Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Gefaktes Windows SecurityCenter popup

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.10.2008, 01:10   #1
Chaos Carlos
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hallo!
Haben seit kurzem das Problem, dass sich ein gefaktes Popup-Fenster des WindowsSecurityCenters andauernd öffnet und mich auffordert ein Programm zur Behebung eines Trojaners runterzuladen! Der Trojaner heisst (laut der Info in dem Fenster) "Trojan-Spy.Win32.Keylogger.aa"!
Habe auch schon danach gegoogelt aber etwas richtig brauchbares habe ich leider nicht gefunden!
Habe bereits einige Spyware-Programme laufen lassen (z.B: adaware Spybot und auch Antivir), aber der Keylogger ist immernoch aktiv!
Ich bin mit HijackThis vertraut, aber allerdings nur soweit, dass ich es schon einige Male erfolgreich genutzt habe, allerdings kann ich die logfiles nicht selber auswerten, da ich davon zu wenig ahnung habe!

Wäre nett wenn sich ein erfahrener User die Zeit nehmen könnte die logfile zu interpretieren und mir somit zu helfen!

Hier die logfile:
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 00:30:57, on 06.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\asp\5.1\bin\itconfig_rep.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\asp\5.1\bin\itlocator.exe
C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\keyhook.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iISystem Wiper\SystemWiper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\cjuxmnqr.exe
C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\asp\5.1\bin\itnode_daemon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\asp\5.1\bin\itnaming.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Dokumente und Einstellungen\Alex\Desktop\HijackThis.exe
C:\WINDOWS\system32\cjuxmnqr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {742DDA9B-2434-D17B-6704-538790F9A36F} - C:\DOKUME~1\A***\ANWEND~1\SHOWFL~1\Prociso.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [AS00_Gear311T] C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Trust poll idle junk] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\team win trust poll\Book Jump.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\McRegWiz.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iIWiper] C:\Programme\iISystem Wiper\SystemWiper.exe m
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Software Beep] C:\DOKUME~1\A***\ANWEND~1\HTM1NE~1\Delete Nurb Else.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [monuiwin] C:\WINDOWS\system32\cjuxmnqr.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: I-DEAS License Manager 11.0 - GLOBEtrotter Software Inc. - C:\UGSPLM\I-DEAS11\sec\lmgrd.exe
O23 - Service: IT iona_services.config_rep.keine-9v214sgau cfr-MyDomain - Unknown owner - C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\asp\5.1\bin\itconfig_rep.exe" -ORBproduct_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A" -ORBlicense_file "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\licenses.txt" -ORBconfig_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\etc" -ORBconfig_domains_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\etc\domains" -ORBdomain_name cfr-MyDomain -ORBname iona_services.config_rep.keine-9v214sgau -plugin=config_rep it_jump_start (file missing)
O23 - Service: IT iona_services.locator.keine-9v214sgau MyDomain - Unknown owner - C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\asp\5.1\bin\itlocator.exe" -ORBproduct_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A" -ORBlicense_file "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\licenses.txt" -ORBconfig_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\etc" -ORBconfig_domains_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\etc\domains" -ORBdomain_name MyDomain -ORBname iona_services.locator.keine-9v214sgau -plugin=locator it_jump_start (file missing)
O23 - Service: IT iona_services.naming.keine-9v214sgau MyDomain - Unknown owner - C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\asp\5.1\bin\itnaming.exe" -ORBproduct_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A" -ORBlicense_file "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\licenses.txt" -ORBconfig_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\etc" -ORBconfig_domains_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\etc\domains" -ORBdomain_name MyDomain -ORBname iona_services.naming.keine-9v214sgau -plugin=naming it_jump_start (file missing)
O23 - Service: IT iona_services.node_daemon.keine-9v214sgau MyDomain - Unknown owner - C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\asp\5.1\bin\itnode_daemon.exe" -ORBproduct_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A" -ORBlicense_file "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\licenses.txt" -ORBconfig_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\etc" -ORBconfig_domains_dir "C:\UGSPLM\I-DEAS11\Iona\OrbixE2A\etc\domains" -ORBdomain_name MyDomain -ORBname iona_services.node_daemon.keine-9v214sgau -plugin=node_daemon it_jump_start (file missing)
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe (file missing)
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
         
Vielen Dank schonmal im Vorraus für die Hilfe...

