Problem mit Trojan.FakeAV.LVT

[Denstar]

Hallo Der Leo,
ich bzw. meine schwester hat das selbe problem wie "das dumme kind"
hat auch einen laptop. Lenovo G550 Model 2958. Windows 7 32 bit.
Wollte mal fragen ob es wirklich keine andere möglichkeit gibt den Trojan.FakeAV.LVT von ihrem laptop runter zu bekommen ausser zu formatieren? Und woran erkennt man das der Trojan.FakeAV.LVT jetzt das System durchschossen hat?

lg Dennis

[Der Leo]

Hallo Denstar,

1. Es wäre super wenn du ein eigenes neues Thema erstellst, damit es hier für mich und dem Themen eröffnenden übersichtlich bleibt.

2. Deine fragen werde ich dir gerne beantworten sobald du ein neues Thema erstellt hast.

Danke für dein Verständins

[schotti111]

Hallo Denstar,

ich habe deinen Beitrag mal in einen eigenen Thema verschoben, weil es sonst unübersichtlich wird.

"Der Leo" wird sich später um das Problem kümmern!

[Der Leo]

So nun kann es los gehen
Danke für deine hilfe Schotti

Schritt 1

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
Bitte beide Logs Posten!

Wichtig
Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Ich werd mir ersteinmal anschauen wie es bei dir aussieht, dann sehn wir weiter ob Formatieren notwenidig ist.

[Denstar]

File-Upload.net - Extras.Txt
File-Upload.net - OTL.Txt
danke schon mal im voraus!

lg dennis

[Der Leo]

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox (ohne das Wort Code: ).

Code:

:OTL
PRC - C:\Windows\update.2\svchost.exe ()
PRC - C:\Windows\update.2\svchost.exe ()
PRC - C:\Windows\update.5.0\svchost.exe ()
PRC - C:\Windows\update.5.0\svchost.exe ()
PRC - C:\Windows\update.tray-8-0\svchost.exe ()
PRC - C:\Windows\update.1\svchost.exe ()
PRC - C:\Windows\systemup.exe ()
PRC - C:\Windows\l1rezerv.exe ()
PRC - C:\Windows\sysdriver32.exe ()
PRC - C:\Windows\ufa\ufa.exe (Ufasoft)
SRV - (srviecheck) -- C:\Windows\update.2\svchost.exe ()
SRV - (srvbtcclient) -- C:\Windows\update.5.0\svchost.exe ()
SRV - (srvsysdriver32) -- C:\windows\sysdriver32.exe ()
SRV - (wxpdrivers) -- C:\Windows\update.1\svchost.exe ()
O4 - HKLM..\Run: [2132224.exe] C:\Windows\Temp\2132224.exe ()
O4 - HKLM..\Run: [2297218.exe] C:\Users\lena\AppData\Local\Temp\2297218.exe ()
O4 - HKLM..\Run: [2507950.exe] C:\Windows\Temp\2507950.exe ()
O4 - HKLM..\Run: [454581-loader2.exe] C:\Windows\Temp\454581-loader2.exe ()
O4 - HKLM..\Run: [637360.exe] C:\Users\lena\AppData\Local\Temp\637360.exe ()
O4 - HKLM..\Run: [8404852.exe] C:\Windows\Temp\8404852.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-8-0\svchost.exe ()
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
[2011.07.25 20:42:53 | 000,262,999 | ---- | C] (eO2EHo Z6Y) -- C:\windows\new111.exe
[2011.07.25 20:42:23 | 000,000,000 | -H-D | C] -- C:\windows\update.5.0
[2011.07.25 20:40:21 | 000,000,000 | -H-D | C] -- C:\windows\update.2
[2011.07.25 20:36:33 | 000,000,000 | ---D | C] -- C:\windows\av_ico
[2011.07.25 20:34:53 | 000,000,000 | -H-D | C] -- C:\windows\update.1
[2011.07.25 20:34:50 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-8-0-lnk
[2011.07.25 20:34:50 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-8-0
[2011.07.25 20:40:05 | 000,904,792 | ---- | M] () -- C:\windows\geoiplist.rar
[2011.07.25 20:38:50 | 000,000,000 | ---- | M] () -- C:\windows\loader2.exe_ok
:Files
C:\Windows\update.5.0\svchost.exe
C:\Windows\update.2\svchost.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[RESETHOSTS]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen Inhalt in deiner nächsten antwort hier reinkopieren.

