Fake.Privdanger

Xronos · 03.06.2008, 11:45

Hallo erstmals! (im warsten Sinne des Wortes)

der Stand der Dinge:
Ich habe mir gestern den Virus Fake.Privdanger eingefangen und dank euren Beiträgen ihn mit Hilfe von Smitfraudfix entfernen können (hat alles einwandfrei funktioniert, auch die Erklärungen waren sehr gut!).

Da ich allerdings weiters gelesen habe, dass bei einigen, damit die Sache noch immer nicht vorbei war, wollte ich jetzt sicherheitshalber die letzte HijackThis log file sowie die letzte rapport.txt file mitsenden, damit ein "Virusprofi" noch einen letzten Blick darauf werfen kann und mir das ok geben kann, dass tatsächlich keinerlei "Rückstände" mehr zu finden sind.

Hier nun die Logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:52:05, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HijackThis\HijackThis.exe

O3 - Toolbar: atfxqogp - {EC2B736E-2B50-4709-A63E-F69855335854} - C:\WINDOWS\atfxqogp.dll (file missing)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [c4caf221] rundll32.exe "C:\WINDOWS\system32\aofadnah.dll",b
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: vregfwlx - {5833D5EB-3EFF-4479-AE64-3C8A4F0C751F} - C:\WINDOWS\vregfwlx.dll (file missing)
O21 - SSODL: vltdfabw - {2F6449D5-D636-4EE7-8BC6-EFEBE9ACCA94} - C:\WINDOWS\vltdfabw.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5836 bytes

und hier die rapport.txt:

SmitFraudFix v2.323

Scan done at 11:27:04,87, 03.06.2008
Run from C:\Dokumente und Einstellungen\***\Desktop\Virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\boqnrwdmble.dll deleted.
C:\WINDOWS\atfxqogp.dll deleted.
C:\WINDOWS\vregfwlx.dll deleted.
C:\WINDOWS\vltdfabw.dll deleted.

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\xmpstean.exe Deleted
C:\DOKUME~1\***\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\***\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\***\Desktop\Spyware?Malware Protection.url Deleted
C:\DOKUME~1\***\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\***\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\***\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{47CB4410-7D31-473F-92B3-E3B5B9D60162}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{86BDDA34-66D4-49C9-8EB9-E0FAE9B004E6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9648A3BB-EA49-4B15-9E17-4EFDE781A9A1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD3C554A-393E-4C10-8603-296E19D6E500}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B71EC525-36F0-42D2-9B05-4DE49368C6DC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDE8B268-72AA-42F4-8674-07B0F182CB35}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{47CB4410-7D31-473F-92B3-E3B5B9D60162}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{86BDDA34-66D4-49C9-8EB9-E0FAE9B004E6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9648A3BB-EA49-4B15-9E17-4EFDE781A9A1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD3C554A-393E-4C10-8603-296E19D6E500}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B71EC525-36F0-42D2-9B05-4DE49368C6DC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDE8B268-72AA-42F4-8674-07B0F182CB35}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{47CB4410-7D31-473F-92B3-E3B5B9D60162}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{86BDDA34-66D4-49C9-8EB9-E0FAE9B004E6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9648A3BB-EA49-4B15-9E17-4EFDE781A9A1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD3C554A-393E-4C10-8603-296E19D6E500}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B71EC525-36F0-42D2-9B05-4DE49368C6DC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CDE8B268-72AA-42F4-8674-07B0F182CB35}: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

So ich hoffe, ich hab alles richtig gemacht und bekomme ein Feedback.

lg Xronos

undoreal · 03.06.2008, 16:52

Hallöle Xronos und

So ganz hast du es leider noch nicht überstanden. Trenne deinen Rechner bitte vom Internet, wechsel in den abgesicherten Modus und lasse Smitfraudfix abermals nach folgender Anleitung laufen (Punkt->Reinigung) :SmitFraudFix

Poste danach ein frisches HijackThis log sowie den Smfdf rapport.

