1. Artikel
  2. Mitglieder
    1. Letzte Aktivitäten
    2. Benutzer online
    3. Team
    4. Mitgliedersuche
  3. Forum
  • Anmelden oder registrieren
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Artikel
  • Seiten
  • Forum
  • Erweiterte Suche
  1. Paules-PC-Forum.de
  2. Forum
  3. PC-Sicherheit
  4. Viren-Forum

Win32/FakeSysdef fund - System noch Sauber?

  • hutzabock
  • 26. April 2011 um 16:18
Aufgrund von notwendige Wartungsarbeiten am Server kann es zu kurzen Downtimes und längere Ladezeiten kommen.
  • hutzabock
    Anfänger
    Beiträge
    87
    • 26. April 2011 um 16:18
    • #1

    Hallo,

    Schäme mich schon etwas - habe aber schon wieder ein Problem.

    Naja eigentlich sind es mehrere und ich fange mal mit dem meiner Meinung nach schlimmeren an.

    Mein Windows Essentials hat beim Surfen eine Bedrohung festgestellt - ich auf Bereinigen geklickt - nun befindet sich in der Quarantäne "Trojan:Win32/FakeSysdef" mit der Empfehlung: Entfernen Sie diese Software unverzüglich.

    Habe inzwischen Malewarebyts laufen lassen und Search und Destroy beide habe nix gefunden, kann es sein das ich noch was drauf habe?

    Und was soll ich Posten?
    Die Reports von dem Scan unmittelbar nach in Quarantäne stellen des Bösewichts - oder ganz neue erstellen?

    Mein zweites Problem ist, ich glaub ich bin nicht der Admin, oder da is noch ein verstecktes Konto (kann das sein?) wollte mir ein anderes Konto machen, um sicher zu surfen bzw die Tipps zu befolgen, bekam da aber immer so ne komische Meldung - wenden Sie sich an den System Administrator - Dachte bis dahin das ich der Admin des PC´s sei.
    Zum näheren Verständnis sollte ich wohl sagen, daß der PC ein Erbstück meines Vaters ist und am eigentlichen Windows nix verändert wurde, Betriebssys ist Xp Prof.

    Das dritte Problem, weiss nicht ob das auch hier her gehört - Ich habe das Gefühl das sich meine zweite Festplatte immer erst anschalten muss, wenn ich drauf zu greifen möchte - es dauert einen Moment, dann macht es "klack" und ich sehe die Daten/Bilder.

    So warte nun erst mal auf Anweisung - und bitte gleichzeitig um etwas Geduld - da ich mich gerade erst etwas einlese.

    Lg Jörg

  • Der Leo
    Stammuser
    Reaktionen
    286
    Beiträge
    3.876
    • 26. April 2011 um 17:27
    • #2

    Hallo,

    Schritt 1

    Deinstalliere Spybot S&D da es die weitere Bereinigung stört! Starte den Pc neu und fahren mit Schritt 2 fort.

    Schritt 2


    OTL

    Download: http://oldtimer.geekstogo.com/OTL.exe


    1. Doppelklick auf die OTL.exe
    2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
    3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
    4. Setze einen Haken Oben bei Scanne alle Benutzer.
    5. Unter "Extra Registrierung wähle "Benutze SafeList"
    6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
    7. Kopiere in die Textbox (ohen das Wort Code: )

    Code
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    ws2ifsl.sys
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    /md5stop
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    CREATERESTOREPOINT
    Alles anzeigen




    8. Klicke "Scan"
    Es werden 2 Reporte erstellt:
    OTL.Txt sowie Extras.Txt
    Bitte beide Logs Posten!

    Schritt 3


    Kaspersky TDSSKiller

    Download : TDSSKiller.zip

    • Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop.
    • Starte die Datei TDSSKiller.exe
    • (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
    • Warte bis zum Ende der Untersuchung und der Desinfektion.
    • Poste das Ergebnis.



    Schritt 4
    MBRCheck
    Downloade: MBRCheck

    • Speicher die MBRCheck.exe auf dem Desktop und führe sie aus.
    • User von Windows 7 und Vista: Rechtsklick als Administrator ausführen.
    • MBRCheck braucht nur wenige Sekunden.
    • Klicke im schwarzen Fenster ENTER um das Fenster zu schließen.
    • Poste das Textdokument MBRCheck_<Datum>_<Uhrzeit>.txt in dein Beitrag.


    Schritt 5
    Frage beantworten

    War die Bereinung mit Markus schon fertig?? Ich brauch etwas Zeit um dir
    dein altes problem anzuschauen.

  • Unregistriert
    Gast
    • 26. April 2011 um 18:32
    • #3

    Hallo Leo,

    Danke erst mal das Du dich meiner angenommen hast.
    Ja die Sache mit dem Sefnit.L - war laut Markus erledigt.

    Werde nun die gewünschten Schritte (in der nun noch verbleibenden richtigen Reihenfolge) angehen.

