Trojaner, VirusRemover2008, PcPrivacyCleaner

2tyler · 08.10.2008, 00:54

Hallo Allerseits,

nun hat es einen weiteren Rechner erwischt. Ich bin jetzt Derjenige, der für einen Kumpel versucht, ihn wieder hinzubiegen. Handelt sich um einen Schlepptop, der jetzt neben mir liegt.
Wie mir scheint, hat mein Freund sich mit zwei lustigen "Programmen" namens VirusRemover2008 und "PcPrivacyCleaner" angelegt - ich weiß schon einige Zeit, daß es solche Biester gibt, die alles andere sind als das was sie vorgeben zu sein, nur der Kumpel eben nicht.

Habe jetzt bereits 3 Sachen durchgeführt und hoffe, jemand kann mich an die Hand nehmen und Schritt für Schritt weiterleiten.

1.) Habe Dr. Web drübergejagt

Code:

ATTFilter

video1166.cfg.exe;c:\dokumente und einstellungen\XXX\lokale einstellungen\temp;Trojan.DownLoad.5783;Gelöscht.;
sav.exe;c:\programme\sav;Trojan.Fakealert.1457;Gelöscht.;
msxml71.dll;c:\windows\system32;Trojan.Siggen.302;Gelöscht.;
5492.exe\SAV.exe;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\5492.exe;Trojan.Fakealert.1457;;
5492.exe\SAV.cpl;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\5492.exe;Trojan.Fakealert.1472;;
5492.exe;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp;Archiv enthält infizierte Objekte;Verschoben.;
a.exe;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp;Trojan.Siggen.302;Gelöscht.;
b.exe;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp;Trojan.Siggen.301;Gelöscht.;
video1166.cfg;C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp;Trojan.DownLoad.5783;Gelöscht.;
SAV.cpl;C:\Programme\SAV;Trojan.Fakealert.1472;Gelöscht.;
A0007628.exe;C:\System Volume Information\_restore{56750333-C168-464C-A69A-A9DFB75EA27A}\RP53;Trojan.Fakealert.1457;Gelöscht.;
A0007629.dll;C:\System Volume Information\_restore{56750333-C168-464C-A69A-A9DFB75EA27A}\RP53;Trojan.Siggen.302;Gelöscht.;
A0007630.cpl;C:\System Volume Information\_restore{56750333-C168-464C-A69A-A9DFB75EA27A}\RP53;Trojan.Fakealert.1472;Gelöscht.;
SAV.cpl;C:\WINDOWS\system32;Trojan.Fakealert.1472;Gelöscht.;

2.) Habe den MWAV scannen lassen
Das Log ist aber seeehr umfangreich, deshalb lass ichs erstmal weg - er hatte noch 7 kritische Objekte und 1 Fehler attestiert.

3.) Hab ein HijackThis gemacht:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:40:07, on 08.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Deamon302\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Deamon302\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134055363296
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 5370 bytes

Hmmm.... so, ich hoffe, ich hab schon ein bisserl vorgearbeitet und dann harre ich mal dem Crack, der da kommen mag. Und - wie gesagt - schon mal besten Dank im Vorraus (schleiiim...).

Gruß vom
Frank

Trojaner, VirusRemover2008, PcPrivacyCleaner

Log-Analyse und Auswertung: Trojaner, VirusRemover2008, PcPrivacyCleaner

Trojaner, VirusRemover2008, PcPrivacyCleaner

Ähnliche Themen: Trojaner, VirusRemover2008, PcPrivacyCleaner