Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.05.2010, 18:59   #1
flx
 
Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg? - Frage

Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?



Ich hatte mir irgendwie dieses Fake Virus Programm eingefangen, welches sich ständig in den Vordergrund schiebt und vermeintliche Trojaner ect meldet um mich zu überzeugen die volle Lizenz zu erwerben.

Nach ein wenig suchen habe ich dann eine Anleitung gefunden und den Weg mit CCCleaner, rKill und Anti-Malware probiert, was auch zum Erfolg geführt hat.

Siehe dort:
h**p://www.bleepingcomputer.com/virus-removal/remove-antivirus-system-pro

Folgendes hat Anti-Malware aufgespürt:
Zitat:
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nguanlll (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Users\***\AppData\Local\ccwpnrufr\dvdmvbttssd.exe (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.
Vielleicht kann mir jemand helfen und anhand der HiJack Logs sehen ob noch Reste von dieser garstigen Software vorhanden sind.
Vielen dank schonmal und wenn noch etwas elementares an Info´s fehlt lasst es mich wissen (tuts mir leid, bin auf dem Gebiet nicht grad fit)


Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:46, on 05.05.2010
Platform: Windows 7 (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\pdf24\PDFBackend.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\U46Pan.exe
C:\Windows\System32\AlphaTrackApplet.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Windows\system32\igfxext.exe
C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PDFPrint] "D:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [dfmirage-Install] "C:\Windows\temp\DFI-8U3290.exe" -u2 "dfmirage"
O4 - HKLM\..\Run: [JamInit] U46Pan.exe
O4 - HKLM\..\Run: [StartAlphaTrackApplet] AlphaTrackApplet.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: E-MU Audio Service (emaudsv) - E-MU Systems - C:\Windows\system32\emaudsv.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: TipCtrl - Unknown owner - C:\Program Files\uTIPu\TipCtrl.exe (file missing)
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 7635 bytes

Alt 06.05.2010, 16:33   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg? - Standard

Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?



Hallo,

Zitat:
Folgendes hat Anti-Malware aufgespürt:
Bitte das Logfile komplett posten.
__________________

__________________

Alt 06.05.2010, 18:20   #3
flx
 
Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg? - Standard

Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?



alles klar, dann hier nochmal komplett:

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

05.05.2010 13:05:53
mbam-log-2010-05-05 (13-05-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 419437
Laufzeit: 1 Stunde(n), 41 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nguanlll (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Local\ccwpnrufr\dvdmvbttssd.exe (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.
__________________

Alt 06.05.2010, 20:24   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg? - Standard

Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?



Malwarebytes war da leider nicht ganz aktuall. Bitte das Tool updaten und einen Vollscan wiederholen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.05.2010, 23:25   #5
flx
 
Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg? - Standard

Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?



also nach nem update (4069) findet er nix mehr. kann ich davon ausgehen das ich "sauber" bin?


Alt 07.05.2010, 13:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg? - Standard

Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?





Wann hast Du das denn aktualisiert? Wir sind jetzt aktuell (eben nachgeschaut) bei 4074!
__________________
--> Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?

Antwort

Themen zu Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?
adobe, alert, alles weg, antivirus, avsuite, bho, bonjour, browser, cdburnerxp, explorer, fake virus, firefox, google, gupdate, hijack, hijackthis, internet, internet explorer, launch, local\temp, logfile, malwarebytes' anti-malware, mozilla, programm, realtek, rkill, security, senden, software, temp, trojan.fraudpack, trojaner, virus, windows, windows security, windows security alert



Ähnliche Themen: Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?


  1. Gema-Virus - wirklich alles entfernt?
    Plagegeister aller Art und deren Bekämpfung - 30.01.2012 (7)
  2. AntiVirus Software Alert / Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 15.01.2011 (19)
  3. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (1)
  4. Think Point - Fake Malware - wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (1)
  5. Security Tools - Entfernt, aber wirklich alles?
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (5)
  6. Fake Microsoft Security Essentials Alert
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (24)
  7. Antivirus 2010 Security Centre - wirklich vollständig entfernt?
    Log-Analyse und Auswertung - 23.09.2010 (19)
  8. Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (26)
  9. Windows Security Alert / AV Security Suite / Antivirus Software Alert / gefakter AV lähmt PC
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  10. antivirus windows security alert hats sich nstalliert
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (1)
  11. selbe problem mit Windows Security Alert - Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (3)
  12. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (21)
  13. Windows Security Alert / AV Security Suite / Antivirus Software Alert// Ohne Internet
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (1)
  14. wscsvc32.exe + richtx64.exe = fake security alert
    Plagegeister aller Art und deren Bekämpfung - 30.12.2009 (11)
  15. Fake-Alert? Wie gefährlich? Angebliche Windows-Antivirus-Warnung
    Plagegeister aller Art und deren Bekämpfung - 07.11.2009 (2)
  16. Micro Antivirus 2009 entfernt----PC wirklich sauber??
    Log-Analyse und Auswertung - 20.09.2008 (21)
  17. Antivirus 2008 wirklich ganz entfernt?
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (11)

Zum Thema Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg? - Ich hatte mir irgendwie dieses Fake Virus Programm eingefangen, welches sich ständig in den Vordergrund schiebt und vermeintliche Trojaner ect meldet um mich zu überzeugen die volle Lizenz zu erwerben. - Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?...
Archiv
Du betrachtest: Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.