Home » Viren, Trojaner & Malware Forum » ErrorSafeScannerInstall_de[1].exe » Themenansicht

ErrorSafeScannerInstall_de[1].exe
#0
06.09.2006, 12:26
ucherontour
...neu hier

Beiträge: 3
#1 Hallo!

Ich habe mir Montagabend bei CC Covers das vcd Cover von x-men 1 und 2 runtergeladen und dabei mir die Datei

ErrorSafeScannerInstall_de[1].exe

eingefangen!

Habe die Aufforderung zur Installation natürlich nicht befolgt und gleich abgebrochen.

Trotzdem habe ich nun mit dieser Datei Probleme.

Ich benutzte den BitDefender9 (mit allen updates) und dieser bringt die Meldung:

VIRUS ALARM
Datei:\dokumente und einstellungen\ucherontour\lokale einstellungen\temporary internet files\content.ie5\byq5akcd\ErrorSafeScannerInstall _de[1].exe

Infiziert: Trojan.Downloader.Winfixer.D

Aktion: BitDefender hat den Virus blockiert. Ihr Computer wurde nicht infiziert.

Ich dachte schon, dass nun alles gut sei, aber bei jedem Neustart bringt BitDefender diese Meldung wieder.

Habe es mit folgenden Programmen versucht:
BitDefender, Spybot, ad-aware, tsc, stng260, ...

Ich bekomme die Datei nicht richtig gelöscht.

Wenn ich Bitdefender ausführe und nach Spyware suchen lasse, habe ich als Befehl "Löschen" ausgewählt. Das funktioniert auch.

Dann lasse ich den CC Cleaner alles sauber machen, suche erneut und finde die Datei nicht mehr. Super! Dann starte ich neu und schon wieder ist die Datei da!

Datei:\dokumente und einstellungen\ucherontour\lokale einstellungen\temporary internet files\content.ie5\byq5akcd\ErrorSafeScannerInstall _de[1].exe

Habe dann das Verzeichnis aufgerufen und versucht es manuell zu löschen.
Auch ohne Erfolg.

Die Systemwiederherstellung habe ich schon seit Monaten ausgeschaltet! Daran kann es auch nicht liegen.

Was kann ich noch tun?

Möchte nicht die ganze Festplatte wieder killen und alles neu installieren.

Hier mein HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:29:34, on 06.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sicherheits-Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sicherheits-Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe "
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Video-Programme\Webcam\ISStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\Video-Programme\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\Handy\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Video-Programme\Webcam\ManifestEngine.exe boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Sicherheits-Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131300384218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131561324085
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)




Ich bitte um Hilfe, da ich kurz davor bin durchzudrehen!
Seitenanfang Seitenende
06.09.2006, 12:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2006, 13:01
ucherontour
...neu hier

Themenstarter

Beiträge: 3
#3 Datentr„ger in Laufwerk C: ist Festplatte 1
Volumeseriennummer: A0F0-7491

Verzeichnis von C:\WINDOWS\system32

06.09.2006 12:56 81.984 bdod.bin
06.09.2006 12:55 69 getfile.dat
06.09.2006 12:32 2.422 wpa.dbl
17.08.2006 17:44 383.254 perfh009.dat
17.08.2006 17:44 53.608 perfc009.dat
17.08.2006 17:44 394.500 perfh007.dat
17.08.2006 17:44 64.598 perfc007.dat
17.08.2006 17:44 906.552 PerfStringBackup.INI
28.07.2006 13:30 3.079.168 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:42 617.472 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:25 1.497.088 shdocvw.dll
23.06.2006 13:25 670.208 wininet.dll
23.06.2006 13:25 474.624 shlwapi.dll
23.06.2006 13:25 357.888 dxtmsft.dll
23.06.2006 13:25 251.904 iepeers.dll
23.06.2006 13:25 532.480 mstime.dll
23.06.2006 13:25 146.432 msrating.dll
23.06.2006 13:25 448.512 mshtmled.dll
23.06.2006 13:25 15.872 jsproxy.dll
23.06.2006 13:25 55.808 extmgr.dll
23.06.2006 13:25 39.424 pngfilt.dll
23.06.2006 13:25 205.312 dxtrans.dll
23.06.2006 13:25 96.768 inseng.dll
23.06.2006 13:25 1.056.256 danim.dll
23.06.2006 13:25 152.064 cdfview.dll
23.06.2006 13:25 1.022.976 browseui.dll
23.06.2006 11:09 104.960 xpsp3res.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
06.06.2006 20:51 0 00B11DD0_kds.xml
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll




