Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Werde den fake-Virenscanner "Antivirus Soft" nicht los

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.02.2010, 14:27   #1
Fly84
 
Werde den fake-Virenscanner "Antivirus Soft" nicht los - Standard

Werde den fake-Virenscanner "Antivirus Soft" nicht los



Hallo zusammen,

auch ich habe mich an beide Anleitungen hier im Forum gehalten und bin mittlerweile beim Combifix-Log angekommen. Da ich nun aber nicht löschen möchte, was nicht zu löschen ist, würde es mich freuen, wenn sich jemand meiner Logfile annehmen könnte, denn irgendwie läuft alles noch nicht so rund wie vorher (z. B. ist das Symbol von Antivirus Soft noch in der Taskleiste).

Hier die Combifix-Logfile:

Code:
ATTFilter
ComboFix 10-02-25.02 - LadyDragonfly 26.02.2010  14:15:31.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1917.1528 [GMT 1:00]
ausgeführt von:: e:\dokumente und einstellungen\LadyDragonfly\Eigene Dateien\Downloads\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
e:\dokume~1\LADYDR~1\LOKALE~1\Temp\jna8147245625627004683.tmp
e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\gdqnwi\exwrsftav.exe
e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Temp\jna8147245625627004683.tmp
e:\windows\srchasst\nls302en.lex
e:\windows\system32\SIntf16.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-01-26 bis 2010-02-26  ))))))))))))))))))))))))))))))
.

2010-02-26 12:30 . 2010-02-26 12:30	--------	d-----w-	E:\rsit
2010-02-26 11:42 . 2010-02-26 11:42	--------	d-----w-	e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Malwarebytes
2010-02-26 11:42 . 2010-01-07 15:07	38224	----a-w-	e:\windows\system32\drivers\mbamswissarmy.sys
2010-02-26 11:42 . 2010-02-26 11:47	--------	d-----w-	e:\programme\Herbert
2010-02-26 11:42 . 2010-02-26 11:42	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-26 11:42 . 2010-01-07 15:07	19160	----a-w-	e:\windows\system32\drivers\mbam.sys
2010-02-26 11:05 . 2010-02-26 11:05	--------	d-----w-	e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\Temp
2010-02-06 18:05 . 2010-02-17 17:12	21840	----atw-	e:\windows\system32\SIntfNT.dll
2010-02-06 18:05 . 2010-02-17 17:12	17212	----atw-	e:\windows\system32\SIntf32.dll
2010-02-06 18:04 . 2010-02-06 18:04	--------	d-----w-	e:\programme\directx
2010-02-02 14:34 . 2010-02-02 14:34	--------	d-----w-	e:\programme\RPG Maker Fonts Deinstall
2010-02-02 14:27 . 2010-02-02 14:27	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2010-02-01 15:47 . 2010-02-01 15:47	--------	d-----w-	E:\SAdK_Demo
2010-02-01 15:34 . 2010-02-01 15:37	--------	d-----w-	e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\SAdK_Demo
2010-02-01 15:32 . 2007-10-22 02:37	17928	----a-w-	e:\windows\system32\X3DAudio1_2.dll
2010-02-01 15:31 . 2010-02-01 15:31	--------	d-----w-	e:\programme\AGEIA Technologies
2010-02-01 15:31 . 2010-02-01 15:31	--------	d-----w-	e:\windows\system32\AGEIA
2010-02-01 14:08 . 2010-02-01 14:08	--------	d--h--r-	e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\SecuROM
2010-02-01 14:08 . 2010-02-01 14:08	98304	----a-w-	e:\windows\system32\CmdLineExt.dll
2010-02-01 13:35 . 2010-02-01 13:35	--------	d-----w-	e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Puresoto Group, INC
2010-02-01 13:34 . 2010-02-01 13:34	--------	d-----w-	e:\programme\Puresoto Group

