Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11

Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11


Plagegeister aller Art und deren Bekämpfung: Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.06.2010, 20:05   #1
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11 - Standard

Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11


Sieht ziemlich unuffällig aus. Aber ich trau dem Braten nicht. Mach mal bitte nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.06.2010, 11:42   #2
Freshlu
 
Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11 - Standard

Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11


Guten Tag,

Logfile:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-06-16.03 - Energy 17.06.2010  12:15:09.1.2 - x86
ausgeführt von:: c:\users\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Ashampoo AntiVirus *On-access scanning disabled* (Outdated) {87430BA8-187A-42D6-A8FE-8E00DF291089}
SP: AntiVir Desktop *disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\log.tmp
c:\users\***\AppData\Roaming\.#
c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration .LNK
c:\windows\system32\win.com

.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-17 bis 2010-06-17  ))))))))))))))))))))))))))))))
.

2010-06-15 09:33 . 2010-06-15 09:33	--------	d-----w-	c:\program files\CCleaner
2010-06-15 09:32 . 2010-06-15 09:32	--------	d-----w-	c:\program files\Trend Micro
2010-06-02 19:51 . 2010-06-02 19:51	--------	d-----w-	c:\users\Energy\AppData\Roaming\Malwarebytes
2010-06-02 19:51 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-02 19:51 . 2010-06-02 19:51	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-06-02 19:51 . 2010-06-02 19:51	--------	d-----w-	c:\programdata\Malwarebytes
2010-06-02 19:51 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 11:03 . 2009-06-06 11:20	--------	d-----w-	c:\program files\Warcraft III
2010-06-09 10:38 . 2008-06-03 09:37	--------	d-----w-	c:\programdata\Microsoft Help
2010-06-05 21:01 . 2010-01-06 18:23	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-06-03 11:22 . 2009-05-03 11:11	--------	d-----w-	c:\users\Energy\AppData\Roaming\Hamachi
2010-06-02 20:06 . 2008-06-04 17:10	--------	d-----w-	c:\program files\ICQToolbar
2010-06-02 19:17 . 2006-11-02 15:38	641226	----a-w-	c:\windows\system32\perfh007.dat
2010-06-02 19:17 . 2006-11-02 15:38	116620	----a-w-	c:\windows\system32\perfc007.dat
2010-05-21 12:14 . 2009-10-03 09:10	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-15 15:25 . 2008-12-07 12:35	--------	d-----w-	c:\program files\The Chronicles of Spellborn
2010-05-15 15:04 . 2010-05-15 15:03	--------	d-----w-	c:\program files\Hamachi Backup
2010-05-15 15:03 . 2010-05-15 15:03	25280	----a-w-	c:\windows\system32\drivers\hamachi.sys
2010-05-15 14:55 . 2008-10-17 13:52	--------	d-----w-	c:\program files\TheWorld 2.0
2010-05-13 17:40 . 2008-06-04 17:09	--------	d-----w-	c:\users\Energy\AppData\Roaming\ICQ
2010-05-13 12:16 . 2010-05-13 12:16	--------	d-----w-	c:\program files\Common Files\SWF Studio
2010-05-13 12:10 . 2008-06-04 16:25	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-05-13 12:10 . 2010-05-13 12:10	--------	d-----w-	c:\program files\LucasArts
2010-05-12 11:47 . 2010-05-12 11:47	--------	d-----w-	c:\program files\Neffy
2010-05-10 15:34 . 2008-06-14 10:29	--------	d-----w-	c:\users\Energy\AppData\Roaming\DivX
2010-05-05 22:05 . 2008-06-04 17:06	--------	d-----w-	c:\program files\Opera
2010-05-05 16:57 . 2009-04-15 16:49	--------	d-----w-	c:\users\Energy\AppData\Roaming\Apple Computer
2010-04-05 08:45 . 2010-04-05 08:45	73000	----a-w-	c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-04-05 08:40 . 2010-04-05 08:40	79144	----a-w-	c:\programdata\Apple Computer\Installer Cache\Safari 5.31.22.7\SetupAdmin.exe
2010-04-04 18:45 . 2010-04-04 18:45	56766	----a-w-	c:\programdata\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-04-04 18:45 . 2010-04-04 18:45	56978	----a-w-	c:\programdata\DivX\WebPlayer\Uninstaller.exe
2010-04-04 18:45 . 2010-04-04 18:45	57677	----a-w-	c:\programdata\DivX\Player\Uninstaller.exe
2010-04-04 18:45 . 2010-04-04 18:45	53600	----a-w-	c:\programdata\DivX\Update\Uninstaller.exe
2010-04-04 18:43 . 2010-04-04 18:45	754984	----a-w-	c:\programdata\DivX\Setup\Resource.dll
2010-04-04 18:42 . 2010-04-04 18:45	986904	----a-w-	c:\programdata\DivX\Setup\DivXSetup.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-06-04 1232896]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-10 216520]
"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2010-01-24 1415632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-10-17 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"LiveMonitor"="c:\program files\MSI\Live Update 3\LMonitor.exe" [2006-09-05 497152]
"Ai Nap"="c:\program files\ASUS\Ai Suite\AiNap\AiNap.exe" [2007-09-06 1426432]
"CPU Power Monitor"="c:\program files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" [2007-10-16 626176]
"Cpu Level Up help"="c:\program files\ASUS\Ai Suite\CpuLevelUpHelp.exe" [2007-09-11 880640]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13687328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 92704]
"Krait"="c:\program files\Razer\Krait\razerhid.exe" [2006-01-24 147456]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-03-16 47392]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"BlackArmorBackupMonitor.exe"="c:\program files\Seagate\BlackArmorBackup\BlackArmorBackupMonitor.exe" [2009-07-24 4386112]
"AcronisTimounterMonitor"="c:\program files\Seagate\BlackArmorBackup\TimounterMonitor.exe" [2009-07-24 965600]
"Seagate Scheduler2 Service"="c:\program files\Common Files\Seagate\Schedule2\schedhlp.exe" [2009-07-24 376456]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-03-05 1135912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-25 142120]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Ashampoo AntiVirus Service.lnk - c:\program files\Ashampoo\Ashampoo AntiVirus\GuardGui.exe [2008-6-4 669008]
GuardGui.lnk - c:\program files\Ashampoo\Ashampoo AntiVirus\GuardGui.exe [2008-6-4 669008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