    Ist es egal ob ich der Hauptadmin bin? - ok ich gehe davon aus

    Lg Jörg

  • hutzabock
    Anfänger
    Beiträge
    87
    • 26. April 2011 um 18:56
    • #4

    OTL logfile created on: 26.04.2011 18:48:52 - Run 1
    OTL by OldTimer - Version 3.2.22.3 Folder = J:\Downloads
    Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.6001.18702)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

    3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 83,00% Memory free
    5,00 Gb Paging File | 4,00 Gb Available in Paging File | 91,00% Paging File free
    Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
    Drive C: | 74,52 Gb Total Space | 58,27 Gb Free Space | 78,20% Space Free | Partition Type: NTFS
    Drive F: | 3,70 Gb Total Space | 3,22 Gb Free Space | 87,26% Space Free | Partition Type: FAT32
    Drive J: | 76,69 Gb Total Space | 21,88 Gb Free Space | 28,53% Space Free | Partition Type: NTFS

    Einmal editiert, zuletzt von Volkmar (16. Mai 2018 um 18:07)

  • Der Leo
    Stammuser
    Reaktionen
    286
    Beiträge
    3.876
    • 26. April 2011 um 22:37
    • #5

    Hallo,

    im OTL Log finde ich nichts auffälliges was auf aktive Malware hindeutet. Bin mir aber noch nicht zu 100% sicher da der Kopf heute nicht mit spielt.

    Es wurde auch kein TDL und kein verseuchter MBR gefunden das klingt schonmal gut.

    Kannst du bitte ALLE Logs reinreichen in den Malware gefunden wurde (von Windows Essentials)

    Außerdem führe Malwarebytes so aus.

    Schritt 1

    Malwarebytes Anti-Malware
    Download (Free Version): http://www.malwarebytes.org/products/malwarebytes_freehttp://www.malwarebytes.org/

    • Installiere das Programm in den vorgegebenen Pfad.
    • Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
    • Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
    • Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
    • Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
    • Falls ein Neustart verlangt wird so bitte umgehend nachkommen.
    • Poste das Logfile in deinem Thread.
    • Nachträglich kannst du den Bericht unter "Log Dateien" finden.



  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 00:33
    • #6

    Hallo,

    Malwarebytes läuft, habe altes vorher gelöscht...

    2 Fragen

    Wo finde ich die Logs oder Berichte von Windows Essentials?
    Kann ich Search & Destroy wieder installieren?

    Lg Jörg

  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 10:50
    • #7

    üMalwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes : Free anti-malware, anti-virus and spyware removal download

    Datenbank Version: 6451

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    27.04.2011 01:38:45
    mbam-log-2011-04-27 (01-38-45).txt

    Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|)
    Durchsuchte Objekte: 223693
    Laufzeit: 56 Minute(n), 1 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 27. April 2011 um 10:54
    • #8
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.
  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 12:46
    • #9

    File-Upload.net - Drivers.txt

    File-Upload.net - Eventlog.txt

    File-Upload.net - Files.txt

    File-Upload.net - Firewall.txt

    File-Upload.net - Warnings.txt

    File-Upload.net - Hidden.txt

    File-Upload.net - MD5.txt

    File-Upload.net - Modules.txt

    File-Upload.net - ppFiles.txt

    File-Upload.net - ppRegistry.txt

    File-Upload.net - Processes.txt

    File-Upload.net - Scripting.txt

    File-Upload.net - Services.txt

  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 12:52
    • #10

    Hallo Leo,

    gib mir doch Bitte bescheid, wenn Du alles hast, damit ich das alles wieder löschen kann auf dem Server.

    Ein Bekannter der eben bei mir ist, macht mir da grad Angst , daß jeder der diese Daten hat, meinen PC manipulieren kann.

    Panikmache?

    Danke für deine Mühen

    Lg Jörg

  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 13:15
    • #11

    Hallo AHT

    Bitte um Entschuldigung, habe übersehen das mir nun zwei Helfer zur Seite stehen.

    Ich habe hier nochmal einen Screenshot von Windows Essentials, mit der Virusmeldung, weil ich da wirklich keine Logfiles finde.

    http://www8.pic-upload.de/27.04.11/nfjjow74jg6g.jpg

    Was ich auch noch nicht weiss - soll ich den aus der Qarantäne löschen?
    Oder is der da gut aufgehoben?

    Danke und Lg
    Jörg

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 27. April 2011 um 13:22
    • #12

    Wie es aussieht, hast du wohl am 21.04. auf ein "Werbepopup" geklickt.