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

2010-02-26 12:22 . 2008-09-20 14:59	--------	d-----w-	e:\programme\AVG
2010-02-26 11:08 . 2008-09-21 08:25	17280	----a-w-	e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-02-21 19:07 . 2008-09-21 08:30	--------	d-----w-	e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\ICQ
2010-02-14 09:17 . 2009-08-20 14:45	--------	d-----w-	e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Move Networks
2010-02-06 21:15 . 2008-09-20 15:05	--------	d--h--w-	e:\programme\InstallShield Installation Information
2010-02-06 18:00 . 2008-09-20 12:55	--------	d-----w-	e:\programme\Gemeinsame Dateien\InstallShield
2010-02-06 15:57 . 2009-12-01 17:43	--------	d-----w-	e:\programme\Graboid
2010-02-05 04:48 . 2009-12-03 07:17	79488	----a-w-	e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-01 15:38 . 2008-09-23 18:33	--------	d-----w-	e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\OpenOffice.org2
2010-02-01 15:33 . 2008-09-23 18:34	1	----a-w-	e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-02-01 15:31 . 2008-09-21 10:56	--------	d-----w-	e:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-12-31 16:50 . 2004-08-04 12:00	353792	----a-w-	e:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2004-08-04 12:00	916480	----a-w-	e:\windows\system32\wininet.dll
2009-12-17 07:40 . 2008-09-20 12:39	346624	----a-w-	e:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2004-08-04 12:00	33280	----a-w-	e:\windows\system32\csrsrv.dll
2009-12-13 10:04 . 2009-12-13 10:04	95232	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\pcswpcsi.exe
2009-12-13 10:04 . 2009-12-13 10:04	8192	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstCCD.exe
2009-12-13 10:04 . 2009-12-13 10:04	61440	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-12-13 10:04 . 2009-12-13 10:04	10240	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCS.exe
2009-12-13 10:04 . 2009-12-13 10:04	33681080	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_ger.exe
2009-12-09 10:05 . 2004-08-04 12:00	2147840	----a-w-	e:\windows\system32\ntoskrnl.exe
2009-12-09 10:05 . 2004-08-04 00:50	2026496	----a-w-	e:\windows\system32\ntkrnlpa.exe
2009-12-04 18:22 . 2004-08-04 12:00	455424	----a-w-	e:\windows\system32\drivers\mrxsmb.sys
2009-12-03 12:42 . 2004-08-04 12:00	80306	----a-w-	e:\windows\system32\perfc007.dat
2009-12-03 12:42 . 2004-08-04 12:00	449044	----a-w-	e:\windows\system32\perfh007.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OSD"="e:\programme\C&E\OSD\osd.exe" [2008-02-22 671801]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-06 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"SiSPower"="SiSPower.dll" [2007-06-25 53248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2008-04-14 15360]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BitTorrent DNA"="e:\programme\DNA\btdna.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="e:\programme\QuickTime\QTTask.exe" -atboottime
"WinampAgent"=e:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Programme\\DNA\\btdna.exe"=
"f:\\ICQ\\ICQ6.5\\ICQ.exe"=
"f:\\Proggies\\Empire Earth\\Empire Earth.exe"=

R3 CEBFilter;CEBFilter;e:\programme\C&E\OSD\OsdService\cebuffer.sys [04.09.2007 15:20 5120]
R3 CEIO;CEIO;e:\programme\C&E\OSD\OsdService\ceio.sys [31.08.2007 15:18 4608]
R3 cKBFilter;cKBFilter;e:\programme\C&E\OSD\OsdService\kbfiltr.sys [31.08.2007 13:22 7168]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;e:\windows\system32\drivers\RTL8187B.sys [20.09.2008 14:01 238976]
S2 OsdService;OsdService;e:\programme\C&E\OSD\OsdService\OsdService.exe [08.01.2008 16:58 53248]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-02-26 e:\windows\Tasks\1-Klick-Wartung.job
- f:\proggies\TuneUp Utilities\OneClickStarter.exe [2008-08-21 16:47]

2009-11-28 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
FF - ProfilePath - e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Mozilla\Firefox\Profiles\durktg9q.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: e:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: e:\dokumente und einstellungen\LadyDragonfly\Anwendungsdaten\Mozilla\Firefox\Profiles\durktg9q.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: e:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - e:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-02-26 14:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1417001333-1425521274-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ca,54,41,bb,cc,31,eb,79,79,9d,9c,df,06,49,ee,2f,b5,74,76,8f,c2,5c,d5,
   b3,83,d6,29,e0,48,2f,70,e6,6d,19,b9,69,86,2a,a1,52,43,fa,80,83,6b,0c,1d,bf,\
"??"=hex:31,91,e5,bd,28,c0,5d,8b,5f,74,77,df,bf,84,fc,6d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3812)
e:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-02-26  14:18:44
ComboFix-quarantined-files.txt  2010-02-26 13:18

Vor Suchlauf: 7 Verzeichnis(se), 11.700.244.480 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 11.666.272.256 Bytes frei

- - End Of File - - 35E8BDF3747934D2B5207E60E922626E
         
[/CODE]

Geändert von Fly84 (26.02.2010 um 14:34 Uhr)

