Trojaner-Board - XP Antivirus 2008 !?!?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - XP Antivirus 2008 !?!? (https://www.trojaner-board.de/54374-xp-antivirus-2008-a.html)

XP Antivirus 2008 !?!?

Hallo,

Da hat sich automatisch ohne das ich das wollte ein programm names "XP Antivirus 2008" installiert

das hat einfach angefangen meinen PC zu scannen und sagt es hätte 56 viren gefunden was gar nicht sein kann hab mein pc erst heute mittag neu aufgesetzt...

Das schlimmste ist man kann es nicht ausschalten / löschen ...

ich hab auch noch ein screen gemacht darauf kann man mehr sehen...

das programm ist doch bestimmt ne art virus was kann ich jetzt tun? :confused:

[IMG]http://www.bilder-hochladen.net/files/thumbs/4pvy-5.jpg[/IMG]

Hey gshock du schon wieder:lach:

Schau dir mal dass hier an.

1: Brauche HijackThis Logfile

Zitat:

das hat einfach angefangen meinen PC zu scannen und sagt es hätte 56 viren gefunden was gar nicht sein kann hab mein pc erst heute mittag neu aufgesetzt...

Nicht ernst nehmen:Sind wichtige (meist) SystemDateien!

Zitat:

Das schlimmste ist man kann es nicht ausschalten / löschen ...

ich hab auch noch ein screen gemacht darauf kann man mehr sehen...

das programm ist doch bestimmt ne art virus was kann ich jetzt tun?

Das sind Fakeprogramme!!
Besitzt Du AVIRA (oAnderes)?
Sieht nicht so aus ,bei dir ist eine MENGE zu tun:
1.Viren kannst du dir ungeschützt leicht (sehr leicht) einfangen!
2.Mache Updates vom Internet Explorer und von Microsoft.
3.Benutze Malwarebytes (nur posten)
4.Benutze ,wenn du surst nicht den IE ,sondern Firefox/ http://www.firefox-browser.de/ (oandere Browser)
5.Brauche unbedingt weiter Infos
6. Lade dir erstmal AVIRA( http://www.free-av.de/ )

:so:
* aktivieren der "Automatischen Updates", insbesondere das einspielen/installieren des "Service Pack 1" ist hierbei absolute Pflicht!

* Einrichtung eines "Eingeschränkten Benutzerkontos"

* Aktivieren der "Internetverbindungsfirewall (XP)"

* Abschalten der Windows-Dienste, für Windows Vista -> "Dienste und Treibersignaturen"

*

(Achtung: Der Internet Explorer darf nicht deinstalliert werden, dieser wird für den Download der Sicherheitsupdates benötigt!)

* Ein sicherers E-Mail-Programm nutzen, z.B. "Thunderbird 2"

* Dateierweiterungen anzeigen lassen -> "Einstellungen"

*

(dies ist besonders wichtig, um z.B. Anhänge in E-Mails genauer betrachten zu können!)

Zitat:

Zitat von trojan-death (Beitrag 347812)

Hey gshock du schon wieder:lach:

Schau dir mal dass hier an.

ja weiß auch nicht was los ist einfach zum :pukeface: -.-

das ist gleich passiert nachdem ich mein anti vir prog (avast) installiert hab...

(hab das auch immer weggeklickt als das programm was im system32 ordner löschen wollte)

und ich besitze kein AVIRA (oAnderes).. hab nur avast aufem rechner..

so hab gleich mal HijackThis gemacht:
HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:51:39, on 20.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Analog Devices\SoundMAX\SMTray.exe

C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

C:\Programme\Skype\Phone\Skype.exe

C:\PROGRA~1\ICQ6\ICQ.exe

C:\Programme\XP Antivirus\xpa.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\Xfire\xfire.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

O4 - HKCU\..\Run: [25291227945109262585234176816197] C:\Programme\XP Antivirus\xpa.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {00000005-0007-0000-0000-100011000004} - hxxp://code.trasferimento.biz/l/44e858b8cb9df0ff70d475e96ac44cdc_35.exe

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DD08E5DB-87D2-49E3-87C3-35DAF4ADD0C8}: NameServer = 217.237.150.141,194.25.2.129

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: wintfj32 - C:\WINDOWS\SYSTEM32\wintfj32.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 6278 bytes

--- --- ---

Ich lass dann gleich noch mit Malwarebytes mal scannen und poste es dann...

Also bitte hol dir The Avenger (signatur)

und gebe im weissen feld folgenden text ein:

Zitat:

files to delete:
C:\WINDOWS\SYSTEM32\wintfj32.dll
folders to delete:
C:\Programme\XP Antivirus

Bitte den Text der C:\avenger.txt datei posten:daumenhoc

ok mach ich gleich...

So hab den scan mit Malewarebytes abgeschlossen und es hat einiges gefunden unteranderem was mit XP antivirus.. :snyper:

so hier noch der scan:

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 872

21:19:33 20.06.2008
mbam-log-6-20-2008 (21-19-33).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 83244
Scan Dauer: 16 minute(s), 52 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
C:\Programme\XP Antivirus\xpa.exe (Rogue.XPAntivirus) -> Unloaded process successfully.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataDisp32 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\25291227945109262585234176816197 (Rogue.XPAntivirus) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\XP Antivirus (Rogue.XPAntivirus) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\GShock2\Lokale Einstellungen\Temp\gosCB.tmp (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B760C688-8BD5-4F83-BF31-3EA6AC9EC459}\RP21\A0002619.dll (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\XP Antivirus\xpa.exe (Rogue.XPAntivirus) -> Quarantined and deleted successfully.

so hab avenger ausgeführt hier der logg:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\SYSTEM32\wintfj32.dll" deleted successfully.