R2 gupdate1cad426b3acfd89;Google Update Service (gupdate1cad426b3acfd89);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 133104]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 avGuard;avGuard Service;c:\program files\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe [2008-03-10 566608]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-05-06 1220608]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968]
S3 AshAvScan;AshAvScan;c:\windows\system32\DRIVERS\AshAvScan.sys [2008-03-12 9344]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
.
Inhalt des "geplante Tasks" Ordners

2010-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 18:43]

2010-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-04 18:43]

2010-06-16 c:\windows\Tasks\User_Feed_Synchronization-{0C87BF52-E834-441E-850B-4D69275B9FED}.job
- c:\windows\system32\msfeedssync.exe [2010-04-04 04:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} - hxxps://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.21.0.cab
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\gvxgtazp.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - prefs.js: network.proxy.type - 2
FF - component: c:\program files\DAEMON Tools Toolbar\FirefoxDTT\components\DTToolbarFF.dll
FF - component: c:\program files\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension\components\SEPsearchhelperff.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-17 12:32
Windows 6.0.6000  NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-160634127-110634359-1252968786-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:8a,9c,83,5a,a3,92,1b,f2,cd,bf,cf,63,a8,c7,ca,83,a3,de,95,47,5d,a4,07,
   e9,a0,7d,eb,9c,e8,54,c6,80,2a,56,4a,c6,ac,53,25,3a,49,d1,a5,d8,a5,91,d0,28,\
"??"=hex:4e,ba,c9,55,7a,de,ad,fb,d4,32,cb,98,55,df,75,c4

