|
Plagegeister aller Art und deren Bekämpfung: MicroAV Wie bekomm ich das weg?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.09.2008, 10:54 | #1 |
| MicroAV Wie bekomm ich das weg? Hallo Community, ich hoffe ihr könnt mir helfen. Ich hab hier schon einen Thread dazu gefunden, allerdings erschien mir die Problematik dort nicht ganz auf mich zuzutreffen. ich hab mir diesen MicroAV eingefangen, was ich zunächst gar nicht gemerkt hatte, weil es so sehr nach windows aussieht Ich habe nun ein schickes BioHazard zeichen als versteckten Link als Desktophintergrund, verschiedene Verknüpfungen zu pseudo-Virenschutz-Seiten, kann unter dem Hauptprofil den Taskmanager nicht starten ("Dienst wurde von Administrator unterbunden" oder so ähnlich) und verzweifele grad. Hab nun erst mal das Profil gewechselt, damit ich überhaupt irgendwas machen kann. Im Browser springen ständig die Seiten rum... ach. *heul* Habe Spybot drüber laufen lassen, einige verfolgende Cookies und Registryeinträge konnten behoben werden, allerdins nicht alle. Hier ein HijackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:47, on 19.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\pdf24\PDFBackend.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\Opera\Opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://mediasportal--2008.com/phandl...=0&aid=0&pid=2 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: QXK Olive - {8B93A89B-7332-4B4B-830C-72EB6323D0DB} - C:\WINDOWS\vmgspntbvlw.dll O3 - Toolbar: fqbewlna - {32678B97-2C98-4D22-A8F6-55C35572E946} - C:\WINDOWS\fqbewlna.dll (file missing) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [\YUR153.exe] C:\Windows\system32\YUR153.exe O4 - HKLM\..\Run: [\YUR157.exe] C:\Windows\system32\YUR157.exe O4 - HKLM\..\Run: [\YUR159.exe] C:\Windows\system32\YUR159.exe O4 - HKLM\..\Run: [\YUR15A.exe] C:\Windows\system32\YUR15A.exe O4 - HKLM\..\Run: [ANTIVIRUS] C:\Programme\MicroAV\MicroAV.exe O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe O4 - HKLM\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [SpybotDeletingA6354] command /c del "C:\Programme\PCHealthCenter\0.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingC2978] cmd /c del "C:\Programme\PCHealthCenter\0.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingA9649] command /c del "C:\Programme\PCHealthCenter\1.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingC824] cmd /c del "C:\Programme\PCHealthCenter\1.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingA1375] command /c del "C:\Programme\PCHealthCenter\1.ico" O4 - HKLM\..\RunOnce: [SpybotDeletingC568] cmd /c del "C:\Programme\PCHealthCenter\1.ico" O4 - HKLM\..\RunOnce: [SpybotDeletingA2351] command /c del "C:\Programme\PCHealthCenter\2.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC7277] cmd /c del "C:\Programme\PCHealthCenter\2.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA4140] command /c del "C:\Programme\PCHealthCenter\2.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingC1224] cmd /c del "C:\Programme\PCHealthCenter\2.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingA840] command /c del "C:\Programme\PCHealthCenter\2.ico" O4 - HKLM\..\RunOnce: [SpybotDeletingC6575] cmd /c del "C:\Programme\PCHealthCenter\2.ico" O4 - HKLM\..\RunOnce: [SpybotDeletingA3161] command /c del "C:\Programme\PCHealthCenter\3.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingC7521] cmd /c del "C:\Programme\PCHealthCenter\3.gif" O4 - HKLM\..\RunOnce: [SpybotDeletingA6487] command /c del "C:\Programme\PCHealthCenter\0.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC7711] cmd /c del "C:\Programme\PCHealthCenter\0.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA7621] command /c del "C:\Programme\PCHealthCenter\1.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC2482] cmd /c del "C:\Programme\PCHealthCenter\1.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA9563] command /c del "C:\Programme\PCHealthCenter\3.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC6834] cmd /c del "C:\Programme\PCHealthCenter\3.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA6201] command /c del "C:\Programme\PCHealthCenter\4.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingC1370] cmd /c del "C:\Programme\PCHealthCenter\4.exe" O4 - HKLM\..\RunOnce: [SpybotDeletingA6268] command /c del "C:\WINDOWS\system32\tdssadw.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC6390] cmd /c del "C:\WINDOWS\system32\tdssadw.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA5682] command /c del "C:\WINDOWS\system32\tdssl.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC7495] cmd /c del "C:\WINDOWS\system32\tdssl.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA2332] command /c del "C:\WINDOWS\system32\tdsslog.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC3077] cmd /c del "C:\WINDOWS\system32\tdsslog.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA4598] command /c del "C:\WINDOWS\system32\tdssmain.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC8959] cmd /c del "C:\WINDOWS\system32\tdssmain.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA9552] command /c del "C:\WINDOWS\system32\tdssserf.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingC4271] cmd /c del "C:\WINDOWS\system32\tdssserf.