Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Fake.Privdanger

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.06.2008, 12:45   #1
Xronos
 
Fake.Privdanger - Ausrufezeichen

Fake.Privdanger



Hallo erstmals! (im warsten Sinne des Wortes)

der Stand der Dinge:
Ich habe mir gestern den Virus Fake.Privdanger eingefangen und dank euren Beiträgen ihn mit Hilfe von Smitfraudfix entfernen können (hat alles einwandfrei funktioniert, auch die Erklärungen waren sehr gut!).

Da ich allerdings weiters gelesen habe, dass bei einigen, damit die Sache noch immer nicht vorbei war, wollte ich jetzt sicherheitshalber die letzte HijackThis log file sowie die letzte rapport.txt file mitsenden, damit ein "Virusprofi" noch einen letzten Blick darauf werfen kann und mir das ok geben kann, dass tatsächlich keinerlei "Rückstände" mehr zu finden sind.

Hier nun die Logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:52:05, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HijackThis\HijackThis.exe

O3 - Toolbar: atfxqogp - {EC2B736E-2B50-4709-A63E-F69855335854} - C:\WINDOWS\atfxqogp.dll (file missing)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [c4caf221] rundll32.exe "C:\WINDOWS\system32\aofadnah.dll",b
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: vregfwlx - {5833D5EB-3EFF-4479-AE64-3C8A4F0C751F} - C:\WINDOWS\vregfwlx.dll (file missing)
O21 - SSODL: vltdfabw - {2F6449D5-D636-4EE7-8BC6-EFEBE9ACCA94} - C:\WINDOWS\vltdfabw.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5836 bytes


und hier die rapport.txt:


SmitFraudFix v2.323

Scan done at 11:27:04,87, 03.06.2008
Run from C:\Dokumente und Einstellungen\***\Desktop\Virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\boqnrwdmble.dll deleted.
C:\WINDOWS\atfxqogp.dll deleted.
C:\WINDOWS\vregfwlx.dll deleted.
C:\WINDOWS\vltdfabw.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\xmpstean.exe Deleted
C:\DOKUME~1\***\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\***\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\***\Desktop\Spyware?Malware Protection.url Deleted
C:\DOKUME~1\***\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\***\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\***\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{47CB4410-7D31-473F-92B3-E3B5B9D60162}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{86BDDA34-66D4-49C9-8EB9-E0FAE9B004E6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9648A3BB-EA49-4B15-9E17-4EFDE781A9A1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD3C554A-393E-4C10-8603-296E19D6E500}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B71EC525-36F0-42D2-9B05-4DE49368C6DC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDE8B268-72AA-42F4-8674-07B0F182CB35}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{47CB4410-7D31-473F-92B3-E3B5B9D60162}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{86BDDA34-66D4-49C9-8EB9-E0FAE9B004E6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9648A3BB-EA49-4B15-9E17-4EFDE781A9A1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD3C554A-393E-4C10-8603-296E19D6E500}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B71EC525-36F0-42D2-9B05-4DE49368C6DC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDE8B268-72AA-42F4-8674-07B0F182CB35}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{47CB4410-7D31-473F-92B3-E3B5B9D60162}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{86BDDA34-66D4-49C9-8EB9-E0FAE9B004E6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9648A3BB-EA49-4B15-9E17-4EFDE781A9A1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD3C554A-393E-4C10-8603-296E19D6E500}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B71EC525-36F0-42D2-9B05-4DE49368C6DC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CDE8B268-72AA-42F4-8674-07B0F182CB35}: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


So ich hoffe, ich hab alles richtig gemacht und bekomme ein Feedback.
lg Xronos

Alt 03.06.2008, 17:52   #2
undoreal
/// AVZ-Toolkit Guru
 
Fake.Privdanger - Standard

Fake.Privdanger



Hallöle Xronos und
So ganz hast du es leider noch nicht überstanden. Trenne deinen Rechner bitte vom Internet, wechsel in den abgesicherten Modus und lasse Smitfraudfix abermals nach folgender Anleitung laufen (Punkt->Reinigung) :SmitFraudFix

Poste danach ein frisches HijackThis log sowie den Smfdf rapport.
__________________

__________________

Alt 03.06.2008, 22:18   #3
Xronos
 
Fake.Privdanger - Standard

Fake.Privdanger



Schade und ich hab schon gehofft es könnte vorüber sein. Auf jedenfall mal Dankeschön für den fachmännischen Blick!
Nun gut habe Smithfraud nochmal drüberlaufen lassen und hier nun die neuen Protokolle:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]
__________________

Alt 03.06.2008, 22:41   #4
undoreal
/// AVZ-Toolkit Guru
 
Fake.Privdanger - Standard

Fake.Privdanger




Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\Program Files\Internet Explorer\Debugger.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

-Wechsel in den abgesicherten Modus.

