joke/BlueScrreen.B, TR/Fakealert.AAF, VBS/Agent.1002
 

Hallo

Seit gestern Abend habe ich ein paar Plagegeister auf meinem Computer.
Ich habe den Computer mit `Antivir Personal Edition Classic`durchsucht und anschliessend die gefundenen Sachen löschen lassen.
Aber nach dem Neustart des Computers waren alle wieder da zum Teil mit anderen Dateinamen.

Nachher habe ich nochmals alles mit Antivir durchsucht und mir die Dateien aufgeschrieben die es gefunden hat und liess sie von Antivir nicht löschen sondern ignorieren.

Nun startete ich den Computer im Abgesicherten Modus und Löschte alle Dateien manuell. Aber nach dem Neustart waren einige wieder da.


Es sind diese Plagegeister:

C:/Windows/Inf/alchem.inf konnte ich löschen
C:/Windows/System32/H@tKeysH@@k.DLL konnte ich löschen

C:/Windows/System32/blphcrksj0en1t.scr kommt immer wieder
(Joke/BlueScreen.B)

C:/Windows/System32/phcrksj0en1t.bmp kommt immer wieder
(TR/Fakealert.AAF)

C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/.tt3.tmp.vbs
C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/.tt4.tmp.vbs
(VBS/Agent.1002) kommt immer wieder wenn man es löschen will mit anderem Dateinamen

Mein System Windows XP Professional mit Service Pack 3
Intel Pentium 4, CPU 2 GHZ, 512 RAM

PS: Ein Komisches Hintergrundbild habe ich auch welches ich nicht mehr wegmachen kann, da im Fenster `Eigenschaften von Anzeige` der Menüpunkt mit dem Bildschirmschoner und dem Desktophintergrund fehlen.

Desktophintergrund: Warning. Spyware detected on your computer. Install an Antivirus or spyware ...



Besten Dank im Voraus für die Hilfen

Hallo Hitman 21 :hallo:

Überprüfe dein System bitte mit SuperAntiSpyware und Anti-Malware und poste beide logs.

Ich habe meinen `wirenverseuchten Computer vom internet getrennt, und schreibe nun mit meinem Laptop.

Umdie beiden programme zu downloaden kann ich meinen verseuchten PC ans Internet anschliessen ohne dass der Trojaner irgendwelche Sachen von mir ausspioniert und ins internet schickt?

Also bei den Schädlingen die du im Titel nennst besteht kein zu großes Risiko aber du kannst die Install Dateien auch auf deinen Lappi und dann auf nen USB stick ziehen..

Danke für die schnelle antwort dann werde ich die programme auf nen USB Stick Speichern.

Hallo UNDOREAL

Du Hast geschrieben: Überprüfe dein System bitte mit SUPERAntiSpyware und Anti-Malware und poste beide logs.

Soll ich die gefundenen Dateien löschen lassen oder nur logs erstellen?

Packe sie in die Quarantäne. Damit kann man eigentlich nie was falsch machen..

Danke für die Antwort

Gut werde das so machen

Werde nun die Programme installieren

Habe nun SuperAntiSpyware installiert und währen dem updaten war plötzlich noch ein anderes Programm neu auf dem Desktop erschienen namens Antivirus XP 2008 gehört das zu SuperAntiSpyware oder ist das ein Trojaner oder sonst irgend was?

Antivirus XP 2008 Startete von selbst und durchsuchte das system und nun sagt es Antivirus XP 2008 has found 1516 threats. Its recommended to proceed with removal. jetz kann ich ja oder nein anklicken

was soll ich tun?

Antivirus XP 2008 ist schädlich!

Einfach schließen und nicht verrückt machen lassen wegen der Meldungen. Die sind gefälscht. Zur Not beende den Mist über den Taskmanager.

Ich kann Antivirus XP 2008 nicht schliessen da das Kreuz open reschts nicht aktiv ist und unter dem Taskmanager ist es unter Anwendungen nicht drinnen und unter Prozesse weis ich nicht welcher prozess es ist

Ich habe nun den Computer im abgesicherten Modus gestartet und Antivirus XP 2008 unter dem Startmenü, auf dem Desktop und in c:/Programme/rhcvksj0en1t gelöscht.

