hartnäckige Spyware |
||
---|---|---|
#0
| ||
09.04.2008, 21:19
Member
Beiträge: 16 |
||
|
||
09.04.2008, 21:28
Moderator
Beiträge: 7805 |
#2
Der Report von Combofix waere sehr hilfreich und was hat Antivir wo gefunden.
Achja, stelle antivir bitte so ein: http://board.protecus.de/t23979.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.04.2008, 21:38
Member
Themenstarter Beiträge: 16 |
#3
das ganze combofix logfile?
Code ComboFix 08-04-08.10 - Fudi 2008-04-09 19:38:51.2 - NTFSx86 MINIMALAntiVir Zitat In der Datei 'C:\Dokumente und Einstellungen\Fudi\Lokale Einstellungen\Temp\zfe3.exe' |
|
|
||
09.04.2008, 22:23
Moderator
Beiträge: 7805 |
#4
Nutze bitte die Smitfraudfix Reinigung: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php
Danach erstelle mit Hijackthis 2.02 ein Report, fixe den dort auftauchenden O22 Eintrag mit dem Dateinamen rkvdr.dll und starte neu. Danach mit Hijackthis 2.02 ein neuen Report erstellen und posten. Den Rest gibts morgen __________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.04.2008, 11:09
Member
Themenstarter Beiträge: 16 |
#5
Ich konnte den 022-Eintrag nicht finden, aber nach der Smitfraudfix-Reinigung erscheint zumindest dieses fake Symbol von wegen Anti-Virus in der Taskleiste nicht mehr.
|
|
|
||
10.04.2008, 11:43
Ehrenmitglied
Beiträge: 29434 |
#6
dann wende noch mal Combofix an + poste das neue Log
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2008, 15:21
Member
Themenstarter Beiträge: 16 |
#7
Code Logfile of Trend Micro HijackThis v2.0.2 |
|
|
||
12.04.2008, 01:26
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo,
«« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag Zitat O4 - HKLM\..\Run: [taskmgra] C:\WINDOWS\system32\taskmgra.comund wähle fix checked. + starte den Rechner neu. « wende Windowsscan an + poste den report http://virus-protect.org/artikel/tools/windowsscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2008, 17:20
Member
Themenstarter Beiträge: 16 |
#9
Code Die 30 neuesten Dateien im Ordner Windows: |
|
|
||
12.04.2008, 18:07
Ehrenmitglied
Beiträge: 29434 |
#10
«
wende cleaner an http://www.ccleaner.de/?protecus.de « scanne mit Malwarebytes, lasse alles gefundene entfernen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2008, 11:54
Member
Themenstarter Beiträge: 16 |
#11
Code Malwarebytes' Anti-Malware 1.11 |
|
|
||
14.04.2008, 12:00
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo,
wende datfindbat an - poste alle Dateien bis November 2007 (sind nach Datum geordnet) http://virus-protect.org/datfindbat.html (ich suche: C:\WINDOWS\system32\taskmgra.com ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2008, 12:16
Member
Themenstarter Beiträge: 16 |
#13
Dazu wird kein safe-mode oder das Schliessen aller Programme benötigt, oder?
Code . |
|
|
||
14.04.2008, 14:03
Ehrenmitglied
Beiträge: 29434 |
#14
das schaut nach einem Banker-Virus (PSW.Banker ) aus, auch die dazugehörige portugiesische (brasilianische) Logdatei passt dazu: atualizado.log
Klaut Passworte ..und Bankdaten bei Onlinebanking Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\explori.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2008, 17:16
Member
Themenstarter Beiträge: 16 |
#15
Zum Glück betreibe ich kein Onlinebanking, sucht dieser virus alle passwörter raus, oder interessieren ihn nur die "geldbringenden" Daten?
Zitat Die Datei wurde bereits analysiert: Code Datei explori.exe empfangen 2008.04.14 14:27:09 (CET)Ausserdem kam Antivir zwischendurch mit der Meldung, er hätte was gefunden: SPR/Fake.Vir.A.1757 |
|
|
||
Durch das Ausführen eines Acitve-X Steuerelements wurde der Virus trotz sofortigen Erkennens von Avira AntiVir übertragen. Von da an erscheint in der rechten unteren Ecke in der Taskleiste ein Symbol, bei welchem in einer Sprechblase angezeigt wird, es wäre Spyware auf dem PC, die Meldung wird verursacht durch ein von mir niemals gesehenes/verwendetes Schein-Anti-Vir Programm, also eine Art Fake-Alarm. Nach mehrfachen Scans mit diversen Programmen +Combofix etc wurden zwar einige Dinge erkannt, aber das Problem nicht gefixt.
Code
Uninstall-ListCode
Datfind bat.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5C9A-9D55
Verzeichnis von C:\WINDOWS\system32
09.04.2008 20:10 12'598 wpa.dbl
09.04.2008 13:40 200'936 FNTCACHE.DAT
09.04.2008 13:02 13'312 rkvdr.dll
09.04.2008 12:51 404'424 perfh009.dat
09.04.2008 12:51 76'470 perfc007.dat
09.04.2008 12:51 420'120 perfh007.dat
09.04.2008 12:51 62'948 perfc009.dat
09.04.2008 12:51 975'638 PerfStringBackup.INI
06.04.2008 07:56 19'836'024 MRT.exe
20.03.2008 10:03 1'845'376 win32k.sys
01.03.2008 18:24 3'591'680 mshtml.dll
01.03.2008 14:54 826'368 wininet.dll
01.03.2008 14:54 233'472 webcheck.dll
01.03.2008 14:54 44'544 pngfilt.dll
01.03.2008 14:54 105'984 url.dll
01.03.2008 14:54 1'159'680 urlmon.dll
01.03.2008 14:54 102'912 occache.dll
01.03.2008 14:54 193'024 msrating.dll
01.03.2008 14:54 671'232 mstime.dll
01.03.2008 14:54 478'208 mshtmled.dll
01.03.2008 14:53 52'224 msfeedsbs.dll
01.03.2008 14:53 459'264 msfeeds.dll
01.03.2008 14:53 1'831'424 inetcpl.cpl
01.03.2008 14:53 27'648 jsproxy.dll
01.03.2008 14:53 267'776 iertutil.dll
01.03.2008 14:53 44'544 iernonce.dll
01.03.2008 14:53 6'066'176 ieframe.dll
01.03.2008 14:53 384'512 iedkcs32.dll
01.03.2008 14:53 153'088 ieakeng.dll
01.03.2008 14:53 63'488 icardie.dll
01.03.2008 14:53 383'488 ieapfltr.dll
01.03.2008 14:53 133'120 extmgr.dll
01.03.2008 14:53 230'400 ieaksie.dll
01.03.2008 14:53 214'528 dxtrans.dll
01.03.2008 14:53 347'136 dxtmsft.dll
01.03.2008 14:53 124'928 advpack.dll
29.02.2008 10:54 70'656 ie4uinit.exe
22.02.2008 12:00 13'824 ieudinit.exe
20.02.2008 08:50 282'624 gdi32.dll
20.02.2008 07:33 45'568 dnsrslvr.dll
20.02.2008 07:33 148'992 dnsapi.dll
15.02.2008 07:44 161'792 ieakui.dll
13.02.2008 19:55 4'096 crash
13.02.2008 16:12 12'598 wpa.bak