Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner/Virus Befall von AV Care & Co

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.08.2009, 13:58   #1
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Einen schönen guten Tag!

Gestern hat sich in meinem System ein Virus/Trojaner eingenistet und seitdem habe ich probleme mit Pop Ups die mich auffordern mir eine Antispyware zu besorgen.

Also ich habe mich im Netz informiert und habe keine lösung gefunden.
Unten in der Start-Leiste ist ein icon von AV Care. Sofort wenn der PC hochgefahren wurde, fangen die Pop ups an aufzupoppen, in den Fenstern die sich öffnen steht dass mein System von vielen Viren befallen ist und ich soll mir diverse anti spy Programme laden, diese klicke ich weg, entweder durch X oder indem ich auf "ignore" oder "ungeschützt weiter machen" klicke.
Wenn ich alles weggeklickt habe, dann kommt anscheinend ohne zeitlicen oder anderen Zusammenhang ab und zu wieder einer der Pop Ups.
Es kamen auch noch 2 andere unerwünschte Programme,eines davon hieß PC-antispyware2010, die ich deinstalliert habe.

Ich habe Malwarebytes versucht auszuführen aber es reagiert einfach nicht, die Sanduhr erscheint für ne halbe Sek. und das war es dann. CC cleaner traute ich mich nicht zu installieren, da ich mehrfach gelesen habe, dass es gefährlich ist für laien, was ich bin, kann ich es ohne bedenken installieren und anwenden?

Dann habe ich Smitfraudfix installiert, welches anfangs auch nicht ging, bis ich im Internet rausfand, dass ich es in "iexplore" ändern solle, dann ging es.
Ich habe es mehrfach suchen und anschliessend im abgesicherten Modus löschen lassen, gefolg vom Neustart.
Es kam leider nicht zu einer Besserung, nach dem Start kommen nach wie vor die Pop Ups.

Nun habe ich noch einen HJ report gemacht.
PHP-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14
:20:33on 11.08.2009
Platform
Windows XP SP3 (WinNT 5.01.2600)
MSIEInternet Explorer v6.00 SP3 (6.00.2900.5512)
Boot modeNormal

Running processes
:
C:\WINDOWS\System32\smss.exe
C
:\WINDOWS\system32\winlogon.exe
C
:\WINDOWS\system32\services.exe
C
:\WINDOWS\system32\lsass.exe
C
:\WINDOWS\system32\svchost.exe
C
:\WINDOWS\System32\svchost.exe
C
:\WINDOWS\Explorer.EXE
C
:\WINDOWS\system32\spoolsv.exe
C
:\Programme\Avira\AntiVir Desktop\sched.exe
C
:\DOKUME~1\XXX\LOKALE~1\Temp\b.exe
C
:\WINDOWS\msb.exe
C
:\WINDOWS\system32\rundll32.exe
C
:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C
:\Programme\Acer\Acer eConsole\MediaServerService.exe
C
:\Programme\iTunes\iTunesHelper.exe
C
:\Programme\Avira\AntiVir Desktop\avgnt.exe
C
:\Programme\AV Care\AvCare.exe
C
:\Acer\Empowering Technology\eRecovery\Monitor.exe
C
:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C
:\Programme\Bonjour\mDNSResponder.exe
C
:\WINDOWS\system32\nvsvc32.exe
C
:\Programme\iPod\bin\iPodService.exe
C
:\Programme\Internet Explorer\iexplore.exe
C
:\Dokumente und Einstellungen\XXX\Desktop\Da Orda Digga\Virus,Spyware\HiJackThis.exe

R1 
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 
HKLM\..\Run: [LaunchAppAlaunch
O4 
HKLM\..\Run: [IMJPMIG8.1"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 
HKLM\..\Run: [MSPY2002C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 
HKLM\..\Run: [BluetoothAuthenticationAgentrundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 
HKLM\..\Run: [TkBellExe"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 
HKLM\..\Run: [QuickTime Task"C:\Programme\QuickTime\qttask.exe" -atboottime
O4 
HKLM\..\Run: [iTunesHelper"C:\Programme\iTunes\iTunesHelper.exe"
O4 HKLM\..\Run: [NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 
HKLM\..\Run: [nwiznwiz.exe /install
O4 
HKLM\..\Run: [NvMediaCenterRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 
HKLM\..\Run: [avgnt"C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 
HKLM\..\Run: [net"C:\WINDOWS\system32\net.net"
O4 HKLM\..\Run: [PC Antispyware 2010"C:\Programme\PC_Antispyware2010\PC_Antispyware2010.exe" /hide
O4 
HKCU\..\Run: [MonopodC:\DOKUME~1\XXX\LOKALE~1\Temp\b.exe
O4 
HKCU\..\Run: [AV CareC:\Programme\AV Care\AvCare.exe
O4 
HKCU\..\Run: [braviaxC:\WINDOWS\system32\braviax.exe
O4 
HKUS\S-1-5-19\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 HKUS\S-1-5-20\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 HKUS\S-1-5-18\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 HKUS\.DEFAULT\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 Startupikowin32.exe
O9 
Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 
Extra 'Tools' menuitemSun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 
Extra buttonPartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 
Extra 'Tools' menuitemPartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 
Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 
Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 
Extra buttonMessenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 
Extra 'Tools' menuitemWindows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 
AppInit_DLLscru629.dat
O23 
ServiceAcer Media Server Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 
ServiceAvira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 
ServiceAvira AntiVir Guard (AntiVirService) - Avira GmbH C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 
ServiceApple Mobile Device Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 
ServiceIntelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner C:\WINDOWS\
O23 ServiceBonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 
ServiceAVM FRITZ!web Routing Service (de_serv) - Unknown owner C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 ServiceFirebird Server MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project C:\MAGIX\Common\Database\bin\fbserver.exe
O23 
ServiceiPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 
ServiceKeenfinderSrch Service Unknown owner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KeenfinderSrch\keenfinder136.exe (file missing)
O23 ServiceNVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation C:\WINDOWS\system32\nvsvc32.exe
O23 
ServiceAutomatische Updates (wuauserv) - Unknown owner C:\WINDOWS\