Nun ist wenigstens dieser Schädling weg

Habe nun mein System mit Super Anti Spyware durchsucht.
Antivir hat beim durchsuchen mit Super Anti Spyware noch einen Anderen Trojaner namens Dldr.FraudLoa.NC gefunden.

Habe nun beim Super Anti Spyware auf weiter geklickt und es wurden die gefundenen Schädlinge gelöscht und in die Karantäne verschoben.

Nun fragt es mich ob ich den Computer herunterfahren will damit die gefundenen Schädlinge komplett gelöscht werden können. Soll ich das jetzt tun ?

Danke im Voraus

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/25/2008 at 02:29 PM

Application Version : 4.20.1046

Core Rules Database Version : 3546
Trace Rules Database Version: 1535

Scan type : Complete Scan
Total Scan Time : 02:12:49

Memory items scanned : 417
Memory threats detected : 0
Registry items scanned : 6920
Registry threats detected : 3
File items scanned : 137341
File threats detected : 13

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\hansulrich@ad.swissguide[1].txt

Rogue.AntiVirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008

Trojan.FakeAlert/Desktop
HKU\S-1-5-21-2070620897-1754454779-3683679437-1005\CONTROL PANEL\DESKTOP#WALLPAPER
HKU\S-1-5-21-2070620897-1754454779-3683679437-1005\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER
HKU\S-1-5-21-2070620897-1754454779-3683679437-1005\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER

Rogue.AntiVirus 2008
C:\Dokumente und Einstellungen\***\Anwendungsdaten\RHCVKSJ0EN1T
C:\WINDOWS\SYSTEM32\PHCRKSJ0EN1T.BMP

Rogue.MalwareProtector/Variant
C:\WINDOWS\SYSTEM32\1A.TMP
C:\WINDOWS\SYSTEM32\1B.TMP
C:\WINDOWS\SYSTEM32\PPHCRKSJ0EN1T.EXE

NotHarmful.Sysinternals Bluescreen Screen Saver
C:\WINDOWS\SYSTEM32\BLPHCRKSJ0EN1T.SCR

Jo, kannst den Rechner neustarten.

Bei Scans mit den Progs die wir dir hier empfehlen solltest du den AntiVir Guard übrigens generell deaktivieren! Die blockieren sich sonst gegenseitig.

Mache danach dann den Anti-Malware scan -> Funde löschen lassen, log posten und poste danach ein frisches HJT log.

Danke für die Antwort

Ich habe den Antivir Guard deaktiviert aber als das andere programm beim systemdurchsuchen war, kammen trotzdem immer fundmeldungen und ich habe beim antivir fenster immmer ein häkchen bei ignorieren gesetzt

Das war jetzt nicht besonders schlau.. Denn nun ignoriert AntiVir die schädliche Datei..

Aber mach' mal einfach weiter im Text..

wenn Antivir diese Dateien nun dauerhaft ignoriert installiere ich einfach Antivir nachdem die anderen Sachen erledigt sind einfach neu. Damit sollte ja das problem behoben sein dass Antivir diese Ignoriert.

Noch eine grundlegende frage welche Antivirus/Antitrojanerprogramme/.. sollte man installiert haben auf dem Computer um diesen zu durchsuchen.

Ich habe AntiVir Personal Edition Classic
Lavasoft Adaware
Spybot Search and Destroy
AVG Anti Spyware 7.5
Sygate Personal Firewall

Installiert (immer die freeware version)

Das kannst du auch einfacher haben: Einfach in den Einstellungen unter Ausnahmen für den Guard die entsprechneden Einträge wieder entfernen.

Die: solltest du gleich allesamt wieder deinstallieren!
AntiVir + Windows Firewall reicht völlig! Alles andere musst du mit deinem Hirn besorgen!
Die Progs verlangsamen nur unglaub den Rechner, schreiben sich überall rein, blockieren sich gegenseitig, machen die logs unübersichtlich usw...

Und nun mache bitte den Scan mit Anti-Malware, lösche die Funde und poste danach ein frisches HJT log.