Xronos · 03.06.2008, 21:18

Schade und ich hab schon gehofft es könnte vorüber sein. Auf jedenfall mal Dankeschön für den fachmännischen Blick!
Nun gut habe Smithfraud nochmal drüberlaufen lassen und hier nun die neuen Protokolle:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

undoreal · 03.06.2008, 21:41

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Program Files\Internet Explorer\Debugger.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

-Wechsel in den abgesicherten Modus.

-Fixe dort mit HJT folgende Einträge:

Zitat:

O3 - Toolbar: atfxqogp - {EC2B736E-2B50-4709-A63E-F69855335854} - (no file)
O4 - HKLM\..\Run: [c4caf221] rundll32.exe "C:\WINDOWS\system32\aofadnah.dll",b
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O21 - SSODL: vregfwlx - {5833D5EB-3EFF-4479-AE64-3C8A4F0C751F} - (no file)
O21 - SSODL: vltdfabw - {2F6449D5-D636-4EE7-8BC6-EFEBE9ACCA94} - (no file)

-Suche wie in meiner Signatur beschrieben wird nach folgenden Dateien und kopiere den kompletten Dateipfad in ein Textdokument:
vltdfabw , vregfwlx , atfxqogp

-Lösche die schädlichen Dateien mit Avenger:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Files to delete:

C:\WINDOWS\system32\aofadnah.dll

wenn du die oben genannten Dateien auf deinem Rechner vorhanden sind füge die kopletten Dateipfade ebenfalls unter "Files to delete" ein.

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Mache danach einen Scan mit SUPERAntiSpyware und poste das log.

Xronos · 04.06.2008, 17:22

Danke für die Anleitung, nun zum Ergebnis:

@1) Debugger.exe konnte ich nirgends finden. Konnte nur eine Verknüpfung im Autostart finden, welche aber nicht mehr funktionstüchtig war.

@2) Habe mit Hijack die genannten Einträge entfernt, außer [O4 - HKLM\..\Run: [c4caf221] rundll32.exe "C:\WINDOWS\system32\aofadnah.dll",b] der war nicht mehr da...? -> Womöglich schon von SUPERAntiSpyware entfernt? habe das nämlich zuvor installiert, aber nicht durchlaufen lassen, allerdings hat es trotzdem gleich etwas geblockt.

@3) mit Avenger die aofadnah.dll datei gelöscht, die anderen (vltdfabw , vregfwlx , atfxqogp) waren nicht zu finden.

@4) hier nun das text file vom avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\aofadnah.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

5) das logfile vom superantispyware:

SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 06/04/2008 at 05:31 PM

Application Version : 4.15.1000

Core Rules Database Version : 3473
Trace Rules Database Version: 1464

Scan type : Complete Scan
Total Scan Time : 01:19:51

Memory items scanned : 378
Memory threats detected : 2
Registry items scanned : 5661
Registry threats detected : 14
File items scanned : 79806
File threats detected : 9

Trojan.Vundo-Variant/Small-GEN
C:\WINDOWS\SYSTEM32\GEBQNEUV.DLL
C:\WINDOWS\SYSTEM32\GEBQNEUV.DLL

Adware.Vundo Variant/Resident
C:\WINDOWS\SYSTEM32\FCCCRQOO.DLL
C:\WINDOWS\SYSTEM32\FCCCRQOO.DLL

Trojan.Vundo-Variant/Small
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10B5E5C2-8901-4E3C-BF61-AC6E11039292}
HKCR\CLSID\{10B5E5C2-8901-4E3C-BF61-AC6E11039292}
HKCR\CLSID\{10B5E5C2-8901-4E3C-BF61-AC6E11039292}\InprocServer32
HKCR\CLSID\{10B5E5C2-8901-4E3C-BF61-AC6E11039292}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9BE376A1-36B3-4C22-8DD0-AD32BAB46FDE}
HKCR\CLSID\{9BE376A1-36B3-4C22-8DD0-AD32BAB46FDE}
HKCR\CLSID\{9BE376A1-36B3-4C22-8DD0-AD32BAB46FDE}\InprocServer32
HKCR\CLSID\{9BE376A1-36B3-4C22-8DD0-AD32BAB46FDE}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{10B5E5C2-8901-4E3C-BF61-AC6E11039292}
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\geBqNEuv