--
End of file 5443 bytes 
hier smitfraudfix noch:
PHP-Code:
SmitFraudFix v2.423

Scan done at 14
:12:09,9011.08.2009
Run from C
:\Dokumente und Einstellungen\XXX\Desktop\SmitfraudFix
OS
Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attentionfollowing keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler
's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri'
s WS2FixLSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S
!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits
Malware Analysis Diagnostic
Code
S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent
.OMZ.Fix

Agent
.OMZ.Fix
Credits
Malware Analysis Diagnostic
Code
S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits
Malware Analysis Diagnostic
Code
S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM
\SYSTEM\CCS\Services\Tcpip\..\{930B84E0-34C8-438C-8126-99D83E9679CA}: DhcpNameServer=192.168.0.1
HKLM
\SYSTEM\CS2\Services\Tcpip\..\{930B84E0-34C8-438C-8126-99D83E9679CA}: DhcpNameServer=192.168.178.1
HKLM
\SYSTEM\CS3\Services\Tcpip\..\{930B84E0-34C8-438C-8126-99D83E9679CA}: DhcpNameServer=192.168.0.1
HKLM
\SYSTEM\CCS\Services\Tcpip\ParametersDhcpNameServer=192.168.0.1
HKLM
\SYSTEM\CS2\Services\Tcpip\ParametersDhcpNameServer=192.168.178.1
HKLM
\SYSTEM\CS3\Services\Tcpip\ParametersDhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
.System
!!!Attentionfollowing keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done

 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attentionfollowing keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler
's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End 
Ich möchte mich entschuldigen, falls ich etwas falsch gemacht oder nich korrekt gemacht habe, mühe habe ich mir gegeben, die anweisungen zu beachten.

Ich hoffe, dass man mir hier helfen kann und bedanke mich schonmal fürs lesen!

Gruß Ganraad

Ps.: was ich vergessen habe zu erwähnen ist:
-nach dem PC Start kommt ein fenster worin steht "svchost.exe hat ein problem festgestellt und muss beendet werden"
-der hardware assistent öffnet sich und teilt mir mit, dass ich neue hardware habe die installiert werden muss
...beides klicke ich aus unsicherheit weg.

Geändert von Ganraad (11.08.2009 um 14:46 Uhr)

Alt 11.08.2009, 15:58   #2
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Also ich habe nochmal den avira scan laufen lassen,folgendes kam bei raus:
PHP-Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei
Dienstag11. August 2009  15:52

Es wird nach 1628565 Virenstämmen gesucht
.

Lizenznehmer   Avira AntiVir Personal FREE Antivirus
Seriennummer   
0000149996-ADJIE-0000001
Plattform      
Windows XP
Windowsversion 
: (Service Pack 3)  [5.1.2600]
Boot Modus     Normal gebootet
Benutzername   
SYSTEM
Computername   
ACER-CA74EEF073

Versionsinformationen
:
BUILD.DAT      9.0.0.407     17961 Bytes  29.07.2009 10:29:00
AVSCAN
.EXE     9.0.3.7      466689 Bytes  05.08.2009 17:57:49
AVSCAN
.DLL     9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE
.DLL       9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES
.DLL    9.0.2.0       13569 Bytes  26.01.2009 09:41:59
ANTIVIR0
.VDF   7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1
.VDF   7.1.4.132   5707264 Bytes  24.06.2009 14:17:23
ANTIVIR2
.VDF   7.1.5.88    2668032 Bytes  10.08.2009 21:09:37
ANTIVIR3
.VDF   7.1.5.93     108032 Bytes  10.08.2009 21:09:43
Engineversion  
8.2.0.248
AEVDF
.DLL      8.1.1.1      106868 Bytes  30.04.2009 10:52:04
AESCRIPT
.DLL   8.1.2.23     455033 Bytes  07.08.2009 20:56:12
AESCN
.DLL      8.1.2.4      127348 Bytes  30.07.2009 14:17:31
AERDL
.DLL      8.1.2.4      430452 Bytes  30.07.2009 14:17:30
AEPACK
.DLL     8.1.3.18     401783 Bytes  27.05.2009 15:07:20
AEOFFICE
.DLL   8.1.0.38     196987 Bytes  30.07.2009 14:17:30
AEHEUR
.DLL     8.1.0.154   1917302 Bytes  07.08.2009 20:56:07
AEHELP
.DLL     8.1.5.3      233846 Bytes  30.07.2009 14:17:28
AEGEN
.DLL      8.1.1.55     356723 Bytes  07.08.2009 20:55:53
AEEMU
.DLL      8.1.0.9      393588 Bytes  09.10.2008 13:32:40
AECORE
.DLL     8.1.7.6      184694 Bytes  30.07.2009 14:17:28
AEBB
.DLL       8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL
.DLL    9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF
.DLL     9.0.0.1       43777 Bytes  03.12.2008 10:39:55
AVREP
.DLL      8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG
.DLL      9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT
.DLL     9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG
.DLL   9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3
.DLL    3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB
.DLL    9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT
.DLL      9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE
.DLL    9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT
.DLL     9.0.37.0      87809 Bytes  17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf
:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei
...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung
.......................: niedrig
Primäre Aktion
........................: interaktiv
Sekundäre Aktion
......................: ignorieren
Durchsuche Masterbootsektoren
.........: ein
Durchsuche Bootsektoren
...............: ein
Bootsektoren
..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung
..............: ein
Suche nach Rootkits
...................: ein
Integritätsprüfung von Systemdateien
..: aus
Datei Suchmodus
.......................: Alle Dateien
Durchsuche Archive
....................: ein
Rekursionstiefe einschränken
..........: 20
Archiv Smart Extensions
...............: ein
Makrovirenheuristik
...................: ein
Dateiheuristik
........................: mittel

Beginn des Suchlaufs
Dienstag11. August 2009  15:52

Der Suchlauf nach versteckten Objekten wird begonnen
.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNETljapvaoe\main
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNETljapvaoe\modules
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNETljapvaoe\start
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNETljapvaoe\type
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNETljapvaoe\group
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNETljapvaoe\imagepath
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\UACd.sys\modules
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\UACd.sys\start
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\UACd.sys\type
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\UACd.sys\imagepath
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\UACd.sys\group
    
[INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '7572' Objekte überprüft'11' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'avcenter.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'avguard.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'iPodService.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'Monitor.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'avgnt.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'iTunesHelper.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'realsched.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'rundll32.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'alg.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'wdfmgr.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'nvsvc32.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'svchost.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'mDNSResponder.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'AppleMobileDeviceService.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'MediaServerService.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'msb.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'b.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'svchost.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'sched.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'spoolsv.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'explorer.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'svchost.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'svchost.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'svchost.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'svchost.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'svchost.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'lsass.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'services.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'winlogon.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'csrss.exe' '1' Modul(ewurden durchsucht
Durchsuche Prozess 
'smss.exe' '1' Modul(ewurden durchsucht
Es wurden 
'32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über 
die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    
[INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    
[INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    
[INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    
[INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    
[INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor '
D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '
60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in '
C:\' <ACER>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Engo\Lokale Einstellungen\Temp\msupd_2.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLo.sxm
C:\Dokumente und Einstellungen\Engo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5PEFMPW\Install[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLo.sxm
C:\WINDOWS\system32\wisdstr.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLo.sxm
Beginne mit der Suche in '
D:\' <ACERDATA>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Engo\Lokale Einstellungen\Temp\msupd_2.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLo.sxm
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
4af681d4.qua' verschoben!
C:\Dokumente und Einstellungen\Engo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5PEFMPW\Install[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLo.sxm
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
4af481cf.qua' verschoben!
C:\WINDOWS\system32\wisdstr.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLo.sxm
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
4af481ca.qua' verschoben!


Ende des Suchlaufs: Dienstag, 11. August 2009  16:34
Benötigte Zeit: 32:58 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   8504 Verzeichnisse wurden überprüft
 379405 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 379401 Dateien ohne Befall
   8645 Archive wurden durchsucht
      1 Warnungen
      4 Hinweise
   7572 Objekte wurden beim Rootkitscan durchsucht
     11 Versteckte Objekte wurden gefunden 
Die Viren in quarantäne habe ich gelöscht.

Ach ja, wenn ich den Browser(firefox) starte, startet ab und an der Explorer zusätzlich mit.

Werde jetzt neustarten mal schauen ob sich etwas ändert.

gruß Ganraad
__________________


Alt 11.08.2009, 16:04   #3
raman
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Wenn Antivir nichts mehr meldet, versuche es bitte nocheinmal mit Mbam...
__________________
__________________

Alt 11.08.2009, 17:21   #4
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Hallo, danke für die Antwort!

Avira zeigt mir nichts mehr an, also keine Funde.
Mbam habe ich versucht, aber nachdem ich es installiert habe, lässt es sich nicht ausführen.
Wie oben beschrieben, wenn ich draufklicke dann kommt für ne halbe sek. die sanduhr und das wars es.

Von den anfänglichen Problemen sind mittlerweile nur noch folgende aktuell:

-Nach dem PC start kommt ein Problembericht, worin "svchost.exe hat ein Problem festgestellt und muss beendet werden"

-Nach PC Start, der Hardware-Assistent öffnet sich und gibt an ein unbekanntes gerät zu haben, welches ich nicht installieren kann, weil die software fehlt.

Wenn ich den Browser starte, öffnet er sich manchmal doppelt und die GMX Seite (meine Startseite) wird fehlerhaft angezeigt, wenn ich auf etws klicke und dann zurück gehe, dann wird sie richtig angezeigt, aber ich komme von dieser seite nicht weiter.
Habe noch einen funktionierenden Schlepptop und da geht die seite einwandfrei.

Was soll ich denn nun tun,wenn Mbam nicht geht?

Gruß ud Danke, Ganraad

Alt 11.08.2009, 17:31   #5
raman
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



DAnn nehmen wir Combofix, du kennst es ja noch vom "letzten" Mal...
http://www.trojaner-board.de/61481-v...tml#post380265

Aber speichere es bitte unter einem anderen Namen, wie z.B. cofi.exe o.ae. Als cofi speichern, nicht nachtraeglich umbenennen!

__________________
MfG Ralf

Alt 11.08.2009, 21:21   #6
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



So, hallo!

Ich muss sagen, dass combofix wollte, dass ich meine Antivirenprogramme ausschalte vorm Nutzen, aber er fand avira gleich 7x oder so, ich habe das mir bekannte ausgemacht und er meinte da seien immer noch 6, er würde aber dennoch fortfahren.


Nun ich habe combofix durchlaufen lassen, er fand folgende dateien, die ich mir aufschreiben sollte:
C:/Windows/System/drivers/SKYNETixgwylyx.sys
C:/Windows/System/SKYNETisnoeadn.dll
C:/Windows/System/SKYNETsdojdmka.dat
C:/Windows/System/SKYNETboyohlmx.dll
C:/Windows/System/SKYNETxnxvubdo.dat
C:/Windows/System/drivers/UACtpqmnjctqg.sys
C:/Windows/System/UACiudnaeblne.dll
C:/Windows/System/UACftvorpjuat.dll
C:/Windows/System/UACojumnbpwmw.dat
C:/Windows/System/UACylttgkuptk.db
C:/Windows/System/UACgkjdpvascw.dll
C:/Windows/System/UACiqephqdbns.dll

Dann kamen einige Neustarts seitens combofix und am ende ein Blue screen
da stand:
DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS
tech info:
*** STOP: 0x000000CE(0xF7638EE2, 0x00000008, 0xF7638EE2, 0X00000000)



Als ich resettet hatte ging der browser soweit wieder, und der hardwareassistent meldet sich auch nicht mehr.
Die svchost.exe Warnung kommt immer noch.
Leider sind die Pup Ups wieder da + dazugehörige startleisten Icons.
1.Windows security system
2.PC Antispyware 2010

Soll ich es nochmal durchlaufen lassen, wenn ja, wie mache ich ALLE avira programme aus?

Vielen lieben Dank für die hilfe bisher Frank!