Hier nun mein Anti Malware logfile:

Die logdatei habe ich bevor der computer heruntergefahren ist um einige Schädlinge komplett zu löschen, erstellt.

Hi Jack this logfile folgt bald

hiJackThis logfile

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Erstmals danke für die Antwort

Ich habe noch Hijack This offen mit den ergebnissen.
(Muss ich das einfach schliessen und noch nichts löschen.)

einfach hijackthis schliessen und das mit combofix machen?

Genau. Einfach schließen und weiter.

Um alles zu schliessen kann ich dazu in den Taskmanager gehen und alles was bei dem unterfenster Prozesse unter Benutzername meinen Computernamen hat beenden?

Habe alles so gemacht mit den 2 programmen.

Aber als combofix lief öffnete sich plötzlich de Antivir Updater welchen ich mit der Maus wegklicken musste.(ich weiss das ich die Maus und die Tastatur nich benützen sollte,aber was sollte ich tun)

nun hat sich der log.txt im Editor selber geöffnet aber der Computer ist immer noch was am rechnen und die menüleiste unten ist noch nicht erschienen, ist das normal oder muss ich einfach warten?

Der Computer hat nun aufgehört zu rechnen und ich habe den text im Logfile kopiert.
als ich den editor nun geschlossen habe, ist nur noch ein blauer desktophintergrund ohne desktopsymbole oder die Startmenüleiste.

Was soll ich tun?

den Computer einfach mal ausschalten am netzschalter und neustarten?

Der taskmanager würde sich öffnen lassen, könnte ja über den Herunterfahren wählen was soll ich tun?

besten dank im voraus

Habe den Computer neustarten müssen da der Desktop fehlte

Hier nun die logdatei von combofix

Aus unachtsamkeit habe ich vergessen die Windows Wiederherstellungskonsole zu installiern (auf das Combofix - Symbol zu ziehen).

In einem anderen Forenbeitrag hiess es, dass bevor combofix gestartet werden kann die systemwiederherstellung deaktiviert werden soll.
Hätte ich das auch machen sollen, denn ich habe das nicht gemacht da es nicht davon in der antwort in meinem forumbeitrag hiess.

Nach dem posten der logdatei von Combofix habe ich jetzt mal Antivir einen Kompletten Systemscan machen lassen.

Antivir hat noch folgende Schädlinge gefunden:

C:\System Volume Information\_restore{43BCF27A-5C15-4BCF-979E-8D4EE74FB438}\RP2244\A0183700.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoa.NC

C:\System Volume Information\_restore{43BCF27A-5C15-4BCF-979E-8D4EE74FB438}\RP2245\A0183902.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B

C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B

Guten Morgen hier ist noch ein Neues Logfile von Heute Morgen mit HiJackThis erstellt.

Wie oben schon erwähnt hat Antivir leider noch 3 Schädlinge gefunden.:heulen:

Habe die 3 gefundenen Schädlinge im Abgesicherten modus manuell gelöscht.

Nun habe ich den Computer wieder hochgefahren und lasse nun Antivir einen kompletten Systemscan durchführen (Antivir habe ich auf Agressive Einstellung gesetzt wie in einem anderen Beitrag auf Trojaner-Board beschrieben)

Soll ich nachher den Antivir log Posten oder einen Log mit HiJackThis erstellen?

Besten Dank für die super hilfe von dir Undoreal:daumenhoc

Hallo.

Die AntiVir Meldungen waren unbedenklich.

Fixe mit HJT folgende Einträge:
sowie alle ....(no file) und ....(file missing) Einträge.

Danach sollte dein Rechner wieder sauber sein.

Hallo Undoreal

Um die Einträge zu fixen muss ich einfach den suchlauf in HiJackThis nochmal straten und dann ein Häkchen vor die zuvor von dir erwähnten Einträge Setzen?

Ist das richtig so?

Diese prozedur mit HiJackThis muss ich die im Normalen Windows modus machen oder im Abgesicherten Modus?

Besten Dank für die Antwort

Ich habe die Einträge mit HJT gefixt(im Abgesicherten Modus + Systemwiederherstellung deaktiviert wi in der HJT Anleitung beschrieben)O4 -

Der Eintrag:

Startup: PowerReg Scheduler V3.exe

war nicht mehr da, somit konnte ich ihn nicht Fixen

In der Erklärung zu HJT Heisst es:

Anschliessend müssen auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.
Fixen alleine beseitigt die Dateien nicht!

Ich habe jetzt alles gefixt und befinde mich noch im Abgesicherten Modus kann ich jetzt diesen verlassen uns muss ich nachher die systemwiederherstellung erst nach dem neustart des Computers im Normalen Windows Modus wieder aktivieren?

Was ist damit genau gemeint? Alles war in der Quarantäne von SuperAntiSpyware und Anti-Malware löschen?



Besten Dank für die Antwort

Verlasse den abgesicherten Modus und gucke im normalen Modus nach ob der Eintrag Startup: PowerReg Scheduler V3.exe im normalen Modus vorhanden ist. Das kann durchaus sein...

sol ich die systemwiederherstellung bevor ich den abgesicherten modus verlasse wieder aktivieren?

Nö. Erst wieder wenn wir hier fertig sind.

Ich habe nun den Computer wieder im Normalen Windows Modus gestartet und HJT gestartet und einen neuen Scan durchgeführt. Nun habe ich mir das Logfile angeschaut und der Eintrag O4 - Startup: PowerReg Scheduler V3.exe ist nun tatsächlich zu sehen.

Was nun?

Habei nun im Normalen Windows Modus den Eintrag
O4 - Startup: PowerReg Scheduler V3.exe gefixt.
Nachher habe ich den Computer runtergefahren und neu gestartet und nochmals ein neues logfile mit HJT erstellt (siehe unten).
Ich habe den eintrag noch gesucht aber ich konnte ihn nicht mehr finden.
Es scheint jetzt alles gut zu sein oder?

In der Erklärung zu HJT Heisst es:

Anschliessend müssen auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.
Fixen alleine beseitigt die Dateien nicht!

Was ist damit genau gemeint? Alles war in der Quarantäne von SuperAntiSpyware und Anti-Malware löschen?

Jo, wenn du keine Probleme mehr hast dann bist du entlassen. :)

Scheint alles oK zu sein der Computer läuft wider ohne Probleme.

Vielen Dank für die Super Hilfe Undoreal:aplaus::aplaus:

PS: die schädlinge die ich drauf hatte(alchem.inf, H@tKeysH@@k.DLL, Joke/BlueScreen.B,
TR/Fakealert.AAF, VBS/Agent.1002, TR/Dldr.FraudLoa.NC, Antivirus XP 2008) ist bei denen einer dabei der Passwörter und andere sachen ausspioniert hat?

Ich habe Antivir mit den Agressiven einstellungen konfiguriert soll ich das so lassen uder nur wenn es was finde auf die agressive einstellung setzen?

Die programme (Anti-Malware, SuperAntiSpyware; Ccleaner, Combofix; HJt) die du mir immer gesagt hast die ich installierern soll, soll ich deren Quarantäne nun löschen und alle deinstallieren oder würdest du mir eines oder mehrere empfehllen die ich zusätzlich zu antivir auf dem Computer lassen soll um sie zwischendurch zur vorsorge einen kompletten Systemscan zu machen?

Nochmals besten Dank für die Super hilfe:aplaus::daumenhoc

Die Schädlinge die ich drauf hatte(alchem.inf, H@tKeysH@@k.DLL, Joke/BlueScreen.B,
TR/Fakealert.AAF, VBS/Agent.1002, TR/Dldr.FraudLoa.NC, Antivirus XP 2008) ist bei denen einer dabei der Passwörter, Benutzernamen und andere Sachen ausspioniert hat?

Wenn ja sollte ich ja besser alle Passwörter ändern?

Passwörter auf jeden Fall ändern! Was für 'ne Frage--

Alle Progs kannst du deinstallieren! AntiVir reicht collkommen aus.

Hallo,
ich habe das selbe Problem, welches schon von Hitman 21 geschildert worden ist.




[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke. :)

[/edit]