Error: folder "C:\Programme\XP Antivirus" not found!
Deletion of folder "C:\Programme\XP Antivirus" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Hi,
Ich komm mal wieder dazu:
Gut,das hat Avenger erfolgreich ausgeführt..
Allerdings "C:\Programme\XP Antivirus" gab es nicht,bzw. kann es nichtmehr geben: Malwarebytes:
"C:\Programme\XP Antivirus (Rogue.XPAntivirus) -> Quarantined and deleted successfully."

Besorge dir übrigens mal das SP3.
Bitte ein neues HJT posten.
Das Alte wird nicht mehr stimmen...

SP3 ?? gibts doch nur für vista glaub ich

hab kein vista das ist nur ein vista skin (hab XP)

also das programm wurde entfernt.. unten in der taskliste nervt mich das aber immer noch

hier ein screen:

http://www.bilder-hochladen.net/files/thumbs/4pvy-6.jpg

und hier noch das neue logg:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Zitat:

Zitat von specialagent (Beitrag 347834)

Langsam...

[edit]
diese art der kommunikation wünschen wir hier ausdrücklich nicht

GUA
[/edit]

Gut . Bitte ,ich habe keine Lust mehr und ändere die Meinung von vorher
Ist ja absurd ,wie ich hier behandelt werde... Ich meine ich will nur helfen.. @gshock : Ich werde dir nicht mehr helfen (sorry!)

hätte ich das im Abgesicherten modus fixen sollen?

hab das im normalen gemacht und erst später gelesen :headbang:

hier noch das ergebnis:

AhnLab-V3 2008.6.19.0 2008.06.20 Win-Trojan/Pakes.19456.J
AntiVir 7.8.0.59 2008.06.20 TR/Crypt.PEC2X.Gen
Authentium 5.1.0.4 2008.06.20 -
Avast 4.8.1195.0 2008.06.20 -
AVG 7.5.0.516 2008.06.20 Potentially harmful program Fake_AntiSpyware.TA
BitDefender 7.2 2008.06.20 -
CAT-QuickHeal 9.50 2008.06.20 Trojan.Pakes.cyw
ClamAV 0.93.1 2008.06.20 -
DrWeb 4.44.0.09170 2008.06.20 Trojan.Fakealert.705
eSafe 7.0.15.0 2008.06.19 Suspicious File
eTrust-Vet 31.6.5890 2008.06.20 -
Ewido 4.0 2008.06.20 -
F-Prot 4.4.4.56 2008.06.20 -
F-Secure 7.60.13501.0 2008.06.20 Trojan.Win32.Pakes.cyw
Fortinet 3.14.0.0 2008.06.20 W32/PECompact.FY!tr
GData 2.0.7306.1023 2008.06.20 Trojan.Win32.Pakes.cyw
Ikarus T3.1.1.26.0 2008.06.20 Trojan.Win32.Dialer.yz
Kaspersky 7.0.0.125 2008.06.20 Trojan.Win32.Pakes.cyw
McAfee 5322 2008.06.20 Generic FakeAlert.a
Microsoft 1.3604 2008.06.20 -
NOD32v2 3204 2008.06.20 Win32/TrojanDownloader.FakeAlert.DN
Norman 5.80.02 2008.06.20 W32/Smalltroj.dam
Panda 9.0.0.4 2008.06.20 Dialer.LEL
Prevx1 V2 2008.06.20 Fraudulent Security Program
Rising 20.49.42.00 2008.06.20 -
Sophos 4.30.0 2008.06.20 -
Sunbelt 3.0.1153.1 2008.06.15 Trojan.Crypt.PEC2X.Gen
Symantec 10 2008.06.20 Trojan.Fakeavalert
TheHacker 6.2.92.356 2008.06.20 Trojan/Pakes.cyw
TrendMicro 8.700.0.1004 2008.06.20 TROJ_DIALER.FY
VBA32 3.12.6.7 2008.06.19 Trojan.Win32.Pakes.cyw
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.20 Trojan.Crypt.PEC2X.Gen

Nei nein das ist gut so!

bitte gib im The Avenger folgendes script ein:

Zitat:

files to delete:
C:\WINDOWS\system32\drvduc.dll

Bitte poste auch ein neues Hijackthis logfile danke :daumenhoc

@specialagent

[edit]
diese art der kommunikation wünschen wir hier ausdrücklich nicht

GUA
[/edit]

so hab ich gemacht und alle zeichen unten in der taskleiste sind weg :daumenhoc

dafür kommt jetzt aber nach jedem Systemstart die Fehler Meldung:

Fehler beim laden von C:\WINDOWS\system32\drvduc.dll

Das angegebene Modul wurde nicht gefunden.

hier das neuste Hijackthis logg:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Das ist schnell behoben...

In deinem Hijackthis Logfile wirst du unter den 04 eiträgen einen eintrage sehen der etwa so aussieht:
C:\WINDOWS\system32\drvduc.dll (file missing)

diesen eintrag kannst du fixen:daumenhoc