Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Was tun gegen Fakealert.AAF und Fakescanner.F? (https://www.trojaner-board.de/60656-tun-gegen-fakealert-aaf-fakescanner-f.html)

Lucyfan470 25.09.2008 15:15
Was tun gegen Fakealert.AAF und Fakescanner.F?
 
Hallo,

gestern habe ich mit Antivir meinen gesamten Rechner (XP Home Service Pack 2) gescannt und dabei wurde eine größere Zahl an Trojaner gefunden. (gesamtes Ergebnis siehe unten) Habe bei jedem Fund auf Löschen geklickt, was auch in den Ergebnissen vermerkt wurde.

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 24. September 2008  09:35

Es wird nach 1636327 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    ***
Computername:    ***

Versionsinformationen:
BUILD.DAT    : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  26.06.2008 08:57:49
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 13:54:15
ANTIVIR2.VDF  : 7.0.6.153    3341312 Bytes  12.09.2008 07:33:31
ANTIVIR3.VDF  : 7.0.6.203    346624 Bytes  24.09.2008 07:33:33
Engineversion : 8.1.1.34 
AEVDF.DLL    : 8.1.0.5      102772 Bytes  09.07.2008 08:38:31
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  24.09.2008 07:33:47
AESCN.DLL    : 8.1.0.23      119156 Bytes  24.09.2008 07:33:46
AERDL.DLL    : 8.1.1.2      438644 Bytes  24.09.2008 07:33:46
AEPACK.DLL    : 8.1.2.1      364917 Bytes  24.09.2008 07:33:44
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  24.09.2008 07:33:44
AEHEUR.DLL    : 8.1.0.59    1438071 Bytes  24.09.2008 07:33:42
AEHELP.DLL    : 8.1.0.15      115063 Bytes  09.07.2008 08:38:31
AEGEN.DLL    : 8.1.0.36      315764 Bytes  24.09.2008 07:33:40
AEEMU.DLL    : 8.1.0.7      430452 Bytes  24.09.2008 07:33:38
AECORE.DLL    : 8.1.1.11      172406 Bytes  24.09.2008 07:33:36
AEBB.DLL      : 8.1.0.1        53617 Bytes  24.04.2008 08:50:42
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.2        98344 Bytes  24.09.2008 07:33:34
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 24. September 2008  09:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CAVTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'caissdt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CAVRid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb07.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lphc77cj0e12c.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VetMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISafe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AccVSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\smart.dll
    [FUND]      Ist das Trojanische Pferd TR/PSW.Wow.bht
    [WARNUNG]  Die Datei konnte nicht gelöscht werden!
    [HINWEIS]  Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]  Die Datei wurde gelöscht.

Die Registry wurde durchsucht ( '71' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\ARK17.tmp
    [FUND]      Ist das Trojanische Pferd TR/PSW.Wow.bht
    [WARNUNG]  Die Datei konnte nicht gelöscht werden!
    [HINWEIS]  Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]  Die Datei wurde gelöscht.
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt1.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt17.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt4.tmp
    [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPAntivirus.TA
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt4.tmp.exe
    [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPAntivirus.TA
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt5.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt6.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt7.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt8.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt9.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\pant.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsc3.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsh3.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsi3.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsk3.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsm3.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsm4.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsw3.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nsx8.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-16\pdf.php
    [0] Archivtyp: PDF Stream
    --> Object
      [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Small.CR.2
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-17\pdf.php
    [0] Archivtyp: PDF Stream
    --> Object
      [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Small.CR.2
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-18\pdf.php
    [0] Archivtyp: PDF Stream
    --> Object
      [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Small.CR.2
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-19\pdf.php
    [0] Archivtyp: PDF Stream
    --> Object
      [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Small.CR.2
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\26PHI4JC\live[1].exe
    [FUND]      Ist das Trojanische Pferd TR/PSW.Wow.bci.8
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C0RG0FMH\index[1]
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J2OI56SO\x[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.18944.131
    [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP4\A0000083.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP4\A0000084.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\6KtLcr.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\B3N6Bj.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\BUij9r.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\HLpZiw.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\IFPakW.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\jUDRq0.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\phc77cj0e12c.bmp
    [FUND]      Ist das Trojanische Pferd TR/Fakealert.AAF
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\sysrest.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]  TR/Rootkit.Gen:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys]
    [HINWEIS]  TR/Rootkit.Gen:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_sysrest.sys]
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\uvjOdU.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\vHCW21.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\vwS2SC.syz
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Chksyn.A.7
    [HINWEIS]  Die Datei wurde gelöscht.


