TR/FakeAV.AM
 

Hallo liebe Helfer!

Soweit ich das gesehen habe bin ich natürlich nicht die Erste mit diesem Trojaner, wo man diese falsche Antivirusprogramminstallations-Meldung bekommt. Ich habe es bisher tunlichst vermieden auf "I Agree and Install" zu klicken und habe auch schon zweimal einen Virusscan laufen lassen. Beim ersten Mal wurden 6 Viren gefunden, von denen (angeblich?) 5 gelöscht wurden, aber einer ist wohl besonders hartnäckig. Auch nach dem 2.Scan kriege ich folgende Meldung:

Und obwohl Datei gelöscht angezeigt wird, ist das Ding ja offensichtlich immer noch da. Mein Internet funktioniert nicht mehr richtig, sprich Seiten von der Google-Suche werden umgeleitet oder ich kriege überhaupt keinen Zugriff (u.a. auch nicht auf "virustotal" oder malwarebytes). Außerdem kann ich Desktophintergrund und Design nicht mehr ändern. Als ich die Suchfunktion gestartet habe, ist der Rechner abgestürzt ... bzw. ist er in den letzten 3 Stunden an die 5 Mal abgestürzt.

Was kann ich tun? Ich behaupte mal, ich bin nicht komplett hilflos in Sachen Computer, aber mittlerweile weiß ich mir dann doch nicht mehr zu helfen. :(

ich hoffe, es funktioniert....

nachdem ich HJT nicht runterladen kann, weil ich keinen Zugriff auf die Seite kriege, poste ich jetzt mal die Reports von meinen 2 Scans.

Nummer 1 mit 6 Viren:

[QUOTE]

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 6. September 2008 18:39

Es wird nach 1599979 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 000****
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: JAKE

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 22.07.2008 14:23:10
AVSCAN.DLL : 8.1.4.0 48897 Bytes 22.07.2008 14:23:10
LUKE.DLL : 8.1.4.5 164097 Bytes 22.07.2008 14:23:10
LUKERES.DLL : 8.1.4.0 12545 Bytes 22.07.2008 14:23:10
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 18:49:32
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 12:11:54
ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 12:15:58
ANTIVIR3.VDF : 7.0.6.124 202240 Bytes 05.09.2008 16:37:18
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 01.05.2008 22:16:10
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 04.09.2008 12:15:06
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 18:14:00
AERDL.DLL : 8.1.1.1 397683 Bytes 04.09.2008 12:15:04
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 18:14:00
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 04.09.2008 12:15:02
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 04.09.2008 12:15:02
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 21:48:56
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 20:31:16
AEEMU.DLL : 8.1.0.7 430452 Bytes 14.08.2008 20:30:38
AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 12:14:56
AEBB.DLL : 8.1.0.1 53617 Bytes 22.07.2008 14:23:10
AVWINLL.DLL : 1.0.0.12 15105 Bytes 22.07.2008 14:23:10
AVPREF.DLL : 8.0.2.0 38657 Bytes 22.07.2008 14:23:10
AVREP.DLL : 8.0.0.2 98344 Bytes 14.08.2008 20:30:34
AVREG.DLL : 8.0.0.1 33537 Bytes 22.07.2008 14:23:10
AVARKT.DLL : 1.0.0.23 307457 Bytes 01.05.2008 22:16:08
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22.07.2008 14:23:10
SQLITE3.DLL : 3.3.17.1 339968 Bytes 01.05.2008 22:16:08
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22.07.2008 14:23:10
NETNT.DLL : 8.0.0.1 7937 Bytes 01.05.2008 22:16:08
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 22.07.2008 14:23:04
RCTEXT.DLL : 8.0.52.0 86273 Bytes 22.07.2008 14:23:04

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 6. September 2008 18:39

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Icq.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '.tt27D.tmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lphcv1cj0er1q.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\lphcv1cj0er1q.exe'
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurde
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsuc

Aloa,
Bitte die genauen Funde bzw. den Report posten!

Poste auch ein regelkonformes Hijackthis Logfile.

Edit:
Der Report ist nicht vollständig und HijackThis kannst du von mir haben => Klick

sorry, ich versuchs, aber wenn ich was posten will, hängt sich der browser auf

Dann lade es bei file-upload.net oder bei Rapidshare hoch (als .txt oder .log-Datei).
Wenn das auch nicht geht, mach notfalls Screenshots von den Logfiles, die sind nämlich relevant für die nächsten Schritte.

vielleicht geht's, wenn ich nur den 2. teil vom report poste

(HJT lässt sich auch nicht installieren... wenn ich unpacken will, krieg ich ne fehlermeldung "header ist beschädigt" und dann geht gar nix)

Okay,
dann lassen wir das mit dem Hijackthis.
Wichtiger ist momentan der Report von Avira und das du (wenn wir hier fertig sind) das SP3 aufspielst und den IE7 installierst (falls das noch nicht getan wurde).

danke für deine geduld...aber ich kann irgendwie keinen langen posts machen.... ich versuche den 2. teil vom report zu posten:



Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mm_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QtZgAcer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'INSTAL~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'anbmServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Prozess 'lphcv1cj0er1q.exe' wird beendet
C:\WINDOWS\system32\lphcv1cj0er1q.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Frauder.dk
[HINWEIS] Die Datei wurde gelöscht.