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA6055] command /c del "C:\WINDOWS\dtseqrxk.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC3222] cmd /c del "C:\WINDOWS\dtseqrxk.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingA1706] command /c del "C:\WINDOWS\mgxfebsq.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC8179] cmd /c del "C:\WINDOWS\mgxfebsq.dll_old" O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ANTIVIRUS] C:\Programme\MicroAV\MicroAV.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB7682] command /c del "C:\Programme\PCHealthCenter\0.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingD1700] cmd /c del "C:\Programme\PCHealthCenter\0.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingB8583] command /c del "C:\Programme\PCHealthCenter\1.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingD3699] cmd /c del "C:\Programme\PCHealthCenter\1.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingB9951] command /c del "C:\Programme\PCHealthCenter\1.ico" O4 - HKCU\..\RunOnce: [SpybotDeletingD516] cmd /c del "C:\Programme\PCHealthCenter\1.ico" O4 - HKCU\..\RunOnce: [SpybotDeletingB7710] command /c del "C:\Programme\PCHealthCenter\2.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD3785] cmd /c del "C:\Programme\PCHealthCenter\2.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB6676] command /c del "C:\Programme\PCHealthCenter\2.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingD6619] cmd /c del "C:\Programme\PCHealthCenter\2.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingB1126] command /c del "C:\Programme\PCHealthCenter\2.ico" O4 - HKCU\..\RunOnce: [SpybotDeletingD521] cmd /c del "C:\Programme\PCHealthCenter\2.ico" O4 - HKCU\..\RunOnce: [SpybotDeletingB9114] command /c del "C:\Programme\PCHealthCenter\3.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingD779] cmd /c del "C:\Programme\PCHealthCenter\3.gif" O4 - HKCU\..\RunOnce: [SpybotDeletingB3230] command /c del "C:\Programme\PCHealthCenter\0.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD8148] cmd /c del "C:\Programme\PCHealthCenter\0.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB4533] command /c del "C:\Programme\PCHealthCenter\1.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD3771] cmd /c del "C:\Programme\PCHealthCenter\1.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB8352] command /c del "C:\Programme\PCHealthCenter\3.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD7974] cmd /c del "C:\Programme\PCHealthCenter\3.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB6323] command /c del "C:\Programme\PCHealthCenter\4.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD366] cmd /c del "C:\Programme\PCHealthCenter\4.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingB5394] command /c del "C:\WINDOWS\system32\tdssadw.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD3792] cmd /c del "C:\WINDOWS\system32\tdssadw.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB3817] command /c del "C:\WINDOWS\system32\tdssl.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD5326] cmd /c del "C:\WINDOWS\system32\tdssl.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB2086] command /c del "C:\WINDOWS\system32\tdsslog.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD80] cmd /c del "C:\WINDOWS\system32\tdsslog.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB3963] command /c del "C:\WINDOWS\system32\tdssmain.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD8350] cmd /c del "C:\WINDOWS\system32\tdssmain.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB397] command /c del "C:\WINDOWS\system32\tdssserf.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingD4700] cmd /c del "C:\WINDOWS\system32\tdssserf.dll" O4 - HKCU\..\RunOnce: [SpybotDeletingB8926] command /c del "C:\WINDOWS\dtseqrxk.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD7181] cmd /c del "C:\WINDOWS\dtseqrxk.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingB810] command /c del "C:\WINDOWS\mgxfebsq.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD6607] cmd /c del "C:\WINDOWS\mgxfebsq.dll_old" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextde.oberon-media.com/G...onGameHost.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: mgxfebsq - {EC075CF8-E7E2-4F82-9855-47286C7F172A} - C:\WINDOWS\mgxfebsq.dll (file missing) O21 - SSODL: dtseqrxk - {F90DE08D-16E4-4759-B1F3-8F646CB69407} - C:\WINDOWS\dtseqrxk.dll (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 12921 bytes ich würd mich sehr über Hilfe freuen. Wenns geht eine halbe DAU Anleitung, ich komm zwar klar mit PCs, aber wenns um Registry und sonstiges geht, versteh ich nur Bahnhof. Bei Bedarf kann ich auch noch einen Screenshot vom aktuellen Spybot Suchlauf anhängen (also, der zweite dann sozusagen). moah, heul piens, das is doch echt moah! EDIT: lasse grad noch Malwarebytes drüberlaufen, stelle dann - falls es einen log gibt - diesen hier rein. Geändert von muhkuh (19.09.2008 um 11:02 Uhr) |
Themen zu MicroAV Wie bekomm ich das weg? |
administrator, adobe, antivir, antivirus, avira, bho, browser, explorer, google, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, hängen, internet, internet explorer, nicht starten, opera, pdf, software, starten, suchlauf, system, taskmanager, verfolgende cookies, windows, windows xp, wmid |