Liebe Grüsse, Ganraad

Ps.:hab ich ja ganz vergessen,sry bin zu lange schon vorm PC, hier die combofix log:
PHP-Code:
ComboFix 09-08-10.06 Engo 11.08.2009 21:45:05.1.1 NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1729 
[GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\cofix.exe
AV
AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AVAntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AVAntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AVAntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
AVAntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}
AVAntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-010D-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   
Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wiaserva.log
C
:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\cocywahipy._dl
C
:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\oluqomy.scr
C
:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\qovaq.lib
C
:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\udiwogeh.pif
C
:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\uhyhufif.bin
C
:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\unyroty.bin
C
:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\xeny.ban
C
:\WINDOWS\braviax.exe
C
:\WINDOWS\Installer\2bd4d3.msp
C
:\WINDOWS\Installer\2bd511.msp
C
:\WINDOWS\Installer\37243.msp
C
:\WINDOWS\Installer\37281.msp
C
:\WINDOWS\msa.exe
C
:\WINDOWS\run.log
C
:\WINDOWS\system32\_004672_.tmp.dll
C
:\WINDOWS\system32\_004673_.tmp.dll
C
:\WINDOWS\system32\_004674_.tmp.dll
C
:\WINDOWS\system32\_004675_.tmp.dll
C
:\WINDOWS\system32\_004682_.tmp.dll
C
:\WINDOWS\system32\_004684_.tmp.dll
C
:\WINDOWS\system32\_004685_.tmp.dll
C
:\WINDOWS\system32\_004687_.tmp.dll
C
:\WINDOWS\system32\_004688_.tmp.dll
C
:\WINDOWS\system32\_004691_.tmp.dll
C
:\WINDOWS\system32\_004692_.tmp.dll
C
:\WINDOWS\system32\_004694_.tmp.dll
C
:\WINDOWS\system32\_004695_.tmp.dll
C
:\WINDOWS\system32\_004696_.tmp.dll
C
:\WINDOWS\system32\_004698_.tmp.dll
C
:\WINDOWS\system32\_004699_.tmp.dll
C
:\WINDOWS\system32\_004700_.tmp.dll
C
:\WINDOWS\system32\_004701_.tmp.dll
C
:\WINDOWS\system32\_004702_.tmp.dll
C
:\WINDOWS\system32\_004703_.tmp.dll
C
:\WINDOWS\system32\_004704_.tmp.dll
C
:\WINDOWS\system32\_004706_.tmp.dll
C
:\WINDOWS\system32\_004707_.tmp.dll
C
:\WINDOWS\system32\_004709_.tmp.dll
C
:\WINDOWS\system32\_004710_.tmp.dll
C
:\WINDOWS\system32\_004711_.tmp.dll
C
:\WINDOWS\system32\_004712_.tmp.dll
C
:\WINDOWS\system32\_004713_.tmp.dll
C
:\WINDOWS\system32\_004714_.tmp.dll
C
:\WINDOWS\system32\_004715_.tmp.dll
C
:\WINDOWS\system32\_004716_.tmp.dll
C
:\WINDOWS\system32\_004717_.tmp.dll
C
:\WINDOWS\system32\_004718_.tmp.dll
C
:\WINDOWS\system32\_004719_.tmp.dll
C
:\WINDOWS\system32\_004720_.tmp.dll
C
:\WINDOWS\system32\_004721_.tmp.dll
C
:\WINDOWS\system32\_004722_.tmp.dll
C
:\WINDOWS\system32\_004723_.tmp.dll
C
:\WINDOWS\system32\_004724_.tmp.dll
C
:\WINDOWS\system32\_004725_.tmp.dll
C
:\WINDOWS\system32\_004726_.tmp.dll
C
:\WINDOWS\system32\_004727_.tmp.dll
C
:\WINDOWS\system32\_004728_.tmp.dll
C
:\WINDOWS\system32\_004729_.tmp.dll
C
:\WINDOWS\system32\_004730_.tmp.dll
C
:\WINDOWS\system32\_004731_.tmp.dll
C
:\WINDOWS\system32\_004732_.tmp.dll
C
:\WINDOWS\system32\_004733_.tmp.dll
C
:\WINDOWS\system32\_004734_.tmp.dll
C
:\WINDOWS\system32\_004735_.tmp.dll
C
:\WINDOWS\system32\_004736_.tmp.dll
C
:\WINDOWS\system32\_004737_.tmp.dll
C
:\WINDOWS\system32\_004738_.tmp.dll
C
:\WINDOWS\system32\_004739_.tmp.dll
C
:\WINDOWS\system32\_004740_.tmp.dll
C
:\WINDOWS\system32\_004741_.tmp.dll
C
:\WINDOWS\system32\_004742_.tmp.dll
C
:\WINDOWS\system32\_004743_.tmp.dll
C
:\WINDOWS\system32\_004744_.tmp.dll
C
:\WINDOWS\system32\_004745_.tmp.dll
C
:\WINDOWS\system32\_004746_.tmp.dll
C
:\WINDOWS\system32\_004747_.tmp.dll
C
:\WINDOWS\system32\_004748_.tmp.dll
C
:\WINDOWS\system32\_004749_.tmp.dll
C
:\WINDOWS\system32\_004750_.tmp.dll
C
:\WINDOWS\system32\_004751_.tmp.dll
C
:\WINDOWS\system32\_004752_.tmp.dll
C
:\WINDOWS\system32\_004753_.tmp.dll
C
:\WINDOWS\system32\_004755_.tmp.dll
C
:\WINDOWS\system32\_004756_.tmp.dll
C
:\WINDOWS\system32\_004757_.tmp.dll
C
:\WINDOWS\system32\_004758_.tmp.dll
C
:\WINDOWS\system32\_004759_.tmp.dll
C
:\WINDOWS\system32\_004760_.tmp.dll
C
:\WINDOWS\system32\_004761_.tmp.dll
C
:\WINDOWS\system32\_004763_.tmp.dll
C
:\WINDOWS\system32\_004764_.tmp.dll
C
:\WINDOWS\system32\_004765_.tmp.dll
C
:\WINDOWS\system32\_004766_.tmp.dll
C
:\WINDOWS\system32\_004767_.tmp.dll
C
:\WINDOWS\system32\_004768_.tmp.dll
C
:\WINDOWS\system32\_004769_.tmp.dll
C
:\WINDOWS\system32\_004770_.tmp.dll
C
:\WINDOWS\system32\_004771_.tmp.dll
C
:\WINDOWS\system32\_004772_.tmp.dll
C
:\WINDOWS\system32\_004773_.tmp.dll
C
:\WINDOWS\system32\_004774_.tmp.dll
C
:\WINDOWS\system32\_004775_.tmp.dll
C
:\WINDOWS\system32\_004776_.tmp.dll
C
:\WINDOWS\system32\_004777_.tmp.dll
C
:\WINDOWS\system32\_004779_.tmp.dll
C
:\WINDOWS\system32\_004780_.tmp.dll
C
:\WINDOWS\system32\_004781_.tmp.dll
C
:\WINDOWS\system32\_004782_.tmp.dll
C
:\WINDOWS\system32\_004784_.tmp.dll
C
:\WINDOWS\system32\_004786_.tmp.dll
C
:\WINDOWS\system32\_004787_.tmp.dll
C
:\WINDOWS\system32\_004788_.tmp.dll
C
:\WINDOWS\system32\_004789_.tmp.dll
C
:\WINDOWS\system32\_004790_.tmp.dll
C
:\WINDOWS\system32\_004791_.tmp.dll
C
:\WINDOWS\system32\_004792_.tmp.dll
C
:\WINDOWS\system32\_004794_.tmp.dll
C
:\WINDOWS\system32\_004795_.tmp.dll
C
:\WINDOWS\system32\_004796_.tmp.dll
C
:\WINDOWS\system32\_004797_.tmp.dll
C
:\WINDOWS\system32\_004798_.tmp.dll
C
:\WINDOWS\system32\_004799_.tmp.dll
C
:\WINDOWS\system32\_004800_.tmp.dll
C
:\WINDOWS\system32\_004801_.tmp.dll
C
:\WINDOWS\system32\_004802_.tmp.dll
C
:\WINDOWS\system32\_004803_.tmp.dll
C
:\WINDOWS\system32\_004804_.tmp.dll
C
:\WINDOWS\system32\_004805_.tmp.dll
C
:\WINDOWS\system32\_004806_.tmp.dll
C
:\WINDOWS\system32\_004807_.tmp.dll
C
:\WINDOWS\system32\_004808_.tmp.dll
C
:\WINDOWS\system32\_004809_.tmp.dll
C
:\WINDOWS\system32\_004811_.tmp.dll
C
:\WINDOWS\system32\_004812_.tmp.dll
C
:\WINDOWS\system32\_004813_.tmp.dll
C
:\WINDOWS\system32\_004814_.tmp.dll
C
:\WINDOWS\system32\_004816_.tmp.dll
C
:\WINDOWS\system32\_004818_.tmp.dll
C
:\WINDOWS\system32\_004819_.tmp.dll
C
:\WINDOWS\system32\_004820_.tmp.dll
C
:\WINDOWS\system32\_004821_.tmp.dll
C
:\WINDOWS\system32\_004822_.tmp.dll
C
:\WINDOWS\system32\_004823_.tmp.dll
C
:\WINDOWS\system32\_004824_.tmp.dll
C
:\WINDOWS\system32\_004826_.tmp.dll
C
:\WINDOWS\system32\_004827_.tmp.dll
C
:\WINDOWS\system32\_004828_.tmp.dll
C
:\WINDOWS\system32\_004829_.tmp.dll
C
:\WINDOWS\system32\_004830_.tmp.dll
C
:\WINDOWS\system32\_004831_.tmp.dll
C
:\WINDOWS\system32\_004832_.tmp.dll
C
:\WINDOWS\system32\_004833_.tmp.dll
C
:\WINDOWS\system32\_004835_.tmp.dll
C
:\WINDOWS\system32\_004836_.tmp.dll
C
:\WINDOWS\system32\_004839_.tmp.dll
C
:\WINDOWS\system32\_004840_.tmp.dll
C
:\WINDOWS\system32\_004844_.tmp.dll
C
:\WINDOWS\system32\_004845_.tmp.dll
C
:\WINDOWS\system32\_004847_.tmp.dll
C
:\WINDOWS\system32\_004850_.tmp.dll
C
:\WINDOWS\system32\_004852_.tmp.dll
C
:\WINDOWS\system32\_004853_.tmp.dll
C
:\WINDOWS\system32\_004854_.tmp.dll
C
:\WINDOWS\system32\_004855_.tmp.dll
C
:\WINDOWS\system32\_004858_.tmp.dll
C
:\WINDOWS\system32\_004859_.tmp.dll
C
:\WINDOWS\system32\_004860_.tmp.dll
C
:\WINDOWS\system32\_004861_.tmp.dll
C
:\WINDOWS\system32\_004862_.tmp.dll
C
:\WINDOWS\system32\_004867_.tmp.dll
C
:\WINDOWS\system32\drivers\SKYNETixgwylyx.sys
C
:\WINDOWS\system32\drivers\UACtpqmnjctqg.sys
C
:\WINDOWS\system32\SKYNETboyohlmx.dll
C
:\WINDOWS\system32\SKYNETisnoeadn.dll
C
:\WINDOWS\system32\SKYNETsdojdmka.dat
C
:\WINDOWS\system32\SKYNETxnxvubdo.dat
C
:\WINDOWS\system32\tmp.reg
C
:\WINDOWS\system32\UACftvorpjuat.dll
C
:\WINDOWS\system32\UACgkjdpvascw.dll
C
:\WINDOWS\system32\uacinit.dll
C
:\WINDOWS\system32\UACiqephqdbns.dll
C
:\WINDOWS\system32\UACiudnaeblne.dll
C
:\WINDOWS\system32\UACojumnbpwmw.dat
C
:\WINDOWS\system32\UACylttgkuptk.db
D
:\install.exe