    Code
    21.4.2011 14:44 Uhr 56s 
    Record #18216
    Computername->C3PO
    Microsoft Antimalware:
    Warning
    Microsoft Antimalware hat Malware oder andere möglicherweise unerwünschte Software erkannt.
    Im Folgenden finden Sie weitere Informationen:
    [URL='http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/FakeSysdef&threatid=2147639286']Encyclopedia entry: Trojan:Win32/FakeSysdef - Learn more about malware - Microsoft Malware Protection Center[/URL]
     Name: Trojan:Win32/FakeSysdef
     ID: 2147639286
     Schweregrad: Schwerwiegend
     Kategorie: Trojaner
     Pfad: file:_C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WQ84H9TY\info[1].exe->(FSG-v2.0)
     Erkennungsursprung:: Internet
     Erkennungstyp: Konkret
     Erkennungsquelle: Echtzeitschutz
     Benutzer: C3PO\Administrator
     Prozessname: C:\Programme\Mozilla Firefox\plugin-container.exe
     Signaturversion: AV: 1.103.209.0, AS: 1.103.209.0, NIS: 0.0.0.0
     Modulversion: AM: 1.1.6802.0, NIS: 0.0.0.0
    Alles anzeigen



    Warte noch auf LEO.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 27. April 2011 um 13:42
    • #13

    Ich sehe hier gerade noch was:

    Code
    26.4.2011 11:28 Uhr 23s 
    Record #18338
    Computername->C3PO
    Microsoft Antimalware:
    Warning
    Microsoft Antimalware befindet sich in der Karenzzeit und läuft bald ab. Nach Ablauf wird der Schutz vor Viren, Spyware und anderer potenziell unerwünschter Software deaktiviert.
    [COLOR=red][B] Grund für den Ablauf: Fehler bei der Echtheitsüberprüfung mit der Windows-Aktivierungstechnologie.[/B][/COLOR]
     Ablaufdatum (UTC): 26.05.2011 09:28:23


    Das sieht für mich im Augenblick nicht so gut aus. Kannst du dazu was sagen?

  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 13:59
    • #14

    Hallo AHT,

    das war mein Katze!!!! (als ich auf einer Seite war - auf der ich nicht hätte sein sollen - aber mal wieder nen Link geschickt bekommen habe - und meine Neugierde immer mit mir durchgeht - weil ich eigentlich dachte, die Seite sei Virenfrei, laut meines Bekannten) ;)

    ...jedenfalls hüpft meine haarige zu mir hoch auf dem Computertisch, da auf meine Hand, welche auf der Maus liegt, verschiebt diese und ......klick....dann war da auch schon die Virus Wahrnung, der Rest steht ja oben.

    Kann ich eigentlich schon die ganzen Tools wie MBRCheck, OT, DTSSkiller ppfscan (heisst das eigentlich PaulsPcForumScan?) löschen?

    Muss ich was beachten?
    Danke

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 27. April 2011 um 14:03
    • #15

    Ja, mein Posting hier: https://www.paules-pc-forum.de/forum/viren-fo…html#post853358

    Laut Microsoft scheint da was abzulaufen - nicht original zu sein...
    Kannst du dazu was sagen?

  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 14:04
    • #16
    Zitat von AHT;853358

    Ich sehe hier gerade noch was:

    Code
    26.4.2011 11:28 Uhr 23s 
    Record #18338
    Computername->C3PO
    Microsoft Antimalware:
    Warning
    Microsoft Antimalware befindet sich in der Karenzzeit und läuft bald ab. Nach Ablauf wird der Schutz vor Viren, Spyware und anderer potenziell unerwünschter Software deaktiviert.
    [COLOR=red][B] Grund für den Ablauf: Fehler bei der Echtheitsüberprüfung mit der Windows-Aktivierungstechnologie.[/B][/COLOR]
     Ablaufdatum (UTC): 26.05.2011 09:28:23

    Das sieht für mich im Augenblick nicht so gut aus. Kannst du dazu was sagen?

    ...ja sicher kann ich, weil ich die Prüfung immer abgebrochen habe, inzwischen bekannter Bekannter sagte mir, Das dieses Genius Tool von Windows nur spioniert (Ich seh schon, Bekannter als Berater entlassen)

    Ich habe aber die original Windows CD hier, die zum PC gehört, oder was meinst Du damit? Hab ich was geklautes drauf?

    Lg Jörg

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 27. April 2011 um 14:06
    • #17

    Nein. Es sieht nur so aus, als ob dein Virenscanning Tool demnächst deshalb den Geist aufgiebt. Lasse die Überprüfung zu, sonst bekommst du Probleme - und das eventuell nicht nur mit dem Virentool.

  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 14:08
    • #18
    Zitat von AHT;853367

    Nein. Es sieht nur so aus, als ob dein Virenscanning Tool demnächst deshalb den Geist aufgiebt. Lasse die Überprüfung zu, sonst bekommst du Probleme - und das eventuell nicht nur mit dem Virentool.


    Kann ich das gleich starten? und wie?

    Danke

  • Der Leo
    Stammuser
    Reaktionen
    286
    Beiträge
    3.876
    • 27. April 2011 um 14:10
    • #19

    Hi,

    OTL, MBRCheck und TDSS sind unauffällig.

    Wenn AHT sein OK gibt kannst du alle eingesetzen Tools löschen.
    Bei OTL gehe wie folgt vor. Starte OTL --> Klicke oben auf Bereinigung. OTL löscht sich von selbst.

  • hutzabock
    Anfänger
    Beiträge
    87
    • 27. April 2011 um 14:35
    • #20

    ok, dann warte ich mal auf das OK von AHT

    ...und weitere Anweisungen

    Danke

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden

Windows 11

  1. Datenschutzerklärung
  2. Impressum
Community-Software: WoltLab Suite™