Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BKA / ukash / fakealert.AP - wieder sauber?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.04.2012, 18:14   #1
kartöffel
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Moin zusammen,

aus Unachtsamkeit hab ich mir den BKA / Ukash, wohl fakeagent.AP eingefangen, gestern Abend.
Ich bin erstmal mit der vorhandenen Usererfahrung (=Halbwissen) dran.
Heißt: Abgesicherter Modus - Systemrückstellung - Abgesicherter Modus - Avira Scan.
Der hat den fakeagent.AP auch gefunden dann.

Ich hab jetzt mit bitdefender und eset Online Scans gemacht. bitdefender findet nichts, eset hat mir 8 andere Malwares gekillt.

Die Symptome des Virus von gestern Abend sind weg - aber ich traue dem Frieden nicht, schon gar nicht nachdem ich dann bei euch im Board ein bisschen gelesen habe...

Anbei mal zwei Files (dds) wie in eurem Howto beschrieben, ich wäre euch dankbar für Entwarnung oder Hilfe, solltet ihr noch weitere Infos brauchen gebt Bescheid =)

Besten Dank
kartöffel

Alt 04.04.2012, 14:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Zitat:
Abgesicherter Modus - Avira Scan.
Der hat den fakeagent.AP auch gefunden dann.
eset hat mir 8 andere Malwares gekillt.

Ohne die Logs von AntiVir und ESET wird das hier nichts.
Alles muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 04.04.2012, 21:44   #3
kartöffel
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Alles klar, danke & sorry.

Hier mal Avira:

Code:
ATTFilter
 
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 4. April 2012  18:56

Es wird nach 3580092 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ACR

Versionsinformationen:
BUILD.DAT      : 12.0.0.898     41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE     : 12.1.0.20     492496 Bytes  31.01.2012 06:55:52
AVSCAN.DLL     : 12.1.0.18      65744 Bytes  31.01.2012 06:56:29
LUKE.DLL       : 12.1.0.19      68304 Bytes  31.01.2012 06:56:01
AVSCPLR.DLL    : 12.1.0.22     100048 Bytes  31.01.2012 06:55:52
AVREG.DLL      : 12.1.0.33     228104 Bytes  02.04.2012 16:37:16
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 07:23:43
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 07:27:31
VBASE005.VDF   : 7.11.26.45      2048 Bytes  28.03.2012 07:27:31
VBASE006.VDF   : 7.11.26.46      2048 Bytes  28.03.2012 07:27:31
VBASE007.VDF   : 7.11.26.47      2048 Bytes  28.03.2012 07:27:31
VBASE008.VDF   : 7.11.26.48      2048 Bytes  28.03.2012 07:27:31
VBASE009.VDF   : 7.11.26.49      2048 Bytes  28.03.2012 07:27:31
VBASE010.VDF   : 7.11.26.50      2048 Bytes  28.03.2012 07:27:32
VBASE011.VDF   : 7.11.26.51      2048 Bytes  28.03.2012 07:27:32
VBASE012.VDF   : 7.11.26.52      2048 Bytes  28.03.2012 07:27:32
VBASE013.VDF   : 7.11.26.53      2048 Bytes  28.03.2012 07:27:32
VBASE014.VDF   : 7.11.26.107   221696 Bytes  30.03.2012 09:20:52
VBASE015.VDF   : 7.11.26.179   224768 Bytes  02.04.2012 16:37:11
VBASE016.VDF   : 7.11.26.180     2048 Bytes  02.04.2012 16:37:11
VBASE017.VDF   : 7.11.26.181     2048 Bytes  02.04.2012 16:37:11
VBASE018.VDF   : 7.11.26.182     2048 Bytes  02.04.2012 16:37:11
VBASE019.VDF   : 7.11.26.183     2048 Bytes  02.04.2012 16:37:11
VBASE020.VDF   : 7.11.26.184     2048 Bytes  02.04.2012 16:37:12
VBASE021.VDF   : 7.11.26.185     2048 Bytes  02.04.2012 16:37:12
VBASE022.VDF   : 7.11.26.186     2048 Bytes  02.04.2012 16:37:12
VBASE023.VDF   : 7.11.26.187     2048 Bytes  02.04.2012 16:37:12
VBASE024.VDF   : 7.11.26.188     2048 Bytes  02.04.2012 16:37:12
VBASE025.VDF   : 7.11.26.189     2048 Bytes  02.04.2012 16:37:12
VBASE026.VDF   : 7.11.26.190     2048 Bytes  02.04.2012 16:37:12
VBASE027.VDF   : 7.11.26.191     2048 Bytes  02.04.2012 16:37:12
VBASE028.VDF   : 7.11.26.192     2048 Bytes  02.04.2012 16:37:12
VBASE029.VDF   : 7.11.26.193     2048 Bytes  02.04.2012 16:37:12
VBASE030.VDF   : 7.11.26.194     2048 Bytes  02.04.2012 16:37:12
VBASE031.VDF   : 7.11.26.234    99328 Bytes  04.04.2012 07:39:01
Engineversion  : 8.2.10.36 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  31.01.2012 06:55:38
AESCRIPT.DLL   : 8.1.4.15      442747 Bytes  31.03.2012 09:22:11
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.03.2012 07:23:56
AESBX.DLL      : 8.2.5.5       606579 Bytes  27.03.2012 07:23:57
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37
AEPACK.DLL     : 8.2.16.9      807287 Bytes  31.03.2012 09:22:05
AEOFFICE.DLL   : 8.1.2.26      201083 Bytes  02.04.2012 16:37:15
AEHEUR.DLL     : 8.1.4.10     4551031 Bytes  31.03.2012 09:21:53
AEHELP.DLL     : 8.1.19.1      254327 Bytes  02.04.2012 16:37:14
AEGEN.DLL      : 8.1.5.23      409973 Bytes  27.03.2012 07:23:53
AEEXP.DLL      : 8.1.0.27       82293 Bytes  31.03.2012 09:22:12
AEEMU.DLL      : 8.1.3.0       393589 Bytes  31.01.2012 06:55:34
AECORE.DLL     : 8.1.25.6      201078 Bytes  27.03.2012 07:23:52
AEBB.DLL       : 8.1.1.0        53618 Bytes  31.01.2012 06:55:33
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  31.01.2012 06:55:54
AVPREF.DLL     : 12.1.0.17      51920 Bytes  31.01.2012 06:55:51
AVREP.DLL      : 12.1.0.17     179408 Bytes  31.01.2012 06:55:51
AVARKT.DLL     : 12.1.0.23     209360 Bytes  31.01.2012 06:55:46
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  31.01.2012 06:55:47
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  31.01.2012 06:56:07
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  31.01.2012 06:55:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  31.01.2012 06:56:02
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  31.01.2012 06:56:32
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  31.01.2012 06:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +SPR,

