1. Artikel
  2. Mitglieder
    1. Letzte Aktivitäten
    2. Benutzer online
    3. Team
    4. Mitgliedersuche
  3. Forum
  • Anmelden
  • Registrieren
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Artikel
  • Seiten
  • Forum
  • Erweiterte Suche
  1. Paules-PC-Forum.de
  2. Forum
  3. PC-Sicherheit
  4. Viren-Forum

Trojan.FakeAV.LVT

  • der dumme junge
  • 26. Juli 2011 um 19:43
  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 19:43
    • #1

    wie man oben vielleicht sehen kann war ich so blöd und habe mir diesen virus eingefangen. nun meine frage an euch wie bekomme ich ihn am besten los!
    alles runter und neu aufbaun?
    danke schonmal fürs antworten
    lg

  • Der Leo
    Computerversteher
    Reaktionen
    286
    Beiträge
    3.876
    • 26. Juli 2011 um 20:14
    • #2

    Moin,

    Hast du den Pc schoneinmal neugestartet? Wenn nicht dann lass es so, denn beim neustarten wird dein Anti-Virenprogramm deinstalliert und durch eine Fake Software ersetzt.

    Hast du die Datei von dem vermeintlichen Video noch?

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 20:36
    • #3

    er hat leider schon einige mal selber neu gestartet -.-

    nein leider nicht

  • Der Leo
    Computerversteher
    Reaktionen
    286
    Beiträge
    3.876
    • 26. Juli 2011 um 20:40
    • #4

    Okay dann möchte ich mir anschauen was alles verändert wurde und den schädling entfernen.

    Schritt 1
    OTL
    Download: http://oldtimer.geekstogo.com/OTL.exe


    1. Doppelklick auf die OTL.exe
    2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
    3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
    4. Setze einen Haken Oben bei Scanne alle Benutzer.
    5. Unter "Extra Registrierung wähle "Benutze SafeList"
    6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
    7. Kopiere in die Textbox (ohen das Wort Code: )

    Code
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    ws2ifsl.sys
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    /md5stop
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    CREATERESTOREPOINT
    Alles anzeigen





    8. Klicke "Scan"
    9. Es werden 2 Reporte erstellt:
    10. OTL.Txt sowie Extras.Txt
    Bitte beide Logs Posten!

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 20:51
    • #5

    wo werden diese txt gespeichert?

  • Der Leo
    Computerversteher
    Reaktionen
    286
    Beiträge
    3.876
    • 26. Juli 2011 um 20:53
    • #6

    Direkt auf dem Desktop. Meistens sind sie auch nach dem neustart geöffnet.

    Bitte stelle vorerst alle Online-Aktivitäten wie Online-Banking, Ebay ect. ein!
    Ob das System formatiert werden muss werden wir sehen.

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 21:04
    • #7

    ebay uzw betreibe ich auf diesem pc nicht eher facebook usw...

    okay

  • Der Leo
    Computerversteher
    Reaktionen
    286
    Beiträge
    3.876
    • 26. Juli 2011 um 21:13
    • #8

    Durch einen Link auf Facebook bist du auf eine gefälschte YouTube Seite geraten wo du eine Datei herunter geladen hast. Hast du den Link von der YouTube Seite noch?
    Kannst du irgendwie den Link mir als Private Nachricht zukommen lassen? Aber bitte nicht von einem Sauberen System aus! Zunot machen wir das mit einem Live System.

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 21:20
    • #9

    OTL Extras logfile created on: 26.07.2011 20:44:45 - Run 1
    OTL by OldTimer - Version 3.2.26.1 Folder = C:\Users\xxx\Downloads
    Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.6001.19088)


    das wäre alles

    Einmal editiert, zuletzt von Volkmar (17. Mai 2018 um 17:34)

  • Der Leo
    Computerversteher
    Reaktionen
    286
    Beiträge
    3.876
    • 26. Juli 2011 um 21:22
    • #10

    Das ist nur der Extras.Txt es fehlt noch der OTL.Txt

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 21:29
    • #11

    OTL logfile created on: 26.07.2011 20:44:45 - Run 1
    OTL by OldTimer - Version 3.2.26.1 Folder = C:\Users\xxx\Downloads
    Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.6001.19088)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

    Einmal editiert, zuletzt von Volkmar (17. Mai 2018 um 17:35)

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 21:30
    • #12

    so das war jetzt alles
    hoffe du kannst dmait as anfangen

  • Der Leo
    Computerversteher
    Reaktionen
    286
    Beiträge
    3.876
    • 26. Juli 2011 um 21:47
    • #13

    Ja das sieht gut :) Für deinen PC leider nicht :(

    Lade bitte folgende Datei bei http://www.virustotal.com/ hoch und lasse sie ggf. neu Analysieren:

    Zitat

    C:\Windows\services32.exe

    Warte bis bei Current status: finished steht. Kopiere dann die URL in deinem Beitrag.

