Hallo und guten Abend!

Vorgestern hatte ich mir den Trojaner TR/Fakealert.AG eingefangen, und wie an anderer Stelle schon bemerkt ist dieser recht hartnäckig. Jetzt ist er wahrscheilich weg. Habe dafür Hijack eingesetzt um einzugrenzen, dann manuell gelöscht was ich konnte, muss aber doch wohl den einen oder anderen Fehler gemacht haben.
Hier meine Fragen:
1. Unten im Feld mit Datum und Uhr, steht immer noch Virus Alert, das möchte ich wieder weg haben, aber wie?
2. Auf dem Arbeitsplatz erscheinen die beiden Harddisks C: und D: nicht. Ich würde sie gerne wieder sehen.
3. Im Startordner fehlen Systemsteuerung und Hilfe& support, hätte ich gerne wieder

Wahrscheinlich habe ich die fehlenden Teile aus der Registry entfernt, als mir Search und destroy sagte es würde die Fehler in der Registry beheben, behoben ist in diesem Fall wohl gelöscht. Jetzt weiß ich nicht mehr welche Strings das waren.
Eine Systemwiederherstellung ist nicht möglich, da der zuletzt wirksame Wiederherstellungpunkt der ist an dem das " virus Alert" -Zeugs auftaucht. Wenn weitere Infos benötigt werden liefere ich gerne nach.
System: Windows XP Pro SP3,

mfg
blueshirtxxl

Hi,

lade dir bitte Smitfraudfix herunter und führe die dort angeführten Schritte unter Reinigung aus.
Poste das erstellte Log dann hier.

Lade dir anschließend Malwarebytes herunter und lasse alle Funde löschen. Poste auch das Log danach hier.

lg myrtille

Hallo und guten Tag!
werde ich machen sobald ich zu Hause bin, bin im Moment am Arbeitsplatz, habe hier keinen Zugriff auf Datenträger.
MFG
Blueshirtxxl

Hir das LOG von Smitfraudfix:

Code: Alles auswählenAufklappen

ATTFilter

 SmitFraudFix v2.332

Scan done at 17:12:22,23, 29.07.2008
Run from C:\Dokumente und Einstellungen\XXXXXX\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1       localhost
127.0.0.1       localhost
127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

Description: VMware Virtual Ethernet Adapter for VMnet1
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
         

ich hoffe das ist das was Du meintest?

Wie gehts dem Rechner? Was macht Malwarebytes?
Das Log ist nicht aus dem abgesicherten Modus, hast du das Log nach der Reinigung neuerstellt?

lg myrtille

Ja , nach der Reinigung erneut log erstellt, aus Dummheit, wahrscheinlich.
Malwarebites läuft noch. Habe hier wahrscheinlich auch einen Fehler gemacht, finde das Log nicht wieder, deshalb erneuter Lauf, sorry
Rechner Zeigt allerdings wieder die Harddisks wie sie sind, VirusAlert in der Symbolleiste ist verschwunden, den Desktop kann ich wieder so einrichten wie es war. vorerst schonmal extra viele Dankesgrüße für die Hilfe. Beim Scan der Malwarebytes fanden sich 4 Infizierte Dateien, aber ich habe ja das Log verloren.
Gruß
Blueshirtxxl

hier die logdatei von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1007
Windows 5.1.2600 Service Pack 3, v.3311

19:31:43 29.07.2008
mbam-log-7-29-2008 (19-31-35).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49400
Laufzeit: 8 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 22
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{2a9805a1-fe72-4b17-98e7-958312ea56aa} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{951ccafd-23f9-4013-9a5d-96b970052291} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ad730a0b-b21e-421b-abe3-1b6563d2cee7} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.bgow (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\eovp.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Fonts\G_Fonts.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\mndosnet.dll (Trojan.vundo) -> No action taken.
C:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\nfavxwdbsxb.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\blphc721j0e3dn.scr (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phc721j0e3dn.bmp (Trojan.FakeAlert) -> No action taken.