Beginn des Suchlaufs: Mittwoch, 4. April 2012  18:56

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'UNS.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'NASvc.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCalendarSync.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'aim.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'RemoteServer.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wrapper.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'GREGsvc.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsiwmis.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1042' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Acer>
Beginne mit der Suche in 'D:\' <DATA>


Ende des Suchlaufs: Mittwoch, 4. April 2012  20:42
Benötigte Zeit:  1:46:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  34032 Verzeichnisse wurden überprüft
 913515 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 913515 Dateien ohne Befall
   7222 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 805272 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
eset hat mir kein Log angeboten, aber wieder was gefunden.

Hier:

Code:
ATTFilter
 C:\Recycle.Bin\B6232F3AB35.exe	Variante von Win32/Kryptik.ADPO Trojaner	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Pit\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\1e6080bc-1968ff00	Variante von Win32/Kryptik.ADPO Trojaner	Gesäubert durch Löschen - in Quarantäne kopiert
         
Gibt's da noch ein ausführliches File, wenn ja wo?

Danke & beste Grüße

kartöffel
__________________

Alt 04.04.2012, 23:04   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Warum postest du jetzt ein Log von AntVir ohne Funde? Dadurch sehe ich nicht was los ist bzw war!
Und das von ESET mit den 8 Funden kommt bei diesem Log wohl auch nicht ganz hin

Wo hast du die Anleitungen zu ESET gelesen, wenn hier dann richtig lesen, da steht auch wo das Log mit allen Funden zu finden ist

Avira siehe Berichte/Ereignisse
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.04.2012, 23:13   #5
kartöffel
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Meine Intention war ja rauszufinden ob das System jetzt wieder okay ist - evtl. zu kurz gedacht.