.
(((((((((((((((((((((((((((((((((((((((   
Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\
Service_SKYNETljapvaoe
-------\Legacy_SKYNETljapvaoe
-------\Service_UACd.sys
-------\Legacy_UACd.sys
-------\Legacy_TDSSSERV
-------\Legacy_NPF


(((((((((((((((((((((((   Dateien erstellt von 2009-07-11 bis 2009-08-11  ))))))))))))))))))))))))))))))


Geändert von Ganraad (11.08.2009 um 21:32 Uhr) Grund: combofix log

Alt 12.08.2009, 04:59   #7
raman
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Da hat die Malware ganz schoen gewuetet. Der Report ist leider nicht vollstaendig, bitte poste es ganz und setz es nicht in codetags, zumindest nicht phpcode....
__________________
MfG Ralf

Alt 12.08.2009, 09:13   #8
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Guten Morgen!

Also ich poste es gerne nochmal, aber ich glaube dass nicht mehr drinnen steht.
Soll ich combofix nochmal laufen lassen?

ComboFix 09-08-10.06 - XXX 11.08.2009 21:45:05.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1729 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\cofix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-010D-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wiaserva.log
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\cocywahipy._dl
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\oluqomy.scr
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\qovaq.lib
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\udiwogeh.pif
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\uhyhufif.bin
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\unyroty.bin
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\xeny.ban
C:\WINDOWS\braviax.exe
C:\WINDOWS\Installer\2bd4d3.msp
C:\WINDOWS\Installer\2bd511.msp
C:\WINDOWS\Installer\37243.msp
C:\WINDOWS\Installer\37281.msp
C:\WINDOWS\msa.exe
C:\WINDOWS\run.log
C:\WINDOWS\system32\_004672_.tmp.dll
C:\WINDOWS\system32\_004673_.tmp.dll
C:\WINDOWS\system32\_004674_.tmp.dll
C:\WINDOWS\system32\_004675_.tmp.dll
C:\WINDOWS\system32\_004682_.tmp.dll
C:\WINDOWS\system32\_004684_.tmp.dll
C:\WINDOWS\system32\_004685_.tmp.dll
C:\WINDOWS\system32\_004687_.tmp.dll
C:\WINDOWS\system32\_004688_.tmp.dll
C:\WINDOWS\system32\_004691_.tmp.dll
C:\WINDOWS\system32\_004692_.tmp.dll
C:\WINDOWS\system32\_004694_.tmp.dll
C:\WINDOWS\system32\_004695_.tmp.dll
C:\WINDOWS\system32\_004696_.tmp.dll
C:\WINDOWS\system32\_004698_.tmp.dll
C:\WINDOWS\system32\_004699_.tmp.dll
C:\WINDOWS\system32\_004700_.tmp.dll
C:\WINDOWS\system32\_004701_.tmp.dll
C:\WINDOWS\system32\_004702_.tmp.dll
C:\WINDOWS\system32\_004703_.tmp.dll
C:\WINDOWS\system32\_004704_.tmp.dll
C:\WINDOWS\system32\_004706_.tmp.dll
C:\WINDOWS\system32\_004707_.tmp.dll
C:\WINDOWS\system32\_004709_.tmp.dll
C:\WINDOWS\system32\_004710_.tmp.dll
C:\WINDOWS\system32\_004711_.tmp.dll
C:\WINDOWS\system32\_004712_.tmp.dll
C:\WINDOWS\system32\_004713_.tmp.dll
C:\WINDOWS\system32\_004714_.tmp.dll
C:\WINDOWS\system32\_004715_.tmp.dll
C:\WINDOWS\system32\_004716_.tmp.dll
C:\WINDOWS\system32\_004717_.tmp.dll
C:\WINDOWS\system32\_004718_.tmp.dll
C:\WINDOWS\system32\_004719_.tmp.dll
C:\WINDOWS\system32\_004720_.tmp.dll
C:\WINDOWS\system32\_004721_.tmp.dll
C:\WINDOWS\system32\_004722_.tmp.dll
C:\WINDOWS\system32\_004723_.tmp.dll
C:\WINDOWS\system32\_004724_.tmp.dll
C:\WINDOWS\system32\_004725_.tmp.dll
C:\WINDOWS\system32\_004726_.tmp.dll
C:\WINDOWS\system32\_004727_.tmp.dll
C:\WINDOWS\system32\_004728_.tmp.dll
C:\WINDOWS\system32\_004729_.tmp.dll
C:\WINDOWS\system32\_004730_.tmp.dll
C:\WINDOWS\system32\_004731_.tmp.dll
C:\WINDOWS\system32\_004732_.tmp.dll
C:\WINDOWS\system32\_004733_.tmp.dll
C:\WINDOWS\system32\_004734_.tmp.dll
C:\WINDOWS\system32\_004735_.tmp.dll
C:\WINDOWS\system32\_004736_.tmp.dll
C:\WINDOWS\system32\_004737_.tmp.dll
C:\WINDOWS\system32\_004738_.tmp.dll
C:\WINDOWS\system32\_004739_.tmp.dll
C:\WINDOWS\system32\_004740_.tmp.dll
C:\WINDOWS\system32\_004741_.tmp.dll
C:\WINDOWS\system32\_004742_.tmp.dll
C:\WINDOWS\system32\_004743_.tmp.dll
C:\WINDOWS\system32\_004744_.tmp.dll
C:\WINDOWS\system32\_004745_.tmp.dll