[HKEY_USERS\S-1-5-21-160634127-110634359-1252968786-1000\Software\SecuROM\License information*]
"datasecu"=hex:10,e5,36,be,97,e0,19,25,0d,fb,a2,b5,9f,c7,82,62,c3,03,44,77,26,
   c6,5e,54,d2,46,6c,f4,fe,3a,5e,7c,5d,03,56,2c,f7,5a,71,bb,82,85,59,1f,8a,a9,\
"rkeysecu"=hex:d9,21,63,79,15,5b,2a,0c,e4,92,d8,45,aa,28,9b,b1
 
.

Zeit der Fertigstellung: 2010-06-17  12:37:21
ComboFix-quarantined-files.txt  2010-06-17 10:37

Vor Suchlauf: 12 Verzeichnis(se), 155.752.865.792 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 156.166.836.224 Bytes frei

- - End Of File - - 01A1061A456EF12D8EE059656F58CAB1
--- --- ---
__________________

Geändert von Freshlu (17.06.2010 um 12:12 Uhr)

Antwort

Themen zu Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11
adobe, antivir, antivir guard, antivirus, avg, avira, bho, bonjour, browser, defender, desktop, explorer, fraudpack, google, gupdate, hijackthis, nvidia, object, opera, plug-in, preferences, rundll, senden, server, software, system, trojan, trojaner, vista


« Messenger Virus | Antispyware Soft abgearbeitet, erscheint aber wieder »


Ähnliche Themen: Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11


  1. Hartnäckige Tasks (Trojan.FraudPack & Trojan.Downloader lt. Malwarebytes Anti-Malware)
    Log-Analyse und Auswertung - 23.09.2013 (16)
  2. Online- Banking gesperrt! Trojan.FakeAlert.Gen & Trojan.ZbotR.Gen in (C:\Users\\AppData\Temp & C:\Users\\AppData\Roaming\Osje\rutaap.exe)
    Log-Analyse und Auswertung - 06.02.2013 (1)
  3. Trojan.Dropper & Trojan.FakeAlert & Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (17)
  4. Trojan.Phex.THAGen6, RootKit.0Access, Trojan.FakeAlert
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (29)
  5. Wie entferne ich Trojan.Banker, Trojan.FakeAlert? C ist (angeblich) leer
    Log-Analyse und Auswertung - 10.10.2011 (5)
  6. Malewarebytes meldet 2 verschiedene Trojaner (Trojan.Downloader und Trojan.FakeAlert)
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (0)
  7. PC verseucht mit Trojan.Renos?
    Plagegeister aller Art und deren Bekämpfung - 20.07.2010 (1)
  8. Befall von Rootkit(TDSS.Gen), Trojan Fraudpack und Rogue Antivir
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (8)
  9. Trojan.Win32.FraudPack.gtv
    Plagegeister aller Art und deren Bekämpfung - 11.06.2010 (5)
  10. AppData\Local\Temp\Kcb.exe (Trojan.Fraudpack) und FRITZ!Box\nc.exe (PUP.KeyLogger)
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (1)
  11. Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ?
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (1)
  12. Trojan.Renos.PBR
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  13. C:\Windows\Ctahea.exe (Trojan.FraudPack) -> Failed to unload process.
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  14. iebho.dll (Trojan.FakeAlert, Trojan.BHO.H) lassen sich nicht entfernen
    Log-Analyse und Auswertung - 06.03.2010 (17)
  15. verschienede Virenfunde (TR/fakealert-fraudpack-cryptedgen)
    Plagegeister aller Art und deren Bekämpfung - 11.09.2009 (26)
  16. Trojan.Renos.NTY
    Plagegeister aller Art und deren Bekämpfung - 21.06.2009 (8)
  17. Trojan.FakeAlert und Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11 - Sieht ziemlich unuffällig aus. Aber ich trau dem Braten nicht. Mach mal bitte nen Durchgang mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade dir ComboFix hier - Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11...
Archiv
Du betrachtest: Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132