[Denstar]

All processes killed
========== OTL ==========
Process svchost.exe killed successfully!
Process svchost.exe killed successfully!
Process svchost.exe killed successfully!
Process svchost.exe killed successfully!
Process svchost.exe killed successfully!
Process svchost.exe killed successfully!
No active process named systemup.exe was found!
No active process named l1rezerv.exe was found!
Process sysdriver32.exe killed successfully!
No active process named ufa.exe was found!
Service srviecheck stopped successfully!
Service srviecheck deleted successfully!
C:\Windows\update.2\svchost.exe moved successfully.
Service srvbtcclient stopped successfully!
Service srvbtcclient deleted successfully!
C:\Windows\update.5.0\svchost.exe moved successfully.
Service srvsysdriver32 stopped successfully!
Service srvsysdriver32 deleted successfully!
C:\Windows\sysdriver32.exe moved successfully.
Service wxpdrivers stopped successfully!
Service wxpdrivers deleted successfully!
C:\Windows\update.1\svchost.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\2132224.exe deleted successfully.
C:\Windows\Temp\2132224.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\2297218.exe deleted successfully.
C:\Users\lena\AppData\Local\Temp\2297218.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\2507950.exe deleted successfully.
C:\Windows\Temp\2507950.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\454581-loader2.exe deleted successfully.
C:\Windows\Temp\454581-loader2.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\637360.exe deleted successfully.
C:\Users\lena\AppData\Local\Temp\637360.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\8404852.exe deleted successfully.
C:\Windows\Temp\8404852.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\l1rezerv.exe deleted successfully.
C:\Windows\l1rezerv.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sysdriver32.ex e deleted successfully.
File C:\windows\sysdriver32.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sysdriver32_.e xe deleted successfully.
C:\Windows\sysdriver32_.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\systemup deleted successfully.
C:\Windows\systemup.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico0 deleted successfully.
C:\Windows\update.tray-8-0\svchost.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\wxpdrv deleted successfully.
C:\Windows\services32.exe moved successfully.
C:\Windows\new111.exe moved successfully.
C:\windows\update.5.0 folder moved successfully.
C:\windows\update.2 folder moved successfully.
C:\windows\av_ico folder moved successfully.
C:\windows\update.1 folder moved successfully.
C:\windows\update.tray-8-0-lnk folder moved successfully.
C:\windows\update.tray-8-0 folder moved successfully.
C:\Windows\geoiplist.rar moved successfully.
C:\Windows\loader2.exe_ok moved successfully.
========== FILES ==========
File\Folder C:\Windows\update.5.0\svchost.exe not found.
File\Folder C:\Windows\update.2\svchost.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: lena
->Flash cache emptied: 35877 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: lena
->Temp folder emptied: 1518680768 bytes
->Temporary Internet Files folder emptied: 169686109 bytes
->Java cache emptied: 1224491 bytes
->Google Chrome cache emptied: 380261287 bytes
->Apple Safari cache emptied: 58815488 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 117543906 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 2.142,00 mb

C:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07292011_213227

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


ich hoff das ist gut und nochmal danke

[Der Leo]

Hallo,

ja das sieht gut aus

Was wird den alles mit dem Laptop gemacht? Online Banking, einkäufe ect?


Der Trojaner sperrt nicht nur die Facebook Seite und deaktiviert den Antivirenschutz, sonder lädt weiter Malware nach. Von daher sollte man über Formatieren nachdenken

[Denstar]

Hallo,
gott sei dank!
nein es wird kein onlinebanking damit gemacht, es wird nur gechattet facebook, schueler.cc, icq, msn, skype usw. aber selbst mit ebay wird nichts gemacht.
also soll ich den laptop einfach ganz formatieren? und neues betriebssystem drauf spielen? wenn ja kannst du mir vllt die schnellste und unkomplizierteste methode posten weil ich übermorgen in urlaub fahr

lg dennis

[Der Leo]

Hallo,

wir sind noch nicht fertig! Ich möchte mir noch was angucken.
Mach bitte folgendes:

• PPFScan.exe neu starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Auf Nachfrage Dateien überschreiben lassen.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.