Kaspersky findet trojanisches Programm Trojan.Win32.FakeAV.tcu
 

Hallo,
seit kurzer Zeit findet Kaspersky bei mir einen "Trojaner" und bringt folgende Meldung.
02.01.2011 19:06:51 Gefunden trojanisches Programm Trojan.Win32.FakeAV.tcu\Device\HarddiskVolumeShadowCopy35\Users\Mustermann\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\3c3320ce-5f398365 Hoch
Habe versucht diesen zu entfernen, aber irgendwie klappt das nicht. Mit Kaspersky geht das nicht, weil ich nur die Option überspringen angeboten bekomme. Kann mit diesem Fehler nicht wirklich was anfangen. Habe auch über Goggel nix brauchbares gefunden. Schicke ein Hijackfile mit von heute.
Vielen Dank schon mal.
Gremlingizmo

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo,
danke für Deine Antwort.:lach:Schicke Dir in den Anhängen die gewünschten Logfiles.
Gruß
Gremlingizmo

Hast du die Funde nicht entfernt?

Noch nicht wollte warten auf deine Antwort Prog ist aber noch offen. Funde können jederzeit entfernt werden.
Gruß

Ja bitte alles entfernen!

Hallo,
nach löschen und Neustart bekam ich dann dieses Logfile.
Gruß

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo,
habe CC-Cleaner und CF ausgeführt, wie beschrieben. Schicke Dir hier das Logfile von CF. Gib einfach dann bitte kurz Bescheid, ob nun alles ok ist.

Gruß

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo,
Gmer hat mir kein Logfile erstellt. Das von MBRCheck hänge ich Dir an.
Gruß

4 Platten im Rechner??

Wofür werden diese genutz:

PhysicalDrive2 Model Number: ST31000528AS, Rev:
PhysicalDrive3 Model Number: FUJITSUMHV2060BH PL, Rev:

die haben nämlich einen unbekannten MBR, wenn es nur Datenplatten sind (auf dem kein Betriebssystem installiert ist) ist das so ok.
Hast du Win7 und XP installiert?

Hallo,
habe Win7 installiert.
Physikal Drive2 ist eine externe 1Terra Festplatte von IOMEGA.
Physikal Drive3 ist auch eine Externe. das ist die aus meinem alten Laptop und da war XP drauf.

Was ist das für eine Datei normalerweise.$RECYCLE.BIN. Habe diese auf dieser Platte aus dem Laptop und auf meiner D-Platte ( ist eine Partion von C ).

Gruß

RECYCLE ist für den Papierkorb :rolleyes:

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,
das dieses ein Papierkorb ist, war mir schon klar, aber was macht der auf meiner D- Partition? Auf der von meinem alten Laptop versteh ich das ja noch, weil da mal ein Betribssys. drau war, aber auf einer Partition :confused::confused::confused:.
Hänge die 2 Logfiles an.
Diese Meldung bei superanti sind POI finder Prog. meines Navis.

Trojan.Agent/Gen-FakeAlert
C:\DOKUMENTE UND EINSTELLUNGEN\GREMLIN\EIGENE DATEIEN\DOWNLOADS\WEBINSTALLERBECKER POI\POI FINDER 3.5 BECKER WEB DOWNLOADER.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\GREMLIN\EIGENE DATEIEN\DOWNLOADS\WEBINSTALLERBECKER_1\POI FINDER 3.5 BECKER WEB DOWNLOADER.EXE

Bei denen weiß ich nicht, was das ist.

Adware.Tracking Cookie
C:\Users\Gremlin\AppData\Roaming\Microsoft\Windows\Cookies\gremlin@atdmt[1].txt

Rogue.Pallidium
(x86) HKU\S-1-5-21-2198741025-448658465-3649031003-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS#WARNONPOSTREDIRECT.

Gruß

Wasn das? :wtf:

Hallo,
Diese Meldung bei superanti sind POI-finder (point of interese ) ( Blitzer ) Downloads meines Navis.
Ich weiß mit denen nix anzufangen:

Rogue.Pallidium
(x86) HKU\S-1-5-21-2198741025-448658465-3649031003-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS#WARNONPOSTREDIRECT.

Adware.Tracking Cookie
C:\Users\Gremlin\AppData\Roaming\Microsoft\Windows\Cookies\gremlin@atdmt[1].txt

Was ist denn Deiner Meinung nach im Moment als Internetschutz am Besten geeignet. Kaspersky läuft in einer Woche aus.
Gruß

Ein Cookie und ein Überrest, IMHO harmlos.

Ein Virenscanner allein macht nichts sicher. Aber wenn es einer sein muss, würde ich mir mal an deiner Stelle den kostenlosen MS Security Essentials mal ansehen.

Und halte Dich unbedingt grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Rechenr ansonsten wieder ok oder noch andere Probleme offen?

Hallo,

da die Meldungen nix gravierendes sind, wäre bei mir sonst alles ok.
Vielen Dank Dir :dankeschoen: für die Zeit. Hoffe ich muß mich nicht so schnell wieder melden.
Unbekannte Mails landen eh im Spamordner durch web.de. Ist so eingestellt. Falls Sie doch durchkommen werden die ungelesen gelöscht :snyper:. Hab für Mails Outlook 2007.
Für die Aktualisierung ist Auto eingestellt.
Gesurft wird mit Firefox. Ab und zu mit Chrome aber sehr selten.
Das mit den Backups könnte ich öfters machen.:stirn:.
Was meinst Du mit eingeschränkten Rechten:wtf:.
Ist Kaspersky als Security Prog. ok?
Gruß

Wenn du in der Systemsteuerung ein Benutzerkonto erstellt, musst du definieren, welche Rechte er haben soll. Wenn ein Benutzerkonto Adminrechte hat, kann er alles am Rechner ändern und somit auch Windows "kaputtmachen" - mit eingeschränkten Rechten (normalen Benutzerrechten) kann dich nicht mal eben so passieren. Für die alltägliche Nutzung des Rechnern solltest du daher nicht mit Adminrechten rein gehen. Nur wenn wirklich was installiert oder das System administriert werden muss sind Adminrechte erforderlich. Aber nicht zum Sufen, Mailen oder sonstige Routineaufgaben.

Alles klar.

:dankeschoen::dankeschoen::dankeschoen:
:Boogie::applaus::huepp:

werde Euch weiterempfehlen.
:daumenhoc
Tommy

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.