MFG der Carlos

Geändert von Chaos Carlos (06.10.2008 um 01:20 Uhr)

Alt 06.10.2008, 01:22   #2
myrtille
/// TB-Ausbilder
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hi

lade dir bitte Malwarebytes herunter und lasse alle Funde löschen, poste das Log dann hier.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille
__________________

__________________

Alt 06.10.2008, 13:35   #3
Chaos Carlos
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hallo!

Vielen Dank erstmal für die schnelle Antwort!!

Die Malewaresoftware hat noch 7 Probleme gefunden, die die anderen Programme voher nicht finden konnten!
Die logfile von Malewarebytes habe ich gespeichert BEVOR ich die Probleme behoben habe (ich hoffe das ist die richtige logfile), denn nach der Problembehebung musste ich den PC neustarten, denn ein Problem konnte nur durch einen Neustart völlig behoben werden! Die automatisch angezeigte logfile konnte ich leider nicht wiederfinden nach dem Neustart, aber ich hoffe die voher von mir abgespeicherte tuts auch!

Hier also alle logfiles:
Malewarebytes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1231
Windows 5.1.2600 Service Pack 2

06.10.2008 13:09:57
mbam-log-2008-10-06 (13-09-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 179093
Laufzeit: 1 hour(s), 36 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\monuiwin (Trojan.FakeAlert.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cjuxmnqr.exe (Trojan.FakeAlert.H) -> No action taken.
C:\Dokumente und Einstellungen\Alex\Desktop\eMule\LinkCreator.exe (Rogue.Fake!emule.exe) -> No action taken.
         
rsit:
http://www.file-upload.net/download-1162148/info.txt.html
http://www.file-upload.net/download-1162150/log.txt.html

mfg Carlos
__________________

Alt 07.10.2008, 01:02   #4
myrtille
/// TB-Ausbilder
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hi,

arbeite bitte folgendes ab:
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\ebkbynqx.exe
folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sbkhipoz
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste danach ein neues RSIT Log.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 07.10.2008, 21:23   #5
Chaos Carlos
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hallo!
Muss noch sagen, dass nach dem Malewarebytesscan das popup nie wieder aufgegangen ist!

Also hier die textdatei vom Avanger:
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ebkbynqx.exe" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sbkhipoz" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Ich hoffe das ist die korrekte Datei!

rsit dateien:

http://www.file-upload.net/download-.../info.txt.html
http://www.file-upload.net/download-...1/log.txt.html

Wollte mich zwischendurch schonmal für die nette Hilfe bedanken!

mfg Carlos


Alt 07.10.2008, 21:32   #6
myrtille
/// TB-Ausbilder
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hi,

ja wir räumen eigentlich auch nur noch "ein wenig auf".
Die Reste der aktuellen Infektion, die Reste einer früheren Swizzorinfektion.

(und da ich den Swizzor vorhin vergessen hab, bitte nochmal Avenger loslassen
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
files to delete:
C:\WINDOWS\tasks\A8EAA1B3918D5577.job
folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\team win trust poll


registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|12bsrlVL9H

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Software Beep
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trust poll idle junk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{742DDA9B-2434-D17B-6704-538790F9A36F}
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

lg myrtille
__________________
--> Gefaktes Windows SecurityCenter popup

Alt 07.10.2008, 21:55   #7
Chaos Carlos
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hallöchen!

Ja du hast recht, hatte vor einiger Zeit mal einen Trojaner der Swizzor hiess drauf, und der erwies sich als recht hartnäckig!