-Fixe dort mit HJT folgende Einträge:
Zitat:
O3 - Toolbar: atfxqogp - {EC2B736E-2B50-4709-A63E-F69855335854} - (no file)
O4 - HKLM\..\Run: [c4caf221] rundll32.exe "C:\WINDOWS\system32\aofadnah.dll",b
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O21 - SSODL: vregfwlx - {5833D5EB-3EFF-4479-AE64-3C8A4F0C751F} - (no file)
O21 - SSODL: vltdfabw - {2F6449D5-D636-4EE7-8BC6-EFEBE9ACCA94} - (no file)
-Suche wie in meiner Signatur beschrieben wird nach folgenden Dateien und kopiere den kompletten Dateipfad in ein Textdokument:
vltdfabw , vregfwlx , atfxqogp

-Lösche die schädlichen Dateien mit Avenger:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
Files to delete:

C:\WINDOWS\system32\aofadnah.dll
         
wenn du die oben genannten Dateien auf deinem Rechner vorhanden sind füge die kopletten Dateipfade ebenfalls unter "Files to delete" ein.

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Mache danach einen Scan mit SUPERAntiSpyware und poste das log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 04.06.2008, 18:22   #5
Xronos
 
Fake.Privdanger - Standard

Fake.Privdanger



Danke für die Anleitung, nun zum Ergebnis:

@1) Debugger.exe konnte ich nirgends finden. Konnte nur eine Verknüpfung im Autostart finden, welche aber nicht mehr funktionstüchtig war.

@2) Habe mit Hijack die genannten Einträge entfernt, außer [O4 - HKLM\..\Run: [c4caf221] rundll32.exe "C:\WINDOWS\system32\aofadnah.dll",b] der war nicht mehr da...? -> Womöglich schon von SUPERAntiSpyware entfernt? habe das nämlich zuvor installiert, aber nicht durchlaufen lassen, allerdings hat es trotzdem gleich etwas geblockt.

@3) mit Avenger die aofadnah.dll datei gelöscht, die anderen (vltdfabw , vregfwlx , atfxqogp) waren nicht zu finden.

@4) hier nun das text file vom avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\aofadnah.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
5) das logfile vom superantispyware:

SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 06/04/2008 at 05:31 PM

Application Version : 4.15.1000

Core Rules Database Version : 3473
Trace Rules Database Version: 1464

Scan type : Complete Scan
Total Scan Time : 01:19:51

Memory items scanned : 378
Memory threats detected : 2
Registry items scanned : 5661
Registry threats detected : 14
File items scanned : 79806
File threats detected : 9

Trojan.Vundo-Variant/Small-GEN
C:\WINDOWS\SYSTEM32\GEBQNEUV.DLL
C:\WINDOWS\SYSTEM32\GEBQNEUV.DLL

Adware.Vundo Variant/Resident
C:\WINDOWS\SYSTEM32\FCCCRQOO.DLL
C:\WINDOWS\SYSTEM32\FCCCRQOO.DLL

Trojan.Vundo-Variant/Small
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10B5E5C2-8901-4E3C-BF61-AC6E11039292}
HKCR\CLSID\{10B5E5C2-8901-4E3C-BF61-AC6E11039292}
HKCR\CLSID\{10B5E5C2-8901-4E3C-BF61-AC6E11039292}\InprocServer32
HKCR\CLSID\{10B5E5C2-8901-4E3C-BF61-AC6E11039292}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9BE376A1-36B3-4C22-8DD0-AD32BAB46FDE}
HKCR\CLSID\{9BE376A1-36B3-4C22-8DD0-AD32BAB46FDE}
HKCR\CLSID\{9BE376A1-36B3-4C22-8DD0-AD32BAB46FDE}\InprocServer32
HKCR\CLSID\{9BE376A1-36B3-4C22-8DD0-AD32BAB46FDE}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{10B5E5C2-8901-4E3C-BF61-AC6E11039292}
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\geBqNEuv

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\markus@82.98.235[1].txt
C:\Dokumente und Einstellungen\***\Cookies\markus@atwola[1].txt

Adware.Vundo Variant/Rel
HKLM\SOFTWARE\Microsoft\aoprndtws
HKLM\SOFTWARE\Microsoft\FCOVM
HKLM\SOFTWARE\Microsoft\RemoveRP
HKU\S-1-5-21-861567501-299502267-1417001333-1003\Software\Microsoft\rdfa
C:\WINDOWS\SYSTEM32\MCRH.TMP

BearShare File Sharing Client
C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\BEARSHARE.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\TMPRECENTICONS\BEARSHARE.LNK


Trace.Known Threat Sources
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0X2RWXMB\CAAF2VI1.htm


Alt 04.06.2008, 18:54   #6
undoreal
/// AVZ-Toolkit Guru
 
Fake.Privdanger - Standard

Fake.Privdanger



Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
Folders to delete:
C:\PROGRAMME\BEARSHARE
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste danach bitte ein frisches HijackThis log.
__________________
--> Fake.Privdanger

Alt 04.06.2008, 21:01   #7
Xronos
 
Fake.Privdanger - Standard

Fake.Privdanger



Also so wie ich das sehe soll Bearshare weg, gibts dafür genauere erklärungen, begründungen?