C:\WINDOWS\system32\_004746_.tmp.dll
C:\WINDOWS\system32\_004747_.tmp.dll
C:\WINDOWS\system32\_004748_.tmp.dll
C:\WINDOWS\system32\_004749_.tmp.dll
C:\WINDOWS\system32\_004750_.tmp.dll
C:\WINDOWS\system32\_004751_.tmp.dll
C:\WINDOWS\system32\_004752_.tmp.dll
C:\WINDOWS\system32\_004753_.tmp.dll
C:\WINDOWS\system32\_004755_.tmp.dll
C:\WINDOWS\system32\_004756_.tmp.dll
C:\WINDOWS\system32\_004757_.tmp.dll
C:\WINDOWS\system32\_004758_.tmp.dll
C:\WINDOWS\system32\_004759_.tmp.dll
C:\WINDOWS\system32\_004760_.tmp.dll
C:\WINDOWS\system32\_004761_.tmp.dll
C:\WINDOWS\system32\_004763_.tmp.dll
C:\WINDOWS\system32\_004764_.tmp.dll
C:\WINDOWS\system32\_004765_.tmp.dll
C:\WINDOWS\system32\_004766_.tmp.dll
C:\WINDOWS\system32\_004767_.tmp.dll
C:\WINDOWS\system32\_004768_.tmp.dll
C:\WINDOWS\system32\_004769_.tmp.dll
C:\WINDOWS\system32\_004770_.tmp.dll
C:\WINDOWS\system32\_004771_.tmp.dll
C:\WINDOWS\system32\_004772_.tmp.dll
C:\WINDOWS\system32\_004773_.tmp.dll
C:\WINDOWS\system32\_004774_.tmp.dll
C:\WINDOWS\system32\_004775_.tmp.dll
C:\WINDOWS\system32\_004776_.tmp.dll
C:\WINDOWS\system32\_004777_.tmp.dll
C:\WINDOWS\system32\_004779_.tmp.dll
C:\WINDOWS\system32\_004780_.tmp.dll
C:\WINDOWS\system32\_004781_.tmp.dll
C:\WINDOWS\system32\_004782_.tmp.dll
C:\WINDOWS\system32\_004784_.tmp.dll
C:\WINDOWS\system32\_004786_.tmp.dll
C:\WINDOWS\system32\_004787_.tmp.dll
C:\WINDOWS\system32\_004788_.tmp.dll
C:\WINDOWS\system32\_004789_.tmp.dll
C:\WINDOWS\system32\_004790_.tmp.dll
C:\WINDOWS\system32\_004791_.tmp.dll
C:\WINDOWS\system32\_004792_.tmp.dll
C:\WINDOWS\system32\_004794_.tmp.dll
C:\WINDOWS\system32\_004795_.tmp.dll
C:\WINDOWS\system32\_004796_.tmp.dll
C:\WINDOWS\system32\_004797_.tmp.dll
C:\WINDOWS\system32\_004798_.tmp.dll
C:\WINDOWS\system32\_004799_.tmp.dll
C:\WINDOWS\system32\_004800_.tmp.dll
C:\WINDOWS\system32\_004801_.tmp.dll
C:\WINDOWS\system32\_004802_.tmp.dll
C:\WINDOWS\system32\_004803_.tmp.dll
C:\WINDOWS\system32\_004804_.tmp.dll
C:\WINDOWS\system32\_004805_.tmp.dll
C:\WINDOWS\system32\_004806_.tmp.dll
C:\WINDOWS\system32\_004807_.tmp.dll
C:\WINDOWS\system32\_004808_.tmp.dll
C:\WINDOWS\system32\_004809_.tmp.dll
C:\WINDOWS\system32\_004811_.tmp.dll
C:\WINDOWS\system32\_004812_.tmp.dll
C:\WINDOWS\system32\_004813_.tmp.dll
C:\WINDOWS\system32\_004814_.tmp.dll
C:\WINDOWS\system32\_004816_.tmp.dll
C:\WINDOWS\system32\_004818_.tmp.dll
C:\WINDOWS\system32\_004819_.tmp.dll
C:\WINDOWS\system32\_004820_.tmp.dll
C:\WINDOWS\system32\_004821_.tmp.dll
C:\WINDOWS\system32\_004822_.tmp.dll
C:\WINDOWS\system32\_004823_.tmp.dll
C:\WINDOWS\system32\_004824_.tmp.dll
C:\WINDOWS\system32\_004826_.tmp.dll
C:\WINDOWS\system32\_004827_.tmp.dll
C:\WINDOWS\system32\_004828_.tmp.dll
C:\WINDOWS\system32\_004829_.tmp.dll
C:\WINDOWS\system32\_004830_.tmp.dll
C:\WINDOWS\system32\_004831_.tmp.dll
C:\WINDOWS\system32\_004832_.tmp.dll
C:\WINDOWS\system32\_004833_.tmp.dll
C:\WINDOWS\system32\_004835_.tmp.dll
C:\WINDOWS\system32\_004836_.tmp.dll
C:\WINDOWS\system32\_004839_.tmp.dll
C:\WINDOWS\system32\_004840_.tmp.dll
C:\WINDOWS\system32\_004844_.tmp.dll
C:\WINDOWS\system32\_004845_.tmp.dll
C:\WINDOWS\system32\_004847_.tmp.dll
C:\WINDOWS\system32\_004850_.tmp.dll
C:\WINDOWS\system32\_004852_.tmp.dll
C:\WINDOWS\system32\_004853_.tmp.dll
C:\WINDOWS\system32\_004854_.tmp.dll
C:\WINDOWS\system32\_004855_.tmp.dll
C:\WINDOWS\system32\_004858_.tmp.dll
C:\WINDOWS\system32\_004859_.tmp.dll
C:\WINDOWS\system32\_004860_.tmp.dll
C:\WINDOWS\system32\_004861_.tmp.dll
C:\WINDOWS\system32\_004862_.tmp.dll
C:\WINDOWS\system32\_004867_.tmp.dll
C:\WINDOWS\system32\drivers\SKYNETixgwylyx.sys
C:\WINDOWS\system32\drivers\UACtpqmnjctqg.sys
C:\WINDOWS\system32\SKYNETboyohlmx.dll
C:\WINDOWS\system32\SKYNETisnoeadn.dll
C:\WINDOWS\system32\SKYNETsdojdmka.dat
C:\WINDOWS\system32\SKYNETxnxvubdo.dat
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\UACftvorpjuat.dll
C:\WINDOWS\system32\UACgkjdpvascw.dll
C:\WINDOWS\system32\uacinit.dll
C:\WINDOWS\system32\UACiqephqdbns.dll
C:\WINDOWS\system32\UACiudnaeblne.dll
C:\WINDOWS\system32\UACojumnbpwmw.dat
C:\WINDOWS\system32\UACylttgkuptk.db
D:\install.exe