Die Avanger-Textdatei:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\tasks\A8EAA1B3918D5577.job" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\team win trust poll" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|12bsrlVL9H" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Software Beep" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trust poll idle junk" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{742DDA9B-2434-D17B-6704-538790F9A36F}" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
mfg Carlos

Alt 07.10.2008, 21:58   #8
myrtille
/// TB-Ausbilder
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hi,

das sollte es dann gewesen sein.
Avenger und RSIT kannst du so löschen.

MAlwarebytes solltest du behalten und gelegentlich scannen lassen.

Besuche bitte mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates.
Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 08.10.2008, 00:18   #9
Chaos Carlos
 
Gefaktes Windows SecurityCenter popup - Standard

Gefaktes Windows SecurityCenter popup



Hi!!

Super!! Vielen lieben Dank für die kompetente Hilfe!! :aplaus::aplaus:

mfg Carlos

Antwort

Themen zu Gefaktes Windows SecurityCenter popup
adobe, antivir, auswerten, avira, behebung, bho, desktop, dll, einstellungen, excel, explorer, google, hijack, hijackthis, internet, internet explorer, netgear, nicht gefunden, popup, popup-fenster, problem, programm, rundll, software, system, wenig ahnung, windows, windows xp, öffnet



Ähnliche Themen: Gefaktes Windows SecurityCenter popup


  1. gefaktes Java Update?
    Log-Analyse und Auswertung - 27.05.2014 (5)
  2. gefaktes Java Update - reichliche Malware auf dem PC
    Plagegeister aller Art und deren Bekämpfung - 19.05.2014 (47)
  3. Gefaktes Java update pop- up
    Log-Analyse und Auswertung - 28.04.2014 (17)
  4. Windows Security PopUp
    Alles rund um Windows - 30.04.2013 (2)
  5. Trojaner: Microsoft.Windows.SecurityCenter.Firewallbypass
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (12)
  6. Gema.exe verursacht Popup Windows Xp SP3
    Log-Analyse und Auswertung - 03.03.2012 (7)
  7. Gefaktes Security Center - PC gesperrt wegen angeblich unlizensiertem Betriebssystem
    Plagegeister aller Art und deren Bekämpfung - 06.02.2012 (4)
  8. Windows securitycenter-Pc gesperrt
    Log-Analyse und Auswertung - 05.02.2012 (3)
  9. windows securitycenter pc gesperrt- 32-bit Vista home auf laptop
    Log-Analyse und Auswertung - 05.02.2012 (1)
  10. Popup-Werbung trotz Popup-Blocker
    Plagegeister aller Art und deren Bekämpfung - 04.01.2009 (4)
  11. Popup-Werbung trotz Popup-Blocker
    Mülltonne - 03.01.2009 (0)
  12. Gefaktes Windows SecurityCenter Pop-Up - Die 3te
    Log-Analyse und Auswertung - 13.10.2008 (2)
  13. Gefaktes Windows SecurityCenter Pop-Up - Die 2te
    Log-Analyse und Auswertung - 10.10.2008 (6)
  14. nochmals gefaktes Windows security popup Fenster
    Plagegeister aller Art und deren Bekämpfung - 09.10.2008 (5)
  15. Gefaktes Windows - Zeichen im Infobereich
    Log-Analyse und Auswertung - 18.09.2008 (1)
  16. Windows-Explorer popup mit Werbung
    Plagegeister aller Art und deren Bekämpfung - 23.07.2007 (5)
  17. Gefaktes Windows Update?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2005 (4)

Zum Thema Gefaktes Windows SecurityCenter popup - Hallo! Haben seit kurzem das Problem, dass sich ein gefaktes Popup-Fenster des WindowsSecurityCenters andauernd öffnet und mich auffordert ein Programm zur Behebung eines Trojaners runterzuladen! Der Trojaner heisst (laut der - Gefaktes Windows SecurityCenter popup...
Archiv
Du betrachtest: Gefaktes Windows SecurityCenter popup auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.