Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/FakeAV.AF restoreData.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.12.2010, 18:36   #1
MbHelm
 
TR/FakeAV.AF restoreData.exe - Standard

TR/FakeAV.AF restoreData.exe



Hallo, ich saß heute wieder an einem "verschmutzen" PC.
Avira fand dort seit Tagen einen Trojaner namens "TR/FakeAV.AF" und "TR/PSW.Zbot.1484"

Nun habe ich Malewarebyts drüber laufen lassen und hoffe doch, alles ertmal einigermaßen gefixt zu haben.

Anbei das aktuelle HijackThis Log. Vielleicht entdeckt ihr noch etwas verdächtiges.

Viele Grüße und Danke vorab.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:24:57, on 09.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Programme\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pando Networks\Media Booster\PMB.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\MSWorks\Kalender\WKCALREM.EXE
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Dokumente und Einstellungen\Jxxxxxr\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BkupTray] "C:\Programme\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Otudoy] rundll32.exe "C:\WINDOWS\ekirogodinireyi.dll",Startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [compatHelplib] rundll32.exe "C:\Dokumente und Einstellungen\Jxxxxxr\Lokale Einstellungen\Anwendungsdaten\d3dHelpPlay\compatHelplib.dll",SystemcfgTask CRLapiTrust
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Microsoft Works Kalender Erinnerungen.lnk = C:\Programme\MSWorks\Kalender\WKCALREM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: Microsoft Works Kalender Erinnerungen.lnk = C:\Programme\MSWorks\Kalender\WKCALREM.EXE (User 'Default user')
O4 - Startup: Microsoft Works Kalender Erinnerungen.lnk = C:\Programme\MSWorks\Kalender\WKCALREM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Programme\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Programme\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Programme\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7763 bytes
         

Alt 09.12.2010, 19:46   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/FakeAV.AF restoreData.exe - Standard

TR/FakeAV.AF restoreData.exe



Zitat:
Avira fand dort seit Tagen einen Trojaner namens "TR/FakeAV.AF" und "TR/PSW.Zbot.1484
Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.


Zitat:
Nun habe ich Malewarebyts drüber laufen lassen und hoffe doch, alles ertmal einigermaßen gefixt zu haben.
Alle Logs davon posten!
__________________

__________________

Alt 11.12.2010, 07:43   #3
MbHelm
 
TR/FakeAV.AF restoreData.exe - Standard

TR/FakeAV.AF restoreData.exe



Danke für die Antwort.

Das Problem sieht so aus:

Egal mit welchem Browser Websites geöffnet werden. (Firefox, IE) Beim Anklicken von Links wird die gewünschte Seite geladen, wenige Sekunden später wird jedoch eine komplett andere Seite aufgerufen. Die neuen Seiten werden aber nicht in einem neuen Tab oder Browserfenster geöffnet (kein Popup), sondern die zuvor aufgerufene Seiten werden "überschrieben".

Selbst nach dem Wiederherstellen des Systems mittels einer Recovery-CD, die bei Neuinstallation des PC direkt nach Kauf erstellt wurde, bleibt dieses Phänomen bestehen.

Der Virus scheint über Java zu funktionieren, da sich vor dem Phänomen das Java-Symbol in der Taskleiste zeigt. Teilweise erschienen auch Meldungen wie "die Anwendung konnte nicht geladen werden" oder "Harddisk-Fehler".
Wobei ich den genauen Wortlaut der Meldungen jetzt nur vom Hören-Sagen kenne.

Werde heute die Festplatte mittels einer Original XP-CD Formatieren und alles neu installieren, in der Hoffnung, den Virus dadurch zu begraben.

Trotzdem vielen Dank.

Hier noch das Malwarebyts Logfile vor dem aufspielen der Recovery.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5281

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.12.2010 17:17:26
mbam-log-2010-12-10 (17-17-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 202141
Laufzeit: 3 Stunde(n), 48 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{fbe11ca6-73e5-4bb1-b5cb-7f374ef930e3}\rp601\a0037235.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{fbe11ca6-73e5-4bb1-b5cb-7f374ef930e3}\RP601\A0037298.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{fbe11ca6-73e5-4bb1-b5cb-7f374ef930e3}\RP601\A0038295.exe (Trojan.FakeAlert) -> No action taken.
c:\dokumente und einstellungen\Jxxxxxr\lokale einstellungen\Temp\0.5226259856170833.exe (Trojan.Dropper) -> No action taken.
         