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 21:49
    • #14
    Zitat von Der Leo;865613

    Durch einen Link auf Facebook bist du auf eine gefälschte YouTube Seite geraten wo du eine Datei herunter geladen hast. Hast du den Link von der YouTube Seite noch?
    Kannst du irgendwie den Link mir als Private Nachricht zukommen lassen? Aber bitte nicht von einem Sauberen System aus! Zunot machen wir das mit einem Live System.

    ja gauen seid dem kann ich fb auch nicht wieder aufrufen -.- ich verscuhe dir den link zu kommen zu lassen

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 21:51
    • #15
    Zitat von Der Leo;865627

    Ja das sieht gut :) Für deinen PC leider nicht :(

    Lade bitte folgende Datei bei VirusTotal - Free Online Virus, Malware and URL Scanner hoch und lasse sie ggf. neu Analysieren:

    Warte bis bei Current status: finished steht. Kopiere dann die URL in deinem Beitrag.


    mein pc findet die datei nicht

  • Der Leo
    Computerversteher
    Reaktionen
    286
    Beiträge
    3.876
    • 26. Juli 2011 um 22:01
    • #16

    Versuch bitte ersteinmal das.

    Zitat

    Versteckte Ordner einblenden in Windows

    Du brauchst mir den Link nicht mehr schicken. Hat sich schon erledigt.
    Das du bei Facebook nicht mehr rein kommst liegt an einer modifizierten Host Datei. Das werden wir alles ändern. Aber Format C wäre hier wohl trotzdem angesagt.

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 22:05
    • #17

    ich habe gerade die verstekten ortner sichtbar gemacht aber es funktioniert immer noch nicht :/

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 22:16
    • #18

    ich hoffe ich habe jetzt das richtige hochgeladen

  • Der Leo
    Computerversteher
    Reaktionen
    286
    Beiträge
    3.876
    • 26. Juli 2011 um 22:16
    • #19

    Nagut dann werden wir jetzt mit OTL Fixen.
    Gehe bitte wie folgt vor.

    • Starte bitte die OTL.exe
    • Kopiere nun das Folgende in die Textbox (ohne das Wort Code: ).

    Code
    :OTL
    PRC - C:\Windows\update.5.0\svchost.exe ()
    PRC - C:\Windows\update.5.0\svchost.exe ()
    PRC - C:\Windows\sysdriver32.exe ()
    PRC - C:\Windows\systemup.exe ()
    PRC - C:\Windows\l1rezerv.exe ()
    PRC - C:\Windows\update.2\svchost.exe ()
    PRC - C:\Windows\update.2\svchost.exe ()
    PRC - C:\Windows\update.tray-8-0\svchost.exe ()
    PRC - C:\Windows\update.tray-15-0\svchost.exe ()
    PRC - C:\Windows\update.1\svchost.exe ()
    O4 - HKLM..\Run: [1290122.exe] C:\Users\lukas\AppData\Local\Temp\1290122.exe ()
    O4 - HKLM..\Run: [2533739.exe] C:\Windows\Temp\2533739.exe ()
    O4 - HKLM..\Run: [6219280.exe] C:\Windows\Temp\6219280.exe ()
    O4 - HKLM..\Run: [79073921-loader2.exe] C:\Windows\Temp\79073921-loader2.exe ()
    O4 - HKLM..\Run: [9062402.exe] C:\Windows\Temp\9062402.exe ()
    O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
    O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
    O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
    O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-8-0\svchost.exe ()
    O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-15-0\svchost.exe ()
    O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
    O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
    [2011.07.26 20:03:24 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-15-0-lnk
    [2011.07.26 20:03:24 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-15-0
    [2011.07.26 14:07:47 | 000,000,000 | ---D | C] -- C:\Windows\ufa
    [2011.07.26 14:07:47 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer
    [2011.07.26 14:07:47 | 000,000,000 | ---D | C] -- C:\Windows\phoenix
    [2011.07.24 21:41:08 | 000,261,975 | ---- | C] (4bKDslbJp qfege.) -- C:\Windows\new111.exe
    [2011.07.24 21:39:42 | 000,000,000 | -H-D | C] -- C:\Windows\update.5.0
    [2011.07.24 21:35:17 | 000,000,000 | -H-D | C] -- C:\Windows\update.2
    [2011.07.24 21:31:52 | 000,000,000 | ---D | C] -- C:\Windows\av_ico
    [2011.07.24 21:30:02 | 000,000,000 | -H-D | C] -- C:\Windows\update.1
    [2011.07.24 21:29:56 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0-lnk
    [2011.07.24 21:29:56 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0
    [2011.07.26 14:07:46 | 005,589,370 | ---- | C] () -- C:\Windows\phoenix.rar
    [2011.07.26 14:07:46 | 000,182,617 | ---- | C] () -- C:\Windows\ufa.rar
    [2011.07.26 14:07:45 | 001,075,284 | ---- | C] () -- C:\Windows\rpcminer.rar
    [2011.07.24 21:42:31 | 000,114,176 | ---- | C] () -- C:\Windows\systemup.exe
    [2011.07.24 21:38:29 | 000,232,960 | ---- | C] () -- C:\Windows\l1rezerv.exe
    [2011.07.24 21:35:11 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist
    [2011.07.24 21:35:10 | 000,904,792 | ---- | C] () -- C:\Windows\geoiplist.rar
    [2011.07.24 21:35:10 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
    [2011.07.24 21:34:29 | 000,000,179 | ---- | C] () -- C:\Windows\info1
    [2011.07.24 21:32:39 | 000,256,000 | ---- | C] () -- C:\Windows\sysdriver32_.exe
    [2011.07.24 21:32:38 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok
    [2011.07.24 21:32:22 | 000,256,000 | ---- | C] () -- C:\Windows\sysdriver32.exe
    [2011.07.24 21:16:43 | 001,174,016 | ---- | C] () -- C:\Windows\services32.exe
    :Files
    C:\Windows\update.5.0\svchost.exe
    C:\Windows\update.5.0\svchost.exe
    C:\Windows\sysdriver32.exe
    C:\Windows\systemup.exe
    C:\Windows\l1rezerv.exe 
    C:\Windows\update.2\svchost.exe
    C:\Windows\update.2\svchost.exe
    C:\Windows\update.tray-8-0\svchost.exe
    C:\Windows\update.tray-15-0\svchost.exe
    C:\Windows\update.1\svchost.exe
    :Commands
    [purity]
    [EMPTYFLASH]
    [emptytemp]
    [Reboot]
    [RESETHOSTS]
    Alles anzeigen