Hier also mal Avira mit den Funden:

Code:
ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 3. April 2012  12:00

Es wird nach 3576175 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ACR

Versionsinformationen:
BUILD.DAT      : 12.0.0.898     41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE     : 12.1.0.20     492496 Bytes  31.01.2012 06:55:52
AVSCAN.DLL     : 12.1.0.18      65744 Bytes  31.01.2012 06:56:29
LUKE.DLL       : 12.1.0.19      68304 Bytes  31.01.2012 06:56:01
AVSCPLR.DLL    : 12.1.0.22     100048 Bytes  31.01.2012 06:55:52
AVREG.DLL      : 12.1.0.33     228104 Bytes  02.04.2012 16:37:16
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 07:23:43
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 07:27:31
VBASE005.VDF   : 7.11.26.45      2048 Bytes  28.03.2012 07:27:31
VBASE006.VDF   : 7.11.26.46      2048 Bytes  28.03.2012 07:27:31
VBASE007.VDF   : 7.11.26.47      2048 Bytes  28.03.2012 07:27:31
VBASE008.VDF   : 7.11.26.48      2048 Bytes  28.03.2012 07:27:31
VBASE009.VDF   : 7.11.26.49      2048 Bytes  28.03.2012 07:27:31
VBASE010.VDF   : 7.11.26.50      2048 Bytes  28.03.2012 07:27:32
VBASE011.VDF   : 7.11.26.51      2048 Bytes  28.03.2012 07:27:32
VBASE012.VDF   : 7.11.26.52      2048 Bytes  28.03.2012 07:27:32
VBASE013.VDF   : 7.11.26.53      2048 Bytes  28.03.2012 07:27:32
VBASE014.VDF   : 7.11.26.107   221696 Bytes  30.03.2012 09:20:52
VBASE015.VDF   : 7.11.26.179   224768 Bytes  02.04.2012 16:37:11
VBASE016.VDF   : 7.11.26.180     2048 Bytes  02.04.2012 16:37:11
VBASE017.VDF   : 7.11.26.181     2048 Bytes  02.04.2012 16:37:11
VBASE018.VDF   : 7.11.26.182     2048 Bytes  02.04.2012 16:37:11
VBASE019.VDF   : 7.11.26.183     2048 Bytes  02.04.2012 16:37:11
VBASE020.VDF   : 7.11.26.184     2048 Bytes  02.04.2012 16:37:12
VBASE021.VDF   : 7.11.26.185     2048 Bytes  02.04.2012 16:37:12
VBASE022.VDF   : 7.11.26.186     2048 Bytes  02.04.2012 16:37:12
VBASE023.VDF   : 7.11.26.187     2048 Bytes  02.04.2012 16:37:12
VBASE024.VDF   : 7.11.26.188     2048 Bytes  02.04.2012 16:37:12
VBASE025.VDF   : 7.11.26.189     2048 Bytes  02.04.2012 16:37:12
VBASE026.VDF   : 7.11.26.190     2048 Bytes  02.04.2012 16:37:12
VBASE027.VDF   : 7.11.26.191     2048 Bytes  02.04.2012 16:37:12
VBASE028.VDF   : 7.11.26.192     2048 Bytes  02.04.2012 16:37:12
VBASE029.VDF   : 7.11.26.193     2048 Bytes  02.04.2012 16:37:12
VBASE030.VDF   : 7.11.26.194     2048 Bytes  02.04.2012 16:37:12
VBASE031.VDF   : 7.11.26.198    29184 Bytes  02.04.2012 16:37:13
Engineversion  : 8.2.10.36 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  31.01.2012 06:55:38
AESCRIPT.DLL   : 8.1.4.15      442747 Bytes  31.03.2012 09:22:11
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.03.2012 07:23:56
AESBX.DLL      : 8.2.5.5       606579 Bytes  27.03.2012 07:23:57
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37
AEPACK.DLL     : 8.2.16.9      807287 Bytes  31.03.2012 09:22:05
AEOFFICE.DLL   : 8.1.2.26      201083 Bytes  02.04.2012 16:37:15
AEHEUR.DLL     : 8.1.4.10     4551031 Bytes  31.03.2012 09:21:53
AEHELP.DLL     : 8.1.19.1      254327 Bytes  02.04.2012 16:37:14
AEGEN.DLL      : 8.1.5.23      409973 Bytes  27.03.2012 07:23:53
AEEXP.DLL      : 8.1.0.27       82293 Bytes  31.03.2012 09:22:12
AEEMU.DLL      : 8.1.3.0       393589 Bytes  31.01.2012 06:55:34
AECORE.DLL     : 8.1.25.6      201078 Bytes  27.03.2012 07:23:52
AEBB.DLL       : 8.1.1.0        53618 Bytes  31.01.2012 06:55:33
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  31.01.2012 06:55:54
AVPREF.DLL     : 12.1.0.17      51920 Bytes  31.01.2012 06:55:51
AVREP.DLL      : 12.1.0.17     179408 Bytes  31.01.2012 06:55:51
AVARKT.DLL     : 12.1.0.23     209360 Bytes  31.01.2012 06:55:46
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  31.01.2012 06:55:47
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  31.01.2012 06:56:07
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  31.01.2012 06:55:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  31.01.2012 06:56:02
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  31.01.2012 06:56:32
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  31.01.2012 06:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +SPR,