__________________

Alt 11.12.2010, 13:30   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/FakeAV.AF restoreData.exe - Standard

TR/FakeAV.AF restoreData.exe



Zitat:
Werde heute die Festplatte mittels einer Original XP-CD Formatieren und alles neu installieren, in der Hoffnung, den Virus dadurch zu begraben.
Hört sich an, als wenn mit der Recovery-CD das System nicht richtig neu aufgesetzt wird. Hab ich schonmal von einem anderen TO hier gehört, Ergebnis war, dass die Recovery-Medien den MBR nicht neu geschrieben hatten

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.12.2010, 13:35   #5
MbHelm
 
TR/FakeAV.AF restoreData.exe - Standard

TR/FakeAV.AF restoreData.exe



Danke für die Antwort cosinus,

habe heute Morgen die Festplatte neu Formatiert und anschließend die Recovery wieder aufgespielt. Jetzt läuft alles wieder einwandfrei.


Antwort

Themen zu TR/FakeAV.AF restoreData.exe
adobe, antivir, antivir guard, bho, dateien, desktop, dll, einstellungen, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, microsoft, nvidia, pando media booster, pdf, programme, rundll, software, system, tr/psw.zbot., trojaner, windows, windows xp



Ähnliche Themen: TR/FakeAV.AF restoreData.exe


  1. fakeav.ai trojaner?
    Plagegeister aller Art und deren Bekämpfung - 19.02.2015 (11)
  2. Trojan.FakeAV.LVT
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (11)
  3. Tr/Trash.gen und TR/FakeAv.cpzi
    Log-Analyse und Auswertung - 02.05.2011 (3)
  4. TR/FakeAV Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (1)
  5. Trojaner FakeAV.CMB in C:\Windows\Nsyrea.exe
    Plagegeister aller Art und deren Bekämpfung - 03.08.2010 (21)
  6. TR/fakeAV.AM
    Plagegeister aller Art und deren Bekämpfung - 17.03.2010 (4)
  7. Trojan.FakeAV!gen24
    Plagegeister aller Art und deren Bekämpfung - 13.03.2010 (6)
  8. Trojan.FakeAv.KSP (Engine A)
    Antiviren-, Firewall- und andere Schutzprogramme - 03.03.2010 (3)
  9. TR\FakeAV.C[Trojan] ist es weg?
    Log-Analyse und Auswertung - 14.01.2010 (3)
  10. FakeAV.AM FakeAV.AY
    Log-Analyse und Auswertung - 19.11.2009 (5)
  11. TR/Dldr.FakeAV.nxh & TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (2)
  12. TR/Fakealert.QF, TR/FakeAV.bak.2
    Log-Analyse und Auswertung - 28.10.2008 (5)
  13. TR/FakeAV.bak.2 spyware
    Plagegeister aller Art und deren Bekämpfung - 16.10.2008 (15)
  14. xp-antispy - TR/FakeAV.bak.2'!??
    Plagegeister aller Art und deren Bekämpfung - 13.10.2008 (3)
  15. AntiVir meldet: TR/FakeAV.bak.2
    Plagegeister aller Art und deren Bekämpfung - 11.10.2008 (0)
  16. Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF
    Plagegeister aller Art und deren Bekämpfung - 17.09.2008 (24)
  17. TR/FakeAV.AM
    Plagegeister aller Art und deren Bekämpfung - 06.09.2008 (20)

Zum Thema TR/FakeAV.AF restoreData.exe - Hallo, ich saß heute wieder an einem "verschmutzen" PC. Avira fand dort seit Tagen einen Trojaner namens "TR/FakeAV.AF" und "TR/PSW.Zbot.1484" Nun habe ich Malewarebyts drüber laufen lassen und hoffe doch, - TR/FakeAV.AF restoreData.exe...
Archiv
Du betrachtest: TR/FakeAV.AF restoreData.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.