.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETljapvaoe
-------\Legacy_SKYNETljapvaoe
-------\Service_UACd.sys
-------\Legacy_UACd.sys
-------\Legacy_TDSSSERV
-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-07-11 bis 2009-08-11 ))))))))))))))))))))))))))))))
.


Ich hatte vorhin ein automatisches update von avira und seitdem meldet er mir jede , seit minuten, dass der trojaner TR/Dldr.Zlob.IR auf meinem rechner ist. Von 10.05 uhr - 10.15 uhr bereits 16 x in quarantäne verschoben.
Einmal hieß der trojaner TR/Dldr.Fraudlo.sxm

gruß Ganraad

Alt 12.08.2009, 09:51   #9
raman
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Dann aktualisiere bitte Antivir nocheinmal, mache ein Rootkitscan mit Antivir und einen komplettscan von Laufwerk c:. Alle Funde bitte in Quarantaene schieben und den kompletten Report dann bitte hier anhaengen!
__________________
MfG Ralf

Alt 12.08.2009, 10:10   #10
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



ich hoffe ich mache dies nun richtig, habe bei avira unter prüfen 2 häckcheb bei rootkits suche gemacht und gestartet, der scan läuft gerade.
komplettscan versuche ich dann auch,hoffe ich bekomm es hin.
<---so was von laienhaft

gruß ganraad

Alt 12.08.2009, 10:44   #11
raman
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Du hast das bis jetzt alles perfekt erledigt, dann ist das doch ein Klacks!
__________________
MfG Ralf