Alt 27.02.2010, 15:18   #2
rainboww
 
Werde den fake-Virenscanner "Antivirus Soft" nicht los - Standard

Werde den fake-Virenscanner "Antivirus Soft" nicht los



So erstmal


mhm.. also die dateien kommen mir sehr komisch vor

e:\dokume~1\LADYDR~1\LOKALE~1\Temp\jna8147245625627004683.tmp
e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Anwendungsdaten\gdqnwi\exwrsftav.exe
e:\dokumente und einstellungen\LadyDragonfly\Lokale Einstellungen\Temp\jna8147245625627004683.tmp
e:\windows\srchasst\nls302en.lex
e:\windows\system32\SIntf16.dll

uppen die bitte mal auf virustotal und poste logfiles

bitte die jeweilige seite nur posten nicht denn ganzen log
__________________


Alt 28.02.2010, 09:45   #3
Fly84
 
Werde den fake-Virenscanner "Antivirus Soft" nicht los - Standard

Werde den fake-Virenscanner "Antivirus Soft" nicht los



Hallo noch einmal,

bislang ist nichts außergewöhnliches mehr passiert und auch das Symbol von Antivirus Soft ist nicht wieder aufgetaucht. Lasse nacheinander diverse Online-Scanner etc. durchlaufen und werde weiter beobachten.

Danke für die Hilfe!

Dieser Thread kann dann erst einmal zu. Sollte noch etwas sein, werde ich mich melden. ;-)
__________________

Alt 19.05.2010, 22:10   #4
Anyta
Gesperrt
 
Werde den fake-Virenscanner "Antivirus Soft" nicht los - Standard

Werde den fake-Virenscanner "Antivirus Soft" nicht los



Ich habe das gleiche Problem, ich habe wirklich schon alles probiert und es geht aber nicht. Ich habe auch diese Malwarebytes installiert es geht nichts. Bitte hilft mir ich verusche es shcon den ganzes Tag

Antwort

Themen zu Werde den fake-Virenscanner "Antivirus Soft" nicht los
0 bytes, 41700, antivirus soft, antivirus soft entfernen, firefox.exe, nicht zu löschen, richtlinie, skype.exe, suchlauf, usb 2.0



Ähnliche Themen: Werde den fake-Virenscanner "Antivirus Soft" nicht los


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Ich werde "Awesomehp" als Browserstartseite nicht los
    Log-Analyse und Auswertung - 01.02.2014 (11)
  3. Werde "PUP.Optional.Conduit.A" nicht los.
    Log-Analyse und Auswertung - 01.12.2013 (19)
  4. Spyhunter 4 wegen "System care Antivirus" runtergeladen wie werde ich es wieder los
    Plagegeister aller Art und deren Bekämpfung - 10.05.2013 (10)
  5. AVA Soft Antivirus Fake Malware
    Plagegeister aller Art und deren Bekämpfung - 08.04.2013 (7)
  6. Ich werde "imp.js von tracker.tradedoubler.com" nicht los
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (13)
  7. Gibt es einen Schutz vor "Malware Defense", "Antivirus 2010pro" und Co?
    Antiviren-, Firewall- und andere Schutzprogramme - 30.12.2012 (25)
  8. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  9. Avast-Virenscanner kann Datei " c:\progra~1\micros~2\shellext.dll "nicht scannen
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (32)
  10. Fake-Antivirenprogramm ''AVG Antivirus 2011."
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (7)
  11. Wie werde ich den angeblichen Virenscanner "Antivirus Soft" los?
    Plagegeister aller Art und deren Bekämpfung - 07.02.2010 (6)
  12. Werde "Malware Defense" nicht richtig los
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (11)
  13. Werde "Trojan.Bat.Regger.b" nicht los!
    Log-Analyse und Auswertung - 17.04.2009 (11)
  14. "RECYCLER konnte nicht gefunden werde" - kann nicht auf C: zugreifen
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (10)
  15. "Hijacked Internet access by WebHancer" installiert "Antivirus 2009 XP"
    Log-Analyse und Auswertung - 18.08.2008 (1)
  16. Hilfe ich werde das "Vieh" nicht los!
    Log-Analyse und Auswertung - 28.07.2004 (1)
  17. Werde "Trojan.Win32.StartPage.ix" nicht mehr los!!!
    Log-Analyse und Auswertung - 23.06.2004 (2)

Zum Thema Werde den fake-Virenscanner "Antivirus Soft" nicht los - Hallo zusammen, auch ich habe mich an beide Anleitungen hier im Forum gehalten und bin mittlerweile beim Combifix-Log angekommen. Da ich nun aber nicht löschen möchte, was nicht zu löschen - Werde den fake-Virenscanner "Antivirus Soft" nicht los...
Archiv
Du betrachtest: Werde den fake-Virenscanner "Antivirus Soft" nicht los auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.