Ende des Suchlaufs: Mittwoch, 24. September 2008  11:42
Benötigte Zeit:  2:07:09 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  8745 Verzeichnisse wurden überprüft
 471892 Dateien wurden geprüft
    40 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
    40 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 471850 Dateien ohne Befall
  9613 Archive wurden durchsucht
      4 Warnungen
    40 Hinweise
Es sind wohl fast alle Dateien entfernt wurden, bis auf zwei Ausnahmen, die Antivir immer wieder mittels Warnungsfenster im normalen Betrieb meldet. Wenn diese Fenster erscheinen, klicke ich immer auf Zugriff verweigern, da Löschen anscheinend nichts bringt, weil sie immer wieder erschienen sind, auch wenn ich Löschen gewählt hatte.

1.)
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tt8E.tmp
Ist das Trojanische Pferd TR/FakeScanner.F

2.)
C:\WINDOWS\system32\phc77cj0e12c.bmp
Ist das Trojanische Pferd TR/Fakealert.AAF

Das zweite zeigt mir auf dem Desktop als Hintergrund immer folgendes an:

http://img529.imageshack.us/img529/7360/88438057wi4.jpg

Es bringt auch nichts, die Datei zu löschen, da sie beim nächsten Hochfahren wieder da ist.

Ich hoffe, dass mir jemand weiterhelfen kann.
Lucyfan470

Sternensucht 25.09.2008 15:39
Hallo !
1) Update dein System auf SP 3 und spiele auch sonstige Updates ein.
2) Bearbeite diese Anleitung : http://www.trojaner-board.de/51869-a...fakeale-c.html und poste das gewünschte Logfile.
3) Lass Malwarebytes dein System scannen und poste den Bericht.http://www.trojaner-board.de/51187-a...i-malware.html

Lucyfan470 27.09.2008 14:46
So habe jetzt die ganzen Programme durchkaufen lassen. Scheint geholfen zu haben, Rechner ist wesentlich schneller als vorher.
Hier die Ergebnisse:

Adaware

Code:
Scanmodus:                                Full
Scanzeit:                                00:39:53
Anzahl der gescannten Objekte:                293382
Anzahl gefundener Infekte:                426
  Kritisch:                                6
  Fragwürdige Objekte:                        420
Gelöschte Infekte:                        304
Alle Infekte in Quarantäne:                0
Alle vom Scan ignorierte Infekte:        0

Malwarebytes:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1209
Windows 5.1.2600 Service Pack 2

27.09.2008 09:09:25
mbam-log-2008-09-27 (09-09-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 134641
Laufzeit: 37 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Fly (Spyware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc37cj0e12c (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WMDM PMSP Service (Backdoor.Knocker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc77cj0e12c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\blphc77cj0e12c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc77cj0e12c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HJT:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:23:12, on 27.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [win32ccp] C:\Dokumente und Einstellungen\***\win32ccp\win32ccp.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Unknown owner - C:\Programme\Norton Internet Security\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: COM Host (comHost) - Unknown owner - C:\Programme\Norton Internet Security\comHost.exe (file missing)
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O24 - Desktop Component 0: (no name) - http://www.le-solutions.de/img/heppenheim/t_DSC01593_1.jpg

--
End of file - 10028 bytes
Das escan-Ergebnis erzeugt hat als txt-Datei eine Größe von mehr als 11 MB (entspricht 485 Seiten). Wie soll ich das hier bitte einfügen?

Kann ich jetzt Systemwiederherstellung und Antivir wieder aktivieren?


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131