    • Schliesse bitte nun alle Programme.
    • Klicke nun bitte auf den Fix Button.
    • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
    • Nach dem Neustart findest Du ein Textdokument, dessen Inhalt in deiner nächsten antwort hier reinkopieren.

    Schritt 2
    C:\Users\******\Favorites\Desktop\Start Minecraft Beta Cracked.lnk

    Da du so oder so Formatieren musst kannst du gleich alle Cracks in die Tonne schmeißen. Wir unterstützen hier keine Cracks und Keygens. Mehr als 90% sind mit Malware Infiziert.
    Siehe hier: https://www.paules-pc-forum.de/forum/aktuelle…are-gefahr.html

    Schritt 3
    Warte auf weitere Anweisungen

  • der dumme junge
    Schüler
    Beiträge
    72
    • 26. Juli 2011 um 22:17
    • #20

    Antivirus Version Last Update Result AhnLab-V32011.07.26.062011.07.26-AntiVir7.11.12.1282011.07.26-Antiy-AVL2.0.3.72011.07.26-Avast4.8.1351.02011.07.26-Avast55.0.677.02011.07.26-AVG10.0.0.11902011.07.26-BitDefender7.22011.07.26-CAT-QuickHeal11.002011.07.26-ClamAV0.97.0.02011.07.26-Commtouch5.3.2.62011.07.26-Comodo95222011.07.26-DrWeb5.0.2.033002011.07.26-Emsisoft5.1.0.82011.07.26-eSafe7.0.17.02011.07.26-eTrust-Vet36.1.84662011.07.26-F-Prot4.6.2.1172011.07.25-F-Secure9.0.16440.02011.07.26-Fortinet4.2.257.02011.07.26-GData222011.07.26-IkarusT3.1.1.104.02011.07.26-Jiangmin13.0.9002011.07.26-K7AntiVirus9.108.49502011.07.26-Kaspersky9.0.0.8372011.07.26-McAfee5.400.0.11582011.07.26-McAfee-GW-Edition2010.1D2011.07.26-Microsoft1.71042011.07.26-NOD3263272011.07.26-Norman6.07.102011.07.26-nProtect2011-07-26.022011.07.26-Panda10.0.3.52011.07.26-PCTools8.0.0.52011.07.26-Prevx3.02011.07.26-Rising23.68.00.052011.07.25-Sophos4.67.02011.07.26-SUPERAntiSpyware4.40.0.10062011.07.26-Symantec20111.1.0.1862011.07.26-TheHacker6.7.0.1.2632011.07.26-TrendMicro9.200.0.10122011.07.26-TrendMicro-HouseCall9.200.0.10122011.07.26-VBA323.12.16.42011.07.26-VIPRE99732011.07.26-ViRobot2011.7.26.45892011.07.26-VirusBuster14.0.140.02011.07.26- Additional information

    MD5 : a1cb184c83a63b66921fc550c0c45e43 SHA1 : 7fe8b646c9b5bd96d185c7c0c1ef94555eea2b3c SHA256: 7eb26e114490d6399dc75d3c571f8c6cbeb38f3d816804e0c7cf2ab4fc827531 ssdeep: 1536:S4ANBjMrvIIahFbqyNUKQV3MIX1iepgxap+aHSlxJwwO3c/4:SrjMrvIIahFlYRaMp9HSl
    xJwwO3u4 File size : 134798 bytes First seen: 2011-07-26 20:12:07 Last seen : 2011-07-26 20:12:07 TrID:
    Text - UTF-16 (LE) encoded (64.4%)
    MP3 audio (32.2%)
    Lumena CEL bitmap (2.0%)
    Corel Photo Paint (1.3%) sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    packers (F-Prot): Unicode

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden

Windows 11

  1. Datenschutzerklärung
  2. Impressum
Community-Software: WoltLab Suite™