Datentr„ger in Laufwerk C: ist Festplatte 1
Volumeseriennummer: A0F0-7491

Verzeichnis von C:\DOKUME~1\HOLGER~1\LOKALE~1\Temp

06.09.2006 12:57 8.158 LVCOMSX.LOG
06.09.2006 07:35 1.212.416 ~DFA897.tmp
06.09.2006 07:34 32.768 ~DFFA3A.tmp
06.09.2006 07:34 16.384 ~DFCD59.tmp
06.09.2006 07:24 49.152 ~DF481F.tmp
06.09.2006 07:24 32.768 ~DFA07F.tmp
06.09.2006 07:24 16.384 ~DF1DF8.tmp
06.09.2006 07:19 125.350 77f6_appcompat.txt
06.09.2006 07:15 49.152 ~DF8454.tmp
06.09.2006 07:14 32.768 ~DFBA86.tmp
06.09.2006 07:14 16.384 ~DF1E98.tmp
06.09.2006 06:56 49.152 ~DF7120.tmp
06.09.2006 06:56 32.768 ~DFB6AC.tmp
06.09.2006 06:55 16.384 ~DF14CF.tmp
06.09.2006 06:46 49.152 ~DF61E7.tmp
06.09.2006 06:46 32.768 ~DFA57B.tmp
06.09.2006 06:45 16.384 ~DF14C5.tmp
05.09.2006 23:49 1.212.416 ~DF9AEB.tmp
05.09.2006 23:46 49.152 ~DFEA29.tmp
05.09.2006 23:46 32.768 ~DFDFC3.tmp
05.09.2006 23:46 16.384 ~DFBDC5.tmp
09.05.2006 22:38 726.681 fn222c757d.CHM_1031
22 Datei(en) 3.825.693 Bytes
0 Verzeichnis(se), 120.644.833.280 Bytes frei





Datentr„ger in Laufwerk C: ist Festplatte 1
Volumeseriennummer: A0F0-7491

Verzeichnis von C:\

06.09.2006 12:59 0 sys.txt
06.09.2006 12:59 4.561 system.txt
06.09.2006 12:58 1.339 systemtemp.txt
06.09.2006 12:58 107.438 system32.txt
06.09.2006 12:31 1.610.612.736 pagefile.sys
08.11.2005 23:16 211 boot.ini
08.11.2005 22:31 0 AUTOEXEC.BAT
03.11.2005 22:23 47.564 NTDETECT.COM
03.11.2005 22:23 251.184 ntldr
03.11.2005 21:59 0 CONFIG.SYS
03.11.2005 21:59 0 IO.SYS
03.11.2005 21:59 0 MSDOS.SYS
18.08.2001 12:00 4.952 bootfont.bin
13 Datei(en) 1.611.029.985 Bytes
0 Verzeichnis(se), 120.644.820.992 Bytes frei







Datentr„ger in Laufwerk C: ist Festplatte 1
Volumeseriennummer: A0F0-7491

Verzeichnis von C:\WINDOWS

06.09.2006 12:55 803 win.ini
06.09.2006 12:49 1.523.668 WindowsUpdate.log
06.09.2006 12:32 157 wiadebug.log
06.09.2006 12:32 50 wiaservc.log
06.09.2006 12:31 2.048 bootstat.dat
06.09.2006 12:27 32.630 SchedLgU.Txt
02.09.2006 23:32 30 Iedit.INI
15.08.2006 15:57 116 NeroDigital.ini
02.08.2006 21:38 1.409 QTFont.for
02.08.2006 21:38 54.156 QTFont.qfn
13.04.2006 20:54 0 Sti_Trace.log
23.03.2006 12:23 316.640 WMSysPr9.prx
23.03.2006 12:20 31 warhead.ini
Dieser Beitrag wurde am 06.09.2006 um 13:07 Uhr von ucherontour editiert.
Seitenanfang Seitenende
06.09.2006, 13:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2006, 13:51
ucherontour
...neu hier

