Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/fakeAV.AM (https://www.trojaner-board.de/59447-tr-fakeav.html)

Izjol 08.09.2008 15:42
TR/fakeAV.AM
 
Hallo zusammen,
Ich bin Opfer des Trojaners TR/fakeAV.AM geworden. Erste Anzeichen waren 2 Meldungen meines Antivirenprogrammes. Kurz darauf hatte ich einen veränderten Desktop sowie die Aufforderung, das Antivirenprogramm "Antivir XP 2008" (oder ähnlich) zu installieren. Hab dann direkt einen Virensuchlauf gestartet, der aber durch einen Bluescreen abgebrochen wurde. Ein Neustart endete direkt wieder im Bluescreen. Da ich mich kurz vorher ein bisschen hier eingelesen hatte hab ich dann im abgesicherten Modus gestartet und mit SmitfraudFix reinigen lassen. Nach erneutem Neustart ist der veränderte Desktop erhalten geblieben. Zusätzlich dazu werden google Verweise nun auf völlig anderen Seiten redirectet.
Da ich nicht wirklich fit auf dem Gebiet bin, wollte ich nun erstmal anfragen, welche Logs und Files von Nöten sind, um mir bei meinem Problem helfen zu können.

Edit:
Hoffe mal, dass der HJT Log so brauchbar ist:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:40, on 8.9.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
E:\Programme\itunes\iTunesHelper.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\lphcgmoj0e9el.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
E:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: 213.239.219.51 www.dotapickup.com
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4199EEC2-B85E-4C36-851E-19EF72B66E29} - C:\WINDOWS\system32\gpkrsrcd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [lphcgmoj0e9el] C:\WINDOWS\system32\lphcgmoj0e9el.exe
O4 - HKLM\..\Run: [inrhclmoj0e9el] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt73.tmp.exe /CR=E378D6B80573F693830D714814CC3DF8C6866F675399E1B59508873A72CA5C261990262CA4A36EDCAA7F62F80867E70F499286E65F24250B49B7D28E6FE0119AE2958908661D91B7BA5A052D69BDD12F33
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "E:\Programme\World of Warcraft\BLASC\BLASC.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Veoh] "E:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\programme\garena\gfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\garena\gfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\garena\gfilter.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

--
End of file - 8805 bytes

undoreal 09.09.2008 08:48
Halli hallo Izjol
:hallo:

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista


Poste bitte den Smitfraudfix rapport und den AntiVir Bericht. Poste generell immer alle logs!



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


1.) Download WinsockFix.zip.
2.) UnZip WinsockFix.zip
3.) Run WinsockFix.exe.
4.) Click the Fix button


Lade dir HostsXpert herunter. Entpacke und starte das Prog mit einem Doppelklick auf die HostXpert.exe.
- Klicke auf den Button "Make Writable".
- Klicke auf den Button "Restore MS HostFile".
- Versiegel die Host Datei wieder mit einem Klick auf "Make ReadOnly".


Überprüfe dein System danach mit Anti-Malware und SuperAntiSpyware und poste dann ein frisches HJT log.

Uwes 08.11.2009 02:29
Hallo zusammen,

ich möchte hier einmal die Lösung präsentieren, die zur "Reinigung meines PC's führte. Auch ich hatte mir den Trojaner FS:Fake-AV in der übelsten Variante eingefangen. Weder mit Avira Antivirus, noch mit AVAST, noch mit a-square, oder Spybot and Destroy und verschiedenen anderen tools gelang die Entfernung. Zwar fanden die Antivirenprogramme einige Dateien und löschten diese auch, aber der Trojaner kam immer wieder in Form der selbst öffnenden Fenster von infizierten Seiten.

Das einzige Programm war prevx in der Version 3.0 mit dem ich die Dateien feststellen konnte. In der Testversion war nur das Löschen nicht möglich.
Auch im Windows XP Betrieb waren die Dateien geblockt und nicht löschbar. Mit Hilfe einer Ubuntu Linux Live CD habe ich dann die folgenden Dateien im Verzeichnis C:\Windows\system32 gelöscht und war - bis jetzt erfolgreich:
dartweb32.dll
datime32.dll
dpnmodem32.dll
cnvfat32.dll
dmusic32.dll
deskadp32.dll
dhcpqec32.dll
comctl3232.dll
eppicprt32.dll
d3dim32.dll
corfax32.dll
cryptdlg.dll
dmscript32alt.dll
hal32.dll
iasads32.dll
cryptdlg.dll
dmscript32alt.dll
hal32.dll
ddrawex32.dll
dpnhupnp32.dll
cards32.dll
dpnaddr32.dll
und im Verzeichnis C:\windows die Datei:
dceboot.exe

Damit war ich den Trojaner zunächst los.

Uwes

pagnasa 11.03.2010 08:48
Hallo Uwes,

in Deiner Liste der gelöschten Dateien ist eine "cryptdlg.dll" die kein "32" angefügt hat. Diese Datei ist auch in meinem System 32 wurde aber von Spyware Doctor als sauber gescannt.

Ist die angehängte "32" jetzt als Zeichen eines Virus zu verstehen oder ist aus irgendeinem Grund die "32" versehentlich bei dieser Datei ausgelassen worden?

Mir fällt auch auf, dass verschieden Dateien, darunter auch die "cryptdlg.dll", in Deiner Liste 2mal auftauchen.

Ist das versehentlich oder hat das einen bestimmten Grund?

Danke für eine Antwort.

Pagnasa:confused:
Zitat:
Zitat von Uwes (Beitrag 479111)
Hallo zusammen,

ich möchte hier einmal die Lösung präsentieren, die zur "Reinigung meines PC's führte. Auch ich hatte mir den Trojaner FS:Fake-AV in der übelsten Variante eingefangen. Weder mit Avira Antivirus, noch mit AVAST, noch mit a-square, oder Spybot and Destroy und verschiedenen anderen tools gelang die Entfernung. Zwar fanden die Antivirenprogramme einige Dateien und löschten diese auch, aber der Trojaner kam immer wieder in Form der selbst öffnenden Fenster von infizierten Seiten.

Das einzige Programm war prevx in der Version 3.0 mit dem ich die Dateien feststellen konnte. In der Testversion war nur das Löschen nicht möglich.
Auch im Windows XP Betrieb waren die Dateien geblockt und nicht löschbar. Mit Hilfe einer Ubuntu Linux Live CD habe ich dann die folgenden Dateien im Verzeichnis C:\Windows\system32 gelöscht und war - bis jetzt erfolgreich:
dartweb32.dll
datime32.dll
dpnmodem32.dll
cnvfat32.dll
dmusic32.dll
deskadp32.dll
dhcpqec32.dll
comctl3232.dll
eppicprt32.dll
d3dim32.dll
corfax32.dll
cryptdlg.dll
dmscript32alt.dll
hal32.dll
iasads32.dll
cryptdlg.dll
dmscript32alt.dll
hal32.dll
ddrawex32.dll
dpnhupnp32.dll
cards32.dll
dpnaddr32.dll
und im Verzeichnis C:\windows die Datei:
dceboot.exe

Damit war ich den Trojaner zunächst los.

Uwes

undoreal 17.03.2010 20:28
Es sollte keiner nach solchen Angaben arbeiten!

Jede Infektion ist individuell und muss auch so betreut werden. Ansonsten besteht die Gefahr sich das ganze system zu zerschießen!

Bitte erstellt einen eigenen Thread so wie das in den FAQs erklärt wird. Dann helfen wir euch gerne weiter.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19