
MALWARE: 19
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@casalemedia[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@doubleclick[3].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tradedoubler[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tradedoubler[2].txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tribalfusion[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@mediaplex[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@ad.yieldmanager[3].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@apmebf[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@serving-sys[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@serving-sys[3].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@bs.serving-sys[3].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@bs.serving-sys[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@weborama[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@weborama[3].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@adtech[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@advertising[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@advertising[3].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@statse.webtrendslive[2].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@questionmarket[1].txt
00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@zedo[2].txt
00198795 Bck/Dumador.CU Virus/Trojan No 0 Yes No C:\WINDOWS\system32\drivers\etc\HOSTS.bak
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@smartadserver[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@smartadserver[2].txt
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP314\A0133887.sys
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No C:\Dokumente und Einstellungen\******\Desktop\Christina\downloads\RealPlayer11GOLD_de.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

endgültig gute Nacht

Alt 01.10.2009, 16:13   #35
john.doe
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



1.) Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

2.) Start => Ausführen => combofix /u => OK

3.) Deinstalliere:
  • Panda Active Scan
  • PrevxCSI
4.) Poste ein neues HJT-Log.

ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 01.10.2009, 20:58   #36
All_I_Need
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Hallo Andreas,

na, was meinst denn du, wie es aussieht? Ich selbst merke keine Veränderung am Rechner. Er lief die ganze Zeit gut. Daher können wir nur auf die logs vertrauen.
Start => Ausführen => combofix /u => OK
hat bei mir nicht geklappt, da kam immer ne Fehlermeldung.

meine letztes log liegt hier: kannst du darin noch Schädliches entdecken?

http://www.materialordner.de/EjQigJl...iMJhOiJpO.html

Alt 01.10.2009, 21:07   #37
john.doe
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Zitat:
da kam immer ne Fehlermeldung.
Dann eben von Hand. Lösche die Ordner (falls vorhanden):
Zitat:
C:\Cofi
C:\ComboFix
C:\Qoobox
C:\windows\erdnt
und die Datei
Zitat:
C:\combofix.txt
Zitat:
kannst du darin noch Schädliches entdecken?
Die Schädlinge sind schon weg, jetzt geht es nur noch darum, den Rechner etwas schneller zu machen.

Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R0, R1, O2, O3, O8, O9, O11, O14, O16 und O20-Einträge
         
=> Fix checked

Du bist entlassen oder gehet hin im Frieden des Herrn.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 01.10.2009, 21:40   #38
All_I_Need
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Brauch doch nicht von hand löschen

hatte nen Leerzeichen vergessen:

hier das letzte log von Combofix:
Zitat:
ComboFix 09-09-27.05 - ************** 01.10.2009 22:07.4.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.583 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\**************\Desktop\cofi.exe
Benutzte Befehlsschalter :: / u
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-09-01 bis 2009-10-01 ))))))))))))))))))))))))))))))
.