Themenstarter

Beiträge: 3
#5 Datentr„ger in Laufwerk C: ist Festplatte 1
Volumeseriennummer: A0F0-7491

Verzeichnis von C:\Dokumente und Einstellungen\ucherontour\Lokale Einstellungen\Temp

06.09.2006 13:49 <DIR> .
06.09.2006 13:49 <DIR> ..
06.09.2006 07:19 125.350 77f6_appcompat.txt
06.09.2006 13:11 <DIR> AAWTMP
09.05.2006 22:38 726.681 fn222c757d.CHM_1031
06.09.2006 13:47 9.061 LVCOMSX.LOG
03.09.2006 20:21 <DIR> VBE
06.09.2006 06:45 16.384 ~DF14C5.tmp
06.09.2006 06:55 16.384 ~DF14CF.tmp
06.09.2006 07:24 16.384 ~DF1DF8.tmp
06.09.2006 07:14 16.384 ~DF1E98.tmp
06.09.2006 07:24 49.152 ~DF481F.tmp
06.09.2006 06:46 49.152 ~DF61E7.tmp
06.09.2006 06:56 49.152 ~DF7120.tmp
06.09.2006 07:15 49.152 ~DF8454.tmp
05.09.2006 23:49 1.212.416 ~DF9AEB.tmp
06.09.2006 07:24 32.768 ~DFA07F.tmp
06.09.2006 06:46 32.768 ~DFA57B.tmp
06.09.2006 07:35 1.212.416 ~DFA897.tmp
06.09.2006 06:56 32.768 ~DFB6AC.tmp
06.09.2006 07:14 32.768 ~DFBA86.tmp
05.09.2006 23:46 16.384 ~DFBDC5.tmp
06.09.2006 07:34 16.384 ~DFCD59.tmp
05.09.2006 23:46 32.768 ~DFDFC3.tmp
05.09.2006 23:46 49.152 ~DFEA29.tmp
06.09.2006 07:34 32.768 ~DFFA3A.tmp
22 Datei(en) 3.826.596 Bytes
4 Verzeichnis(se), 120.638.689.280 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte 1
Volumeseriennummer: A0F0-7491

Verzeichnis von C:\WINDOWS\Temp

06.09.2006 13:43 <DIR> .
06.09.2006 13:43 <DIR> ..
04.09.2006 21:29 <DIR> tmp00003ea9
04.09.2006 21:36 <DIR> tmp000041c3
06.09.2006 07:15 <DIR> tmp00004c3b
06.09.2006 07:20 <DIR> tmp00005117
06.09.2006 13:25 <DIR> tmp000060fa
06.09.2006 13:16 43 WGAErrLog.txt
06.09.2006 13:16 409 WGANotify.settings
2 Datei(en) 452 Bytes
7 Verzeichnis(se), 120.638.689.280 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte 1
Volumeseriennummer: A0F0-7491

Verzeichnis von C:\
















Wenn ich meinen "cleanen" Laptop mit meinem infiziertem Pc vergleiche fällt mit in der Autostartdatei folgender Unterschied beim PC auf:

c:\windows\system32\LVCOMSX.exe
c:\windows\system32\LXSUPMON.exe RUN

Beide Dateien gibt es auf dem Notebook nicht. Soll ich die mal löschen?

Könnte damit der Trojaner beim Starten immer wieder geladen werden?
Dieser Beitrag wurde am 06.09.2006 um 14:06 Uhr von ucherontour editiert.
Seitenanfang Seitenende
07.09.2006, 00:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
c:\dokumente und einstellungen\ucherontour\lokale einstellungen\temporary internet files\content.ie5\byq5akcd\ErrorSafeScannerInstall _de[1].exe

Folders to delete:
C:\WINDOWS\Temp\tmp00003ea9
C:\WINDOWS\Temp\tmp000041c3
C:\WINDOWS\Temp\tmp00004c3b
C:\WINDOWS\Temp\tmp00005117
C:\WINDOWS\Temp\tmp000060fa

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint


**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1