| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Werde den fake-Virenscanner "Antivirus Soft" nicht losWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.02.2010, 14:27
| #1 |
| |  Werde den fake-Virenscanner "Antivirus Soft" nicht los Hallo zusammen, auch ich habe mich an beide Anleitungen hier im Forum gehalten und bin mittlerweile beim Combifix-Log angekommen. Da ich nun aber nicht löschen möchte, was nicht zu löschen ist, würde es mich freuen, wenn sich jemand meiner Logfile annehmen könnte, denn irgendwie läuft alles noch nicht so rund wie vorher (z. B. ist das Symbol von Antivirus Soft noch in der Taskleiste). Hier die Combifix-Logfile: Code:
ATTFilter ComboFix 10-02-25.02 - LadyDragonfly 26.02.2010 14:15:31.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1917.1528 [GMT 1:00]
ausgeführt von:: e:\dokumente und einstellungen\LadyDragonfly\Eigene Dateien\Downloads\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
e:\dokume~1\LADYDR~1\LOKALE~1\Temp\jna8147245625627004683.tmp
e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\gdqnwi\exwrsftav.exe
e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Temp\jna8147245625627004683.tmp
e:\windows\srchasst\nls302en.lex
e:\windows\system32\SIntf16.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-01-26 bis 2010-02-26 ))))))))))))))))))))))))))))))
.
2010-02-26 12:30 . 2010-02-26 12:30 -------- d-----w- E:\rsit
2010-02-26 11:42 . 2010-02-26 11:42 -------- d-----w- e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Malwarebytes
2010-02-26 11:42 . 2010-01-07 15:07 38224 ----a-w- e:\windows\system32\drivers\mbamswissarmy.sys
2010-02-26 11:42 . 2010-02-26 11:47 -------- d-----w- e:\programme\Herbert
2010-02-26 11:42 . 2010-02-26 11:42 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-26 11:42 . 2010-01-07 15:07 19160 ----a-w- e:\windows\system32\drivers\mbam.sys
2010-02-26 11:05 . 2010-02-26 11:05 -------- d-----w- e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\Temp
2010-02-06 18:05 . 2010-02-17 17:12 21840 ----atw- e:\windows\system32\SIntfNT.dll
2010-02-06 18:05 . 2010-02-17 17:12 17212 ----atw- e:\windows\system32\SIntf32.dll
2010-02-06 18:04 . 2010-02-06 18:04 -------- d-----w- e:\programme\directx
2010-02-02 14:34 . 2010-02-02 14:34 -------- d-----w- e:\programme\RPG Maker Fonts Deinstall
2010-02-02 14:27 . 2010-02-02 14:27 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2010-02-01 15:47 . 2010-02-01 15:47 -------- d-----w- E:\SAdK_Demo
2010-02-01 15:34 . 2010-02-01 15:37 -------- d-----w- e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\SAdK_Demo
2010-02-01 15:32 . 2007-10-22 02:37 17928 ----a-w- e:\windows\system32\X3DAudio1_2.dll
2010-02-01 15:31 . 2010-02-01 15:31 -------- d-----w- e:\programme\AGEIA Technologies
2010-02-01 15:31 . 2010-02-01 15:31 -------- d-----w- e:\windows\system32\AGEIA
2010-02-01 14:08 . 2010-02-01 14:08 -------- d--h--r- e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\SecuROM
2010-02-01 14:08 . 2010-02-01 14:08 98304 ----a-w- e:\windows\system32\CmdLineExt.dll
2010-02-01 13:35 . 2010-02-01 13:35 -------- d-----w- e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Puresoto Group, INC
2010-02-01 13:34 . 2010-02-01 13:34 -------- d-----w- e:\programme\Puresoto Group
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 12:22 . 2008-09-20 14:59 -------- d-----w- e:\programme\AVG
2010-02-26 11:08 . 2008-09-21 08:25 17280 ----a-w- e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-02-21 19:07 . 2008-09-21 08:30 -------- d-----w- e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\ICQ
2010-02-14 09:17 . 2009-08-20 14:45 -------- d-----w- e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Move Networks
2010-02-06 21:15 . 2008-09-20 15:05 -------- d--h--w- e:\programme\InstallShield Installation Information
2010-02-06 18:00 . 2008-09-20 12:55 -------- d-----w- e:\programme\Gemeinsame Dateien\InstallShield
2010-02-06 15:57 . 2009-12-01 17:43 -------- d-----w- e:\programme\Graboid
2010-02-05 04:48 . 2009-12-03 07:17 79488 ----a-w- e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-01 15:38 . 2008-09-23 18:33 -------- d-----w- e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\OpenOffice.org2
2010-02-01 15:33 . 2008-09-23 18:34 1 ----a-w- e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-02-01 15:31 . 2008-09-21 10:56 -------- d-----w- e:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- e:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2004-08-04 12:00 916480 ----a-w- e:\windows\system32\wininet.dll
2009-12-17 07:40 . 2008-09-20 12:39 346624 ----a-w- e:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2004-08-04 12:00 33280 ----a-w- e:\windows\system32\csrsrv.dll
2009-12-13 10:04 . 2009-12-13 10:04 95232 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\pcswpcsi.exe