2009-10-01 19:48 . 2009-10-01 19:48 -------- d-----w- C:\rsit
2009-09-30 15:51 . 2009-10-01 19:44 -------- d-----w- c:\programme\Panda Security
2009-09-27 21:02 . 2009-09-27 21:10 -------- d-----w- C:\cofi
2009-09-27 16:40 . 2009-09-27 17:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-09-27 16:40 . 2009-09-27 16:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-09-27 13:55 . 2009-09-27 13:56 -------- dc-h--w- c:\windows\ie8
2009-09-27 13:43 . 2009-09-27 13:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-27 13:40 . 2009-09-27 13:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-27 13:26 . 2009-09-27 13:26 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2009-09-23 16:26 . 2009-09-23 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-23 16:26 . 2009-09-27 13:35 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-09-23 16:26 . 2009-09-27 13:35 -------- d-----w- c:\dokumente und einstellungen\**************\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-23 08:18 . 2009-10-01 19:48 -------- d-----w- c:\programme\trend micro
2009-09-23 08:04 . 2009-09-23 08:04 -------- d-----w- c:\programme\CCleaner
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\dokumente und einstellungen\**************\Anwendungsdaten\Malwarebytes
2009-09-23 00:37 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 00:37 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-22 22:56 . 2009-09-22 22:56 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\PrivacIE
2009-09-22 22:56 . 2009-09-22 22:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-09-09 17:31 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-30 21:17 . 2009-09-30 21:17 4612 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2009-09-27 17:40 . 2006-10-19 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-09-27 16:40 . 2006-10-19 12:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-09-27 13:36 . 2009-06-21 20:15 -------- d-----w- c:\programme\VideoLAN
2009-09-27 13:35 . 2009-06-17 12:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-27 13:33 . 2006-10-19 11:46 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-27 13:32 . 2006-10-19 12:15 -------- d-----w- c:\programme\Google
2009-09-22 23:31 . 2009-08-05 19:52 -------- d-----w- c:\programme\BitTorrent
2009-09-22 23:31 . 2009-08-05 19:53 -------- d-----w- c:\dokumente und einstellungen\**************\Anwendungsdaten\BitTorrent
2009-09-20 11:27 . 2009-02-13 13:46 -------- d-----w- c:\dokumente und einstellungen\**************\Anwendungsdaten\Move Networks
2009-09-14 12:41 . 2009-05-31 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2009-09-09 17:42 . 2009-07-07 16:25 -------- d-----w- c:\programme\Microsoft Silverlight
2009-08-23 17:05 . 2007-01-13 19:54 37912 ----a-w- c:\dokumente und einstellungen\**************\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-21 06:14 . 2009-08-21 06:14 -------- d-----w- c:\programme\MSBuild
2009-08-21 06:14 . 2009-08-21 06:14 -------- d-----w- c:\programme\Reference Assemblies
2009-08-05 13:00 . 2009-03-19 10:50 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 1979-12-31 23:00 206336 ------w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 1979-12-31 23:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 1979-12-31 23:00 286208 ------w- c:\windows\system32\wmpdxm.dll
2008-05-05 17:33 . 2008-05-05 17:33 14852 ----a-w- c:\programme\settings.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-09-27_21.09.00 )))))))))))))))))))))))))))))))))))))))))
.
- 1979-12-31 23:00 . 2009-08-21 06:18 71394 c:\windows\system32\perfc009.dat
+ 1979-12-31 23:00 . 2009-09-30 21:17 71394 c:\windows\system32\perfc009.dat
+ 1979-12-31 23:00 . 2009-09-30 21:17 441458 c:\windows\system32\perfh009.dat
- 1979-12-31 23:00 . 2009-08-21 06:18 441458 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-24 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2006-03-23 106496]
"AMSG"="c:\progra~1\THINKV~1\AMSG\amsg.exe" [2005-11-14 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-03-23 69632]
"cssauthe"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe" [2005-12-21 1988144]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 49152]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2005-10-28 335872]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-03-01 196710]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-03-23 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-03-23 208896]
"WorksFUD"="c:\programme\Microsoft Works\wkfud.exe" [2001-10-09 24576]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-03-28 503808]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2005-07-13 94208]
"TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-17 65536]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2006-1-17 618557]
Erinnerungen in Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-4 24633]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-4-29 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-03-23 01:03 49152 ------w- c:\programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-04-17 12:01 32768 ------w- c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45 28672 ------w- c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16 24576 ------w- c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli csspwntfye

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=

R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [19.10.2006 14:15 4442]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 12:50 108289]
R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [21.12.2005 18:14 12544]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 14:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 17:45 3968]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 01:00 13840]
S3 AF05BDA;AF9005 BDA Device;c:\windows\system32\drivers\AF05BDA.sys [22.01.2007 20:43 133504]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-01 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-10-19 00:13]

2009-09-30 c:\windows\Tasks\User_Feed_Synchronization-{E43F0CF1-5770-4D75-91B6-0AA550740B74}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/fm/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\programme\FRITZ!DSL\\sarah.dll
FF - ProfilePath - c:\dokumente und einstellungen\**************\Anwendungsdaten\Mozilla\Firefox\Profiles\t7x70c27.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ask.com/?o=101764&l=dis
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-01 22:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\tphklock.dll
c:\programme\Lenovo\AwayTask\AwayNotify.dll
c:\windows\system32\igfxdev.dll
c:\windows\system32\notifyf2.dll

- - - - - - - > 'lsass.exe'(912)
c:\programme\IBM ThinkVantage\Client Security Solution\csspwntfye.dll
c:\programme\IBM ThinkVantage\Client Security Solution\cssuserdatadispatcher.dll
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtsp.dll
c:\programme\IBM ThinkVantage\Client Security Solution\tcsrpc.dll
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll

- - - - - - - > 'explorer.exe'(1696)
c:\windows\system32\PROCHLP.DLL
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-10-01 22:14
ComboFix-quarantined-files.txt 2009-10-01 20:14
ComboFix2.txt 2009-09-30 21:17
ComboFix3.txt 2009-09-28 20:57
ComboFix4.txt 2009-09-27 21:10

Vor Suchlauf: 6.692.753.408 Bytes frei
Nach Suchlauf: 6.743.183.360 Bytes frei

196 --- E O F --- 2009-09-27 14:02







Ist mein Rechner jetzt "geheilt"?