Ist ansonsten noch was ausständig?

Frage zum Ergebnis von Superantispyware: Die von der Software gefundenen und in quarantäne gestellten trojaner, kann ich die jetzt löschen?

danke für die Mühen und Antworten!
Xronos

Alt 04.06.2008, 21:06   #8
-SkY-
Gast
 
Fake.Privdanger - Standard

Fake.Privdanger



Zitat:
Zitat von Xronos Beitrag anzeigen
Also so wie ich das sehe soll Bearshare weg, gibts dafür genauere erklärungen, begründungen?
Ganz ungeschminkt? Bearshare ist 1. illegal 2. sind 90% der Files verseucht 3. hast du deine Probleme garantiert von dem Ding.

Alt 04.06.2008, 22:29   #9
undoreal
/// AVZ-Toolkit Guru
 
Fake.Privdanger - Standard

Fake.Privdanger



Zitat:
Also so wie ich das sehe soll Bearshare weg, gibts dafür genauere erklärungen, begründungen?
->
Zitat:
Bearshare ist 1. illegal 2. sind 90% der Files verseucht 3. hast du deine Probleme garantiert von dem Ding.
und Bearshare selber läd Spyware und Adware nach.
Wie du auch schon im SUPERAntiSpyware log erkennen kannst wird es auch dort eindeutig als schädlich klassifiziert. Wir bereinige übrigens häufiger "Bearshare Kisten".

Zitat:
Frage zum Ergebnis von Superantispyware: Die von der Software gefundenen und in quarantäne gestellten trojaner, kann ich die jetzt löschen?
Ja.

Und
Zitat:
Poste danach bitte ein frisches HijackThis log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Fake.Privdanger
ad-aware, analysis, antivir, attention, avira, desktop, entfernen, error, excel, fake.privdanger, firefox, hijack, hijackthis, hijackthis log, internet explorer, log file, malware, mozilla, mozilla firefox, object, registry, senden, sicherheitshalber, software, spyware, system, tuneup.defrag, unknown file in winsock lsp, virus, windows, windows xp



Ähnliche Themen: Fake.Privdanger


  1. BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (17)
  2. Fake.Privdanger wiedermal *himmelguck*
    Log-Analyse und Auswertung - 19.08.2008 (5)
  3. Bitte hilfe für: BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 19.06.2008 (2)
  4. Bat/fake.privdanger problem
    Plagegeister aller Art und deren Bekämpfung - 13.05.2008 (1)
  5. Problem: BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 24.04.2008 (37)
  6. BAT/Fake Privdanger eingefangen
    Log-Analyse und Auswertung - 25.03.2008 (13)
  7. BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 23.03.2008 (7)
  8. Bat/Fake.Privdanger
    Log-Analyse und Auswertung - 23.03.2008 (9)
  9. Hilfe bei BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 07.03.2008 (0)
  10. Virus BAT/LuckyA. und BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 08.02.2008 (7)
  11. bat.fake/privdanger
    Log-Analyse und Auswertung - 31.01.2008 (14)
  12. ebenfalls bat.fake/privdanger
    Log-Analyse und Auswertung - 30.01.2008 (3)
  13. Bitte helft mir BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 29.01.2008 (3)
  14. bat.fake/privdanger - die zweite, hilfe!
    Mülltonne - 27.01.2008 (0)
  15. bat/fake.privdanger
    Log-Analyse und Auswertung - 10.01.2008 (3)
  16. -HILFE- vs. BAT/Fake.Privdanger und VBS/Click.A
    Plagegeister aller Art und deren Bekämpfung - 10.01.2008 (5)
  17. BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 29.10.2007 (16)

Zum Thema Fake.Privdanger - Hallo erstmals! (im warsten Sinne des Wortes) der Stand der Dinge: Ich habe mir gestern den Virus Fake.Privdanger eingefangen und dank euren Beiträgen ihn mit Hilfe von Smitfraudfix entfernen können - Fake.Privdanger...
Archiv
Du betrachtest: Fake.Privdanger auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.