2009-12-13 10:04 . 2009-12-13 10:04 8192 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstCCD.exe
2009-12-13 10:04 . 2009-12-13 10:04 61440 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-12-13 10:04 . 2009-12-13 10:04 10240 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCS.exe
2009-12-13 10:04 . 2009-12-13 10:04 33681080 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_ger.exe
2009-12-09 10:05 . 2004-08-04 12:00 2147840 ----a-w- e:\windows\system32\ntoskrnl.exe
2009-12-09 10:05 . 2004-08-04 00:50 2026496 ----a-w- e:\windows\system32\ntkrnlpa.exe
2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- e:\windows\system32\drivers\mrxsmb.sys
2009-12-03 12:42 . 2004-08-04 12:00 80306 ----a-w- e:\windows\system32\perfc007.dat
2009-12-03 12:42 . 2004-08-04 12:00 449044 ----a-w- e:\windows\system32\perfh007.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OSD"="e:\programme\C&E\OSD\osd.exe" [2008-02-22 671801]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-06 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"SiSPower"="SiSPower.dll" [2007-06-25 53248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BitTorrent DNA"="e:\programme\DNA\btdna.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="e:\programme\QuickTime\QTTask.exe" -atboottime
"WinampAgent"=e:\programme\Winamp\winampa.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Programme\\DNA\\btdna.exe"=
"f:\\ICQ\\ICQ6.5\\ICQ.exe"=
"f:\\Proggies\\Empire Earth\\Empire Earth.exe"=
R3 CEBFilter;CEBFilter;e:\programme\C&E\OSD\OsdService\cebuffer.sys [04.09.2007 15:20 5120]
R3 CEIO;CEIO;e:\programme\C&E\OSD\OsdService\ceio.sys [31.08.2007 15:18 4608]
R3 cKBFilter;cKBFilter;e:\programme\C&E\OSD\OsdService\kbfiltr.sys [31.08.2007 13:22 7168]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;e:\windows\system32\drivers\RTL8187B.sys [20.09.2008 14:01 238976]
S2 OsdService;OsdService;e:\programme\C&E\OSD\OsdService\OsdService.exe [08.01.2008 16:58 53248]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-02-26 e:\windows\Tasks\1-Klick-Wartung.job
- f:\proggies\TuneUp Utilities\OneClickStarter.exe [2008-08-21 16:47]
2009-11-28 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
FF - ProfilePath - e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Mozilla\Firefox\Profiles\durktg9q.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: e:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Mozilla\Firefox\Profiles\durktg9q.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: e:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - e:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-02-26 14:17
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1417001333-1425521274-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ca,54,41,bb,cc,31,eb,79,79,9d,9c,df,06,49,ee,2f,b5,74,76,8f,c2,5c,d5,
b3,83,d6,29,e0,48,2f,70,e6,6d,19,b9,69,86,2a,a1,52,43,fa,80,83,6b,0c,1d,bf,\
"??"=hex:31,91,e5,bd,28,c0,5d,8b,5f,74,77,df,bf,84,fc,6d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3812)
e:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-02-26 14:18:44
ComboFix-quarantined-files.txt 2010-02-26 13:18
Vor Suchlauf: 7 Verzeichnis(se), 11.700.244.480 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 11.666.272.256 Bytes frei
- - End Of File - - 35E8BDF3747934D2B5207E60E922626E
Geändert von Fly84 (26.02.2010 um 14:34 Uhr) |
|
27.02.2010, 15:18
| #2 |
 | Werde den fake-Virenscanner "Antivirus Soft" nicht los So erstmal
__________________ mhm.. also die dateien kommen mir sehr komisch vor e:\dokume~1\LADYDR~1\LOKALE~1\Temp\jna8147245625627004683.tmp e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\gdqnwi\exwrsftav.exe e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Temp\jna8147245625627004683.tmp e:\windows\srchasst\nls302en.lex e:\windows\system32\SIntf16.dll uppen die bitte mal auf virustotal und poste logfiles bitte die jeweilige seite nur posten nicht denn ganzen log |
|
28.02.2010, 09:45
| #3 |
| | Werde den fake-Virenscanner "Antivirus Soft" nicht los Hallo noch einmal,
__________________bislang ist nichts außergewöhnliches mehr passiert und auch das Symbol von Antivirus Soft ist nicht wieder aufgetaucht. Lasse nacheinander diverse Online-Scanner etc. durchlaufen und werde weiter beobachten. Danke für die Hilfe! Dieser Thread kann dann erst einmal zu. Sollte noch etwas sein, werde ich mich melden. ;-) |
|
19.05.2010, 22:10
| #4 |
| Gesperrt | Werde den fake-Virenscanner "Antivirus Soft" nicht los Ich habe das gleiche Problem, ich habe wirklich schon alles probiert und es geht aber nicht. Ich habe auch diese Malwarebytes installiert es geht nichts. Bitte hilft mir ich verusche es shcon den ganzes Tag |
|
| Themen zu Werde den fake-Virenscanner "Antivirus Soft" nicht los |
| 0 bytes, 41700, antivirus soft, antivirus soft entfernen, firefox.exe, nicht zu löschen, richtlinie, skype.exe, suchlauf, usb 2.0 |
Linear-Darstellung