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\markus@82.98.235[1].txt
C:\Dokumente und Einstellungen\***\Cookies\markus@atwola[1].txt

Adware.Vundo Variant/Rel
HKLM\SOFTWARE\Microsoft\aoprndtws
HKLM\SOFTWARE\Microsoft\FCOVM
HKLM\SOFTWARE\Microsoft\RemoveRP
HKU\S-1-5-21-861567501-299502267-1417001333-1003\Software\Microsoft\rdfa
C:\WINDOWS\SYSTEM32\MCRH.TMP

BearShare File Sharing Client
C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\BEARSHARE.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\TMPRECENTICONS\BEARSHARE.LNK

Trace.Known Threat Sources
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0X2RWXMB\CAAF2VI1.htm

undoreal · 04.06.2008, 17:54

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Folders to delete:
C:\PROGRAMME\BEARSHARE

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste danach bitte ein frisches HijackThis log.

Xronos · 04.06.2008, 20:01

Also so wie ich das sehe soll Bearshare weg, gibts dafür genauere erklärungen, begründungen?

Ist ansonsten noch was ausständig?

Frage zum Ergebnis von Superantispyware: Die von der Software gefundenen und in quarantäne gestellten trojaner, kann ich die jetzt löschen?

danke für die Mühen und Antworten!
Xronos

04.06.2008, 20:06

Zitat:

Zitat von Xronos

Also so wie ich das sehe soll Bearshare weg, gibts dafür genauere erklärungen, begründungen?

Ganz ungeschminkt? Bearshare ist 1. illegal 2. sind 90% der Files verseucht 3. hast du deine Probleme garantiert von dem Ding.

undoreal · 04.06.2008, 21:29

Zitat:

Also so wie ich das sehe soll Bearshare weg, gibts dafür genauere erklärungen, begründungen?

->

Zitat:

Bearshare ist 1. illegal 2. sind 90% der Files verseucht 3. hast du deine Probleme garantiert von dem Ding.

und Bearshare selber läd Spyware und Adware nach.
Wie du auch schon im SUPERAntiSpyware log erkennen kannst wird es auch dort eindeutig als schädlich klassifiziert. Wir bereinige übrigens häufiger "Bearshare Kisten".

Zitat:

Frage zum Ergebnis von Superantispyware: Die von der Software gefundenen und in quarantäne gestellten trojaner, kann ich die jetzt löschen?

Ja.

Und

Zitat:

Poste danach bitte ein frisches HijackThis log.

03.06.2008, 16:52	#2
undoreal /// AVZ-Toolkit Guru	Fake.Privdanger Hallöle Xronos und So ganz hast du es leider noch nicht überstanden. Trenne deinen Rechner bitte vom Internet, wechsel in den abgesicherten Modus und lasse Smitfraudfix abermals nach folgender Anleitung laufen (Punkt->Reinigung) :SmitFraudFix Poste danach ein frisches HijackThis log sowie den Smfdf rapport. __________________ __________________

Fake.Privdanger

Log-Analyse und Auswertung: Fake.Privdanger

Fake.Privdanger

Fake.Privdanger

Fake.Privdanger

Fake.Privdanger

Fake.Privdanger

Fake.Privdanger

Fake.Privdanger

Fake.Privdanger

Fake.Privdanger

Ähnliche Themen: Fake.Privdanger

04.06.2008, 20:01	#7
Xronos	Fake.Privdanger Also so wie ich das sehe soll Bearshare weg, gibts dafür genauere erklärungen, begründungen? Ist ansonsten noch was ausständig? Frage zum Ergebnis von Superantispyware: Die von der Software gefundenen und in quarantäne gestellten trojaner, kann ich die jetzt löschen? danke für die Mühen und Antworten! Xronos