Alt 12.08.2009, 11:13   #12
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



öhm, also ich habe diesen scan nun durch, währenddessen popten immer wieder fenster von avira auf,die mir sagten es seien trojaner da, über hundert davon hießen TR/Dldr.Zlob.IR.
am ende des suchlaufes wurden nochmal 24 viren trojaner gefunden. die unterschiedlich heissen.
nämlich:
TR/Dldr.Fraudlo.sxm
TR/Dropper.gen
TR/vundo.gen
TR/Alureon.30208R
TR/Alureon.20480c.1
TR/CryptXPACK.gen
TR/CrypzZPACK.Gen
TR/Alureon.BF.2
TR/Rootkit.Gen

darunter versteckte dateien:
-windows/system32/braviax.exe

und die enthalten muster von:
-backdoorprogramm BDS/rustock.AN.22(windows/system32/drivers/81daa31e.sys)
-dropper, DR/Dldr.boltolog.hkm(windows/temp/wpv751249806738)

insgesamt habe ich mittlerweile etwa 140 trojaner/viren in quarantäne.

ich wollte den bericht hier reinsetzen aber als ich es durchgehn wollte, sah ich, dass da alles drinnsteht was ich die letzten 3 jahre gemacht habe,
was ich für musik höre, welche vids ich anschaue, auf welchen seiten ich alles war. dies ist mir etwas zu persönlich.

ist das wirklich der bericht, der hier rein soll??

gruß ganraad

edit: da steht sogar was für spiele ich spiele. und wenn ich alle namen ändern mag und alle websites, dann bin ich übermorgen nicht fertig, die datei ist rieeeesengroooooß

Geändert von Ganraad (12.08.2009 um 11:20 Uhr) Grund: nachtrag

Alt 12.08.2009, 11:18   #13
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



edit: da steht sogar drinnen weöche spiele ich spiele, und wenn ich überall meinen namen ändern soll,dann bin ich frühestens heute nacht, wenn überhaupt fertig, die datei ist rieeeesengroooooooß

Alt 12.08.2009, 11:20   #14
raman
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



Oeffne bitte einmal antivir, gehe auf Berichte, waehle rechts den Bericht, mit den "Viren", wenn du diesen oeffnest, kannst du "Report" klicken und da ist er!

Aber Alleine der Rustock reicht eigentlich schon als Grund, den PC neuaufzusetzen!
__________________
MfG Ralf

Alt 12.08.2009, 11:29   #15
Ganraad
 
Trojaner/Virus Befall von AV Care & Co - Standard

Trojaner/Virus Befall von AV Care & Co



ok, genau den bericht meinte ich, der ist echt rieeeesengrooooß!
ich muss gestehn,dass ich den PC seit neukauf(vor über 3 jahren) nicht neuaufgesetzt habe, ist das sehr schlimm?

ich denke das beste ist es ihn platt zu machen, und alles neuzu installieren. ich habe nur ein problem, der PC wurde ohne CD geliefert und ich war so blöd keine recovery cd zu erstellen. Wenn ich eine XP Cd mir irgendwo ausleihe, dürfte es mit meinem key doch auch funktionieren,oder?

wenn ja, hätte ich ne frage: kann ich dateien die jetzt drauf sind noch retten, oder sind die auch infiziert?

vielen lieben dank für die geduld mit mir, ich weiss bin schwierig

gruß ganraad

Antwort

Themen zu Trojaner/Virus Befall von AV Care & Co
abgesicherten modus, analysis, antivir, antivir guard, attention, avg, avira, bonjour, cs3, desktop, einstellungen, hijack, hijackthis, hkus\s-1-5-18, iexplore, internet, internet explorer, logfile, magix, net.net, pc antispyware 2010, pop ups, registry, rundll, sanduhr, sicherheit, software, system, trojaner/virus, ungeschützt, updates, viren, virus/trojaner, windows, windows xp, ändern



Ähnliche Themen: Trojaner/Virus Befall von AV Care & Co


  1. Virus befall von BKA-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 10.11.2014 (3)
  2. System Care Antivirus - Befall
    Log-Analyse und Auswertung - 29.08.2013 (21)
  3. Windows 7: System Care Antivirus Befall
    Log-Analyse und Auswertung - 23.08.2013 (20)
  4. Laptop / Windows Vista Home 32bit/ System Care Antivirus Befall
    Log-Analyse und Auswertung - 20.08.2013 (13)
  5. Sytem Care Anti-Virus Restlos entfernen
    Plagegeister aller Art und deren Bekämpfung - 30.07.2013 (17)
  6. HILFEE!! Virus - System Care Antivirus
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (22)
  7. Befall durch die "System Care Antivirus"-Maleware
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (7)
  8. System Care Antivirus befall
    Log-Analyse und Auswertung - 10.06.2013 (33)
  9. Befall von System Care Antivirus
    Log-Analyse und Auswertung - 10.06.2013 (6)
  10. System Care Anti Virus
    Plagegeister aller Art und deren Bekämpfung - 06.06.2013 (5)
  11. System Care Anti Virus
    Plagegeister aller Art und deren Bekämpfung - 27.05.2013 (31)
  12. System Care Antivirus Befall auf Windows XP
    Log-Analyse und Auswertung - 23.05.2013 (7)
  13. Windows 7 - Befall von System care antivirus
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (35)
  14. XP-Rechner nach "System care antivirus" Befall neu aufgesetzt
    Log-Analyse und Auswertung - 29.04.2013 (9)
  15. Virus / Trojaner-Befall -> keine Ahnung wie zu lösen
    Log-Analyse und Auswertung - 26.02.2009 (1)
  16. Virus-oder Trojaner-Befall (Win32-Problem)
    Log-Analyse und Auswertung - 01.12.2008 (0)
  17. Brauche Hilfe bei Virus oder Trojaner Befall
    Log-Analyse und Auswertung - 19.05.2006 (30)

Zum Thema Trojaner/Virus Befall von AV Care & Co - Einen schönen guten Tag! Gestern hat sich in meinem System ein Virus/Trojaner eingenistet und seitdem habe ich probleme mit Pop Ups die mich auffordern mir eine Antispyware zu besorgen. Also - Trojaner/Virus Befall von AV Care & Co...
Archiv
Du betrachtest: Trojaner/Virus Befall von AV Care & Co auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.