Dann bedanke ich mich mit einem virtuellen Bierchen:

und 4Mose 6,24-26

Alt 01.10.2009, 21:47   #39
john.doe
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Zitat:
Benutzte Befehlsschalter :: / u
Das war schon ein Leerzeichen, aber an der falschen Stelle.

Markiere und kopiere den Text in der Box und füge ihn bei Start => Ausführen ein. Es muss die Meldung kommen Combofix wird deinstalliert.
Code:
ATTFilter
combofix /u
         
Zitat:
Ist mein Rechner jetzt "geheilt"?

Zitat:
Dann bedanke ich mich mit einem virtuellen Bierchen
Lass uns anstoßen.

Für die, die noch mitlesen sollten und nicht so bibelfest sind => Bibel-Online.NET - - Lutherbibel 1912

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 02.10.2009, 15:57   #40
john.doe
 
TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Standard

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm



Ich habe doch glatt etwas übersehen.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm
.dll, 0 bytes, antivir, avg, avgnt.exe, computern, content.ie5, desktop, einstellungen, google, igdctrl.exe, internet, logon.exe, lsass.exe, löschen, modul, nt.dll, popup, programm, programme, prozesse, registry, rundll, services.exe, starten, suchlauf, svchost.exe, taskleiste, trojaner, versteckte objekte, verweise, virus gefunden, warnung, windows, winlogon.exe, wmp




Ähnliche Themen: TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm


  1. Entfernung von 'HTML/Malicious.Flash.Gen' [virus] in 'C:\Windows\Temp\00000008-42E79AFD' aber wie?
    Plagegeister aller Art und deren Bekämpfung - 24.12.2013 (9)
  2. Verschiedene TR/Kazy.. und html/malicious.flash.gen - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 04.12.2013 (20)
  3. Wie entferne ich HTML.malicious.flash.gen ?
    Plagegeister aller Art und deren Bekämpfung - 25.11.2013 (17)
  4. Avira meldet: HTML/Malicious.Flash.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.11.2013 (15)
  5. Windows 7: HTML/Malicious.Flash.Gen
    Log-Analyse und Auswertung - 13.11.2013 (3)
  6. Windows 8 Antivir meldet 2 Viren: HTML/Malicious.Flash.Gen
    Plagegeister aller Art und deren Bekämpfung - 12.11.2013 (5)
  7. Antivir meldet HTML/Malicious.Flash.Gen
    Plagegeister aller Art und deren Bekämpfung - 08.09.2013 (5)
  8. BDS/ZeroAccess.Gen und weitere TR/injector.LO - Dldr.Lamar.MX - TR/FakeAV.avu.1
    Plagegeister aller Art und deren Bekämpfung - 24.03.2013 (11)
  9. Trojaner an Bord oder nicht? html/malicious.pdf.gen gefunden - aber bisher keine Probleme
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (37)
  10. Eventuell mit HTML/Infected.WebPage.Gen2 befallen?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2012 (3)
  11. Brauche Hilfe beim Entfernen von HTML/Malicious.PDF.Gen und TR/Renos--
    Plagegeister aller Art und deren Bekämpfung - 07.08.2010 (16)
  12. TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (68)
  13. Malware: HTML/Malicious.PDF.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.01.2010 (0)
  14. TR/Dldr.FakeAV.nxh & TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (2)
  15. TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm
    Plagegeister aller Art und deren Bekämpfung - 18.08.2009 (18)
  16. HTML/Malicious.ActiveX.Gen
    Plagegeister aller Art und deren Bekämpfung - 11.10.2008 (3)
  17. Problem mit HTML/Malicious.ActiveX.Gen
    Mülltonne - 23.08.2007 (0)

Zum Thema TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm - Vorher die *** durch deinen Anmeldenamen ersetzen. Vor dem Ausführen des Scriptes die Internetverbindung kappen (Stecker ziehen/WLAN deaktivieren), sonst bekommt jemand den ganzen Müll, den ich lösche, zugeschickt. Scripten mit - TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm...
Archiv
Du betrachtest: TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.