Windows Vista - Avira AntiVir Personal hat Trojaner erkannt - BITTE Hilfe!

  • Hallo,
    Vor ein paar Stunden hab ich von meinem Virenschutz folgende Meldung bekommen:


    >>Auf ihrem Computer wurde ein Virus oder unerwünschtes Programm