Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/fakeAV.AM

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 08.09.2008, 15:42   #1
Izjol
 
TR/fakeAV.AM - Standard

TR/fakeAV.AM



Hallo zusammen,
Ich bin Opfer des Trojaners TR/fakeAV.AM geworden. Erste Anzeichen waren 2 Meldungen meines Antivirenprogrammes. Kurz darauf hatte ich einen veränderten Desktop sowie die Aufforderung, das Antivirenprogramm "Antivir XP 2008" (oder ähnlich) zu installieren. Hab dann direkt einen Virensuchlauf gestartet, der aber durch einen Bluescreen abgebrochen wurde. Ein Neustart endete direkt wieder im Bluescreen. Da ich mich kurz vorher ein bisschen hier eingelesen hatte hab ich dann im abgesicherten Modus gestartet und mit SmitfraudFix reinigen lassen. Nach erneutem Neustart ist der veränderte Desktop erhalten geblieben. Zusätzlich dazu werden google Verweise nun auf völlig anderen Seiten redirectet.
Da ich nicht wirklich fit auf dem Gebiet bin, wollte ich nun erstmal anfragen, welche Logs und Files von Nöten sind, um mir bei meinem Problem helfen zu können.

Edit:
Hoffe mal, dass der HJT Log so brauchbar ist:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:40, on 8.9.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
E:\Programme\itunes\iTunesHelper.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\lphcgmoj0e9el.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
E:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: 213.239.219.51 www.dotapickup.com
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4199EEC2-B85E-4C36-851E-19EF72B66E29} - C:\WINDOWS\system32\gpkrsrcd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [lphcgmoj0e9el] C:\WINDOWS\system32\lphcgmoj0e9el.exe
O4 - HKLM\..\Run: [inrhclmoj0e9el] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt73.tmp.exe /CR=E378D6B80573F693830D714814CC3DF8C6866F675399E1B59508873A72CA5C261990262CA4A36EDCAA7F62F80867E70F499286E65F24250B49B7D28E6FE0119AE2958908661D91B7BA5A052D69BDD12F33
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "E:\Programme\World of Warcraft\BLASC\BLASC.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Veoh] "E:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\programme\garena\gfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\garena\gfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\garena\gfilter.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

--
End of file - 8805 bytes
         

Geändert von Izjol (08.09.2008 um 16:11 Uhr) Grund: log ergänzen

 

Themen zu TR/fakeAV.AM
abgesicherten modus, adobe, avira, bluescree, bluescreen, browser, desktop, dsl, einstellungen, firefox, frage, google, helfen, hijack, hijackthis, internet, internet explorer, logfile, mozilla, nmindexstoresvr.exe, plug-in, problem, rundll, server, software, stick, suchlauf, system, tr/fakeav.am, urlsearchhook, verweise, windows, windows xp




Ähnliche Themen: TR/fakeAV.AM


  1. fakeav.ai trojaner?
    Plagegeister aller Art und deren Bekämpfung - 19.02.2015 (11)
  2. Trojan.FakeAV.LVT
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (11)
  3. Tr/Trash.gen und TR/FakeAv.cpzi
    Log-Analyse und Auswertung - 02.05.2011 (3)
  4. TR/FakeAV Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (1)
  5. TR/FakeAV.AF restoreData.exe
    Log-Analyse und Auswertung - 11.12.2010 (4)
  6. Trojaner FakeAV.CMB in C:\Windows\Nsyrea.exe
    Plagegeister aller Art und deren Bekämpfung - 03.08.2010 (21)
  7. Trojan.FakeAV!gen24
    Plagegeister aller Art und deren Bekämpfung - 13.03.2010 (6)
  8. Trojan.FakeAv.KSP (Engine A)
    Antiviren-, Firewall- und andere Schutzprogramme - 03.03.2010 (3)
  9. TR\FakeAV.C[Trojan] ist es weg?
    Log-Analyse und Auswertung - 14.01.2010 (3)
  10. FakeAV.AM FakeAV.AY
    Log-Analyse und Auswertung - 19.11.2009 (5)
  11. TR/Dldr.FakeAV.nxh & TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (2)
  12. TR/Fakealert.QF, TR/FakeAV.bak.2
    Log-Analyse und Auswertung - 28.10.2008 (5)
  13. TR/FakeAV.bak.2 spyware
    Plagegeister aller Art und deren Bekämpfung - 16.10.2008 (15)
  14. xp-antispy - TR/FakeAV.bak.2'!??
    Plagegeister aller Art und deren Bekämpfung - 13.10.2008 (3)
  15. AntiVir meldet: TR/FakeAV.bak.2
    Plagegeister aller Art und deren Bekämpfung - 11.10.2008 (0)
  16. Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF
    Plagegeister aller Art und deren Bekämpfung - 17.09.2008 (24)
  17. TR/FakeAV.AM
    Plagegeister aller Art und deren Bekämpfung - 06.09.2008 (20)

Zum Thema TR/fakeAV.AM - Hallo zusammen, Ich bin Opfer des Trojaners TR/fakeAV.AM geworden. Erste Anzeichen waren 2 Meldungen meines Antivirenprogrammes. Kurz darauf hatte ich einen veränderten Desktop sowie die Aufforderung, das Antivirenprogramm "Antivir XP - TR/fakeAV.AM...
Archiv
Du betrachtest: TR/fakeAV.AM auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.