Es wurden '45' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '71' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\phcv1cj0er1q.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4925b441.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Poisie\Lokale Einstellungen\Temp\.tt4.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4936b60b.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Poisie\Lokale Einstellungen\Temp\nsx3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492eb623.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Poisie\Lokale Einstellungen\Temp\nst281.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492eb62f.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Poisie\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MXTEBY5O\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> Flash9.ocx
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <ACERDATA>


Ende des Suchlaufs: Samstag, 6. September 2008 19:02
Benötigte Zeit: 22:47 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3627 Verzeichnisse wurden überprüft
182256 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
182248 Dateien ohne Befall
6314 Archive wurden durchsucht
4 Warnungen
5 Hinweise

Okay, dann folge den Schritten genau nach der Reihenfolge:

1.)
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort reinigen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware:

• Lade dir MalwareBytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

3.)
SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  http://img.bleepingcomputer.com/swr-...ix-install.jpg
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Kann Schritt 1) und 2) nicht durchführen, da die Seiten nicht geladen werden. IE7 kann ich auch nicht runterladen. :-( Schritt 3) würde gehen, aber das wird dann wohl auch schon egal sein, oder!?

Naja, unter diesen Umständen wäre ein Neuaufsetzen sicherlich das Beste - Führe SDFix trotzdem aus, damit Windows wieder umgangsfreundlicher wird. ;)

ok, mach ich.

falls ich mich nicht mehr melde, ist mein Computer explodiert... oder ich hatte endgültig einen Nervenzusammenbruch ;-)

auf jeden Fall, danke danke danke für deine bisherige Hilfe

Ersteres wird schon nicht passieren, aber das Zweite wäre durchaus zu verstehen. ;)
Wichtig ist, das du dich genau an die Anleitung für SDFix haltest, sonst kann das mit dem Explodieren schon plausibel werden :p

soooo, da bin ich wieder und es hat natürlich NICHT funktioniert... is wohl mein schlechtes Karma *g*

der computer lässt sich nicht im abgesichterten Modus hochfahren, da kommt erstmal gar nix und dann Bluescreen mit Fehlermeldung "Computer wird zum Schutz heruntergefahren"... habe jede Variante ausprobiert *seufz*

lässt sich SDFix auch im normalen Modus ausführen oder hat das dann null Nutzen?

Hm schlecht, dann lassen wir uns SDFix schenken und gehen zu dem über:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

tjo, wie gehabt, auch ComboFix lässt sich net runterladen :-( ... CCleaner schon

hach ja, so langsam verlier ich die Hoffnung ...

Na wenn all das nicht klappt bleibt nur ein sauberes Neuaufsetzen an der Tagesordnung.
Schon allein, das du nicht in den Safe Mode kommst, lässt auf einen gefährlichen Wurm der Kategorie Bagle hinzuordnen, dies sind aber nur nicht bewiesene Thesen..

Hast du schonmal BlackLight probiert?

verdammt... war ja klar, dass wenn ich mir mal was einfange, es gleich der Supergau ist 8-)

Blacklight probiert? Im Sinne von, kann ich auf die Webpage zugreifen? Nein, kann ich nicht, also hat sich das wohl erledigt.

Ok, also Neuaufsetzen... das werde ich aber nicht selber machen, sondern machen lassen. *g* Dazu eine Frage (die wahrscheinlich gleich in die "Mädchen haben echt keine Ahnung"-Kategorie kann ;-)): Ich hab diesen Acer eManager (mit Recovery und Settings). Bringt mir das beim Neuaufsetzen was?

Nochmal danke für die Hilfe!! :)

Also wenn du einen Zweitrechner hast, könntest du die Programme offline aufspielen..

Zum Neuaufsetzen:
Ich würde mich nicht auf das Acer-Gelumpe (sorry des Ausdrucks) stürzen, wenn du Neuaufsetzen willst, folge der Board-Anleitung, dann wird auch nichts schief gehn. Am besten einzelne/schwierige Schritte oder die komplette Anleitung ausdrucken, das macht das um einiges einfacher!

solong..

oh, ok, just checking *g*

nee, hab in meiner Studentenbude leider nur meinen kleinen Schlepptop. ;)

naja, vielleicht finde ich ja noch jemanden, der sich mein Problem mal hier vor Ort ansehen kann. in diesem Sinne ein herzliches Dankeschön für die kompetente (und vor allem schnelle!) Online-Hilfe. ich lass euch wissen, wenn und ob meine noch folgenden Rettungsversuche von Erfolg gekrönt sind. *g*

Thank you and bye bye!

Kein Problem,
viel Erfolg beim Neuaufsetzen! :party:

Ciao und gute Nacht,

mfg