Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24

Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24


Plagegeister aller Art und deren Bekämpfung: Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 18.05.2010, 18:56   #1
Wolfii
 
Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24 - Standard

Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24


Guten Abend allerseits,

ich hab zwar schon ähnliche Probleme in dem Forum gefunden und auch schon teilweise versucht was in den Themen geraten wurde, aber irgendwie werd ich den Mist nicht mehr wirklich los.

Also angefangen hat des ganze mit einem Link im Facebook Chat. Vermutlich weiß die Person die mir des geschickt hat gar nicht davon mir die Nachricht geschrieben zu haben ... also ich hoffe.
Die Nachricht war etwa so
"schau mal das foto an h**p://www.livtas.com/meine_fotos.php?foto=PICT2049546020590702010.JPG"
Ich Depp denk natürlich erstmal net nach und klick auf den Link und komme auf ne Seite auf der kein Bild angezeigt wird sondern mein Firefox mir ne Datei runterladen will. Obwohl ich gesehn habe, dass die Datei die Endung .jpg.scr hat hab ich natürlich erstmal net mein Hirn eingeschaltet und einfach geöffnet.
Danach ging eigentlich des ganze unauffällig los und es kamen etwas später die ersten Meldungen von AntiVir:

Code:
ATTFilter
In der Datei 'C:\Users\Public\winsvcn.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.eauu' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Natürlich hat des löschen erstmal nichts gebracht und es kamen immer wieder diese Meldungen.
Bei einem Neustart kam auch eine Fehlermeldung die ich leider nicht mehr im Kopf habe.
Hab dann erstmal im Task Manager geschaut welche Prozesse da nicht hingehören und hab auch ein paar gefunden und auch aus dem Autostart per msconfig entfernt:

Code:
ATTFilter
Systemstartelement: M5T8QL3YW3
Hersteller: Unbekannt
Befehl: C:\Users\***\AppData\Local\Temp\Rwl.exe
Ort: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Code:
ATTFilter
Systemstartelement: Canaveral
Hersteller: Unbekannt
Befehl: rundll32.exe C:\Windows\system32\sshnas21.dll,BackupReadW
Ort: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Zusätzlich kamen nach kurzer Zeit Meldungen wie

Code:
ATTFilter
In der Datei 'C:\Users\***\AppData\Local\Temp\1359.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.CodecPack.kzw' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Und außerdem hat sich immer wieder einfach so aus heiterem Himmel mein Internet Explorer geöffnet und dubiose Werbungen angezeigt.
Den Temp Ordner hab ich daraufhin einfach komplett gelöscht.


Erst einmal auf Quick Scan mit Malwarebytes

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4104

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

16.05.2010 00:09:33
mbam-log-2010-05-16 (00-09-33).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 117520
Laufzeit: 2 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\winsvncs.txt (Malware.Trace) -> Quarantined and deleted successfully.
Dass der Internet Explorer einfach aufging hat hier aufgehört.
Dann kamen aber zum ersten mal solche Meldungen:

Code:
ATTFilter
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\L1ZDL5WY\uh[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.eaus' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Da hab ich mir gedacht, dass des halt die Daten sind die vom Internet Explorer bei der Werbung zusätzlich geladen wurde und temporär abgelegt wurden und hab den Ordner Temporary Internet Files gelöscht
Dann hab ich noch einen vollständigen Suchlauf mit Malwarebytes gemacht:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4104

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

16.05.2010 01:09:51
mbam-log-2010-05-16 (01-09-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 161986
Laufzeit: 40 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NSPAGU2J\p[1].exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
Ein weiterer vollständiger Scan von Malwarebytes ergab keine Funde und ich habe dann auch erstmal keine Meldungen mehr bekommen und gedacht Malwarebytes hätte es getan. Aber jetzt kam plötzlich eine neue Meldungen von AntiVir:

Code:
ATTFilter
In der Datei 'C:\Windows\Rqideb.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.we.24' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Ich kann mich auch noch dran errinnern im Windows Ordner einige Dateien gelöscht zu haben die so hießen und zweifel jetzt irgendwie daran, dass ich mich schon ganz befreit habe.

Ich hoffe irgendwer kann mir helfen dass ich wieder sicher bin ... denn so lange ich mir net ganz sicher sein kann geh ich bestimmt nicht Online banken

Wenn irgendwas unklar sein sollte gebe ich gerne noch weiter Auskunft und hoffe, dass ich alles noch weiß was ihr wissen wollt.

MfG Wolfii
Geändert von Wolfii (18.05.2010 um 19:31 Uhr)

 

Themen zu Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24
.dll, .jpg.scr, antivir, autostart, banke, banken, dateien, dateien gelöscht, dll, explorer, fehlermeldung, firefox, internet, internet explorer, kein bild, keine funde, local\temp, löschen, microsoft, neue, neustart, ordner, programm, prozesse, rundll, rundll32.exe, software, system32, temp, temporär, trojan, trojan.downloader, virus, windows


« Windows meldet sicher immer wieder ab | pando media booster - system verweigert zugriff »


Ähnliche Themen: Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  4. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  5. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  6. viren "Trojan:Win32/Bumat!rts" und "Exploit Java/CVE-2010-0840.ew" auf Laptop
    Plagegeister aller Art und deren Bekämpfung - 05.10.2011 (8)
  7. Avira Antivir meldet "EXP/CVE-2010-0840.AC' [exploit]"
    Log-Analyse und Auswertung - 04.10.2011 (5)
  8. 'TR/Crypt.XPACK.Gen' und "erkennungsmuster von EXP/2010-0840.AN" mit avire gefunden
    Log-Analyse und Auswertung - 18.09.2011 (1)
  9. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  10. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  11. Deutscher IT-Sicherheitspreis 2010 für "Crypto Light"
    Nachrichten - 28.11.2010 (0)
  12. Viele "Viren" gefunden: TR/Crypt.XPACK.Gen, TR/Drop.Softomat.AN und EXP/CVE-2010-2568.A
    Plagegeister aller Art und deren Bekämpfung - 22.11.2010 (30)
  13. Programm "Internet Security 2010" eingefangen; HJT Logfile
    Log-Analyse und Auswertung - 10.01.2010 (14)
  14. trojaner "TR/FakeAV.bak.2"
    Plagegeister aller Art und deren Bekämpfung - 12.10.2008 (1)
  15. Spyware- trojaner "TR/FakeAV.bak.2"
    Plagegeister aller Art und deren Bekämpfung - 12.10.2008 (0)
  16. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24 - Guten Abend allerseits, ich hab zwar schon ähnliche Probleme in dem Forum gefunden und auch schon teilweise versucht was in den Themen geraten wurde, aber irgendwie werd ich den Mist - Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24...
Archiv
Du betrachtest: Angefangen mit "...2010.jpg.scr" -> Rqidea.exe TR/FakeAV.we.24 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19