| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.FakeSpyguard!IKWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.10.2009, 00:59
| #1 |
 |  Trojan.Win32.FakeSpyguard!IK Einen schönen guten Tag wünsche ich dem TROJANER-BOARD-TEAM und allen Usern! Seit geraumer Zeit hat sich auf meinem Computer, wie mir nun bekannt ist, ein Trojaner eingeschlichen... Ich bekomme seit längerem beim starten von diversen Programmen diese Fehlermeldung: Windows - Kein Datenträger Exception Processing Message c0000013 Parameters 75b0bf7c 4 75b0bf7c 75b0bf7c Bei der Fehlermeldung habe ich die Optionen Abbrechen, Wiederholen und Weiter. Wenn ich etliche male auf Abbrechen klicke, so kann ich das aufgerufene Programm starten. Es kommt beispielsweise bei Programmen wie dem Browser (Opera), X-Fire, A-Squared Antimaleware etc... Zusätzlich habe ich in meinem Arbeitsplatz ein Laufwerk namens E, welches eine Festplatte darstellen soll, auf die ich aber nicht zugreifen kann. Ich habe ausschließlich zwei und diese heiße C und D und sind voll funktionsfähig. Spich durch irgendein Ereignis habe ich ein weiteres Laufwerk dazu bekommen. [Die Klärung dieses Problems wäre erst einmal unwichtig, solange der Trojaner bekämpft werden kann! Vielleicht hängt es aber auch zusammen, da sich der Trojaner auf dem Pfad "\\?\..." befindet. Siehe weiter unten,] Zu meinem Computer: Ich haben einen 3.8Ghz AMD mit dem Betriebssystem Windows XP. Es sollte sich um diesen "Bösewicht" handeln: Trojan.Win32.FakeSpyguard!IK Er befindet sich unter dem Pfad: \\?\globalroot\systemroot\system32\UACxfqxrlnr.dll (Ich habe das Fragezeichen nicht eingefügt um etwas zu verbergen, der Scanbericht hat es mir so angezeigt!!!) Die Informationen habe ich via A-Squared Anti-Maleware erhalten, als ich einen Scan durchgeführt habe. Teils bekomme ich die Meldung, dass dieser Eintrag nicht gelöscht werden kann und teils kann ich ihn löschen. Was eigentlich relativ egal ist, da er bei jedem erneutem Scan wieder auftaucht. Ich habe nach dem Trojaner gegoogelt und lediglich auf einigen Englischsprachigen Seiten gefunden, dass man nur über Neuinstallation des Systems diesen entfernt bekommt. Ich bitte euch um Hilfe, mir bei diesem Problem zu helfen und wäre euch sehr dankbar!!! Eine Neuinstallation käme sehr ungelegen somal ich meine Daten, die ich mit unter für meine Arbeit benötige, nicht sichern kann. (keine externe Festplatte etc. vorhanden) Ich danke euch jetzt schon einmal für eure Hilfe! Ich zähle auf euch! Mit freundliche Grüßen, Chaos! Anhang: Hier noch der Scanbericht von A-Squared Anti-Maleware: a-squared Anti-Malware - Version 4.5 Letztes Update: 18.10.2009 19:13:05 Scan Einstellungen: Scan Methode: Schnelltest Objekte: Speicher, Traces, Cookies Archiv Scan: An Heuristik: Aus ADS Scan: An Scan Beginn: 19.10.2009 02:07:42 \\?\globalroot\systemroot\system32\UACxfqxrlnr.dll gefunden: Trojan.Win32.FakeSpyguard!IK Gescannt Dateien: 367 Traces: 670769 Cookies: 540 Prozesse: 40 Gefunden Dateien: 7 Traces: 0 Cookies: 0 Prozesse: 0 Registry Keys: 0 Scan Ende: 19.10.2009 02:08:52 Scan Zeit: 0:01:10 Geändert von Chaos-Crew (19.10.2009 um 01:14 Uhr) |
|
19.10.2009, 05:56
| #2 |
| |  Trojan.Win32.FakeSpyguard!IK Bitte HijackThis Log posten
__________________ |
|
19.10.2009, 11:05
| #3 |
| | Trojan.Win32.FakeSpyguard!IK Hallo nochmals,
__________________hier die Hijackthis-file: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:48:13, on 19.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\a-squared Anti-Malware\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\XXX-COMPUTER\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\temporary_downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: D - {890ACEB2-86C1-3A4E-814A-D36D474635B9} - (no file) O2 - BHO: (no name) - {934db231-90da-41b9-9951-95c0474c5eea} - (no file) O2 - BHO: (no name) - {C5BF49A2-94F3-42BD-F434-3604812C8955} - (no file) O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programme\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t O4 - HKUS\S-1-5-20\..\Run: [samasuruzu] Rundll32.exe "C:\WINDOWS\system32\kukolare.dll",s (User 'NETZWERKDIENST') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - h**p://messenger.zone.msn.com/MessengerGamesContent/GameContent/Default/mjss/MJSS.cab109791.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/MessengerGamesContent/GameContent/Default/uno1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229953825612 O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - h**p://messenger.zone.msn.com/MessengerGamesContent/GameContent/Default/luxr/mjolauncher.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{72704054-4FFB-4C9E-8CDC-CF05A88055FA}: NameServer = 213.191.74.11 213.191.92.82 O20 - AppInit_DLLs: ekhiss.dll C:\WINDOWS\system32\neremije.dll c:\windows\system32\marujate.dll O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\ O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 5653 bytes |
|
21.10.2009, 07:20
| #4 |
| | Trojan.Win32.FakeSpyguard!IK Einen schönen guten Morgen wünsche ich dem TROJANER-BOARD-TEAM. Ich möchte lediglich kund tun, dass ich nun für ca. eine Woche nicht aktiv an diesem Geschehnis teilnehmen kann, da ich mich auf einer Auslandsmontage befinde. Vielleicht hat sich ja bis dahin etwas gefunden, wie man das Problem beheben kann. Wenn in der Zeit weitere Informationen, Scans, Berichte etc. gefordert werden, bitte ich das nicht nachkommen dieser Sachen zu entschuldigen, da ich wie oben bereits genannt, nicht anwesend bin. Besten Dank für die Bemühungen von meiner Seite und eine angenehme ruhige Woche. Mit freundlichen Grüßen, ChAoS! |
|
| Themen zu Trojan.Win32.FakeSpyguard!IK |
| antimaleware, fehlermeldung, laufwerk, nicht sicher, system32, traces, trojan.win32.fakespyguard!ik, windows |