Beginn des Suchlaufs: Dienstag, 3. April 2012  12:00

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NASvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCalendarSync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aim.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RemoteServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wrapper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Windows\Sysnative\drivers\sptd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( '688' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Acer>
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VC5MGF59\91_232_29_74[1].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VC5MGF59\91_232_29_74[2].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
C:\Users\Pit\AppData\Local\Temp\Comodo\Firewall Pro\Data\TempFiles\cfpconfg.exe.7z
  [WARNUNG]   Die Datei konnte nicht gelesen werden!
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VC5MGF59\91_232_29_74[2].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VC5MGF59\91_232_29_74[1].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!


Ende des Suchlaufs: Dienstag, 3. April 2012  14:39
Benötigte Zeit:  1:55:42 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  34595 Verzeichnisse wurden überprüft
 992170 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 992167 Dateien ohne Befall
   7866 Archive wurden durchsucht
      2 Warnungen
      2 Hinweise
         
und hier eset:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=31a5ea0bf119ef49b76400e6552a5c45
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-03 03:06:18
# local_time=2012-04-03 05:06:18 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 626418 626418 0 0
# compatibility_mode=3073 16777214 0 7 943947 943950 0 0
# compatibility_mode=5893 16776574 100 94 23237626 85089223 0 0
# compatibility_mode=8192 67108863 100 0 352 352 0 0
# scanned=178057
# found=9
# cleaned=9
# scan_time=6204
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8BPNR4XV\show_cu[1].js	JS/TrojanClicker.Agent.NCQ Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8BPNR4XV\video-1-baby+laugh+news[1].htm	JS/TrojanClicker.Agent.NBN Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\XPF4PW60\mygateway_iframe_loader[1].htm	HTML/ScrInject.B.Gen Virus (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\XPF4PW60\video+anna[1].htm	JS/TrojanClicker.Agent.NBN Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\XPF4PW60\video[1].htm	HTML/ScrInject.B.Gen Virus (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Pit\AppData\Local\Temp\arg65035.exe	Variante von Win32/Kryptik.ADOE Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Pit\Documents\SuperOneClickv1.9.5-ShortFuse\Exploits\psneuter	Android/Exploit.Lotoor.AK Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Pit\Documents\SuperOneClickv2.1.1-ShortFuse\Exploits\psneuter	Android/Exploit.Lotoor.AK Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
D:\DL\SuperOneClickv2.3.3-ShortFuse\Exploits\psneuter	Android/Exploit.Lotoor.AK Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=31a5ea0bf119ef49b76400e6552a5c45
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-04 08:34:29
# local_time=2012-04-04 10:34:29 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 732505 732505 0 0
# compatibility_mode=3073 16777214 0 7 1050034 1050037 0 0
# compatibility_mode=5893 16776574 100 94 23343713 85195310 0 0
# compatibility_mode=8192 67108863 100 0 106439 106439 0 0
# scanned=178690
# found=2
# cleaned=2
# scan_time=6208
C:\Recycle.Bin\B6232F3AB35.exe	Variante von Win32/Kryptik.ADPO Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Pit\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\1e6080bc-1968ff00	Variante von Win32/Kryptik.ADPO Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
ESETSmartInstaller@High as downloader log:
all ok
         
Thx
kartöffel

edit: im eset ordner ist nur ein log.txt, da scheint aber auch vergangenes drin zu sein, richtig?


Alt 04.04.2012, 23:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Ja genau, deswegen sollte das ja auch gepostet werden!

Zitat:
C:\Users\Pit\AppData\Local\Temp\Comodo\Firewall Pro\Data\TempFiles\cfpconfg.exe.7z
Kennst du das?
Hast du Comodo noch installiert?
Eine zusätzliche bzw. andere Software-Firewall und v.a. sowas wie SecuritySuites sind Quatsch mit Sauce, in vielen Fällen kontraproduktiv und Ursache für die "lustigsten" Fehler.
Bitte umgehend deinstallieren, Windows danach neustarten und sicherstellen, dass die Windows-Firewall aktiv ist und keine gefährlichen "Löcher" (siehe Ausnahmeliste) hat.
__________________
--> BKA / ukash / fakealert.AP - wieder sauber?

Alt 04.04.2012, 23:53   #7
kartöffel
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Ja, hab ich vor einiger Zeit schon deinstalliert und benutze wieder Windows Firewall.
Ist sonst alles im Lot, wenn Du nur das fragst??

Alt 05.04.2012, 09:53   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Ok, dann ist ja gut. Bevor ich fixen kann muss ich manche Unklarheiten erst klären, wir sind hier noch nicht durch

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.04.2012, 10:08   #9
kartöffel
 
BKA / ukash / fakealert.AP - wieder sauber? - Standard

BKA / ukash / fakealert.AP - wieder sauber?



Bin jetzt im Büro (ohne meinen Rechner), das Startmenü kann ich also gerade nicht checken leider.
Hab den Rechner eigentlich seit dem Problem nur noch für das Nötigste (also für hier und Virensuchläufe) benutzt, da ging der normale Modus problemfrei.
Alles weitere kann dann leider erst heute Abend weitergehen.

Danke & bis dann!

So jetzt =)

Nach wie vor startet der normale Modus ganz normal, AnitiVir startet sich auch mit, ebenfalls die gewünschten Autostart-Programme.
In "Alle Programme" ist mir bei Durchsicht nichts ungewöhnliches aufgefallen. Alle Ordner haben auch Inhalt.

Beste Grüße
kartöffel

Zitat:
Zitat von cosinus Beitrag anzeigen
Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
ich versuche mal mit Quote, da meine Ergänzung (s.o.) leider die Zeit meines letzten Posts nicht aktualisiert hat, und somit der Beitrag wohl nicht wahrgenommen wird vermute ich...
Sorry falls das eigentlich unerwünscht ist!

Antwort

Themen zu BKA / ukash / fakealert.AP - wieder sauber?
abgesicherter, andere, avira, bescheid, bitdefender, board, brauche, defender, eingefangen, eset, files, frieden, gefangen, gestern, howto, infos, modus, nichts, online, sauber, systemrückstellung, virus, warnung, zusammen




Ähnliche Themen: BKA / ukash / fakealert.AP - wieder sauber?


  1. Ukash bei Kinox eingefangen, Wiederherstellungspunkt erstellt - ist das System sauber ?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (9)
  2. GVU UKash Trojaner sauber entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (11)
  3. Ukash Virus - PC nun sauber ?
    Plagegeister aller Art und deren Bekämpfung - 06.04.2012 (7)
  4. HTML/FakeAlert.AP Virus - brauche Hilfe ihn wieder los zu werden
    Log-Analyse und Auswertung - 29.03.2012 (11)
  5. Systemfix entfernt - PC wieder sauber?
    Log-Analyse und Auswertung - 15.12.2011 (41)
  6. System nach Bereinigung des Ukash-Trojaners sauber?
    Log-Analyse und Auswertung - 26.10.2011 (1)
  7. FakeAlert!fakealert-REP in C:\Windows\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
    Plagegeister aller Art und deren Bekämpfung - 02.09.2011 (45)
  8. System wieder sauber?
    Log-Analyse und Auswertung - 06.01.2011 (3)
  9. ist mein pc wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (47)
  10. Hatte Backdoor ---bin ich wieder sauber?
    Log-Analyse und Auswertung - 18.04.2009 (17)
  11. Ist mein Rechner wieder sauber?
    Log-Analyse und Auswertung - 23.03.2009 (0)
  12. Ist mein PC wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2009 (1)
  13. Krieg ich meinen PC wieder sauber
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (20)
  14. System wieder sauber?
    Log-Analyse und Auswertung - 15.06.2008 (6)
  15. PC nach Trojanerbefall wieder sauber?
    Log-Analyse und Auswertung - 05.03.2008 (4)
  16. Ist mein PC wieder sauber ?
    Plagegeister aller Art und deren Bekämpfung - 12.02.2008 (6)
  17. Bin ich jetzt wieder sauber?
    Log-Analyse und Auswertung - 28.04.2007 (2)

Zum Thema BKA / ukash / fakealert.AP - wieder sauber? - Moin zusammen, aus Unachtsamkeit hab ich mir den BKA / Ukash, wohl fakeagent.AP eingefangen, gestern Abend. Ich bin erstmal mit der vorhandenen Usererfahrung (=Halbwissen) dran. Heißt: Abgesicherter Modus - Systemrückstellung - BKA / ukash / fakealert.AP - wieder sauber?...
Archiv
Du betrachtest: BKA / ukash / fakealert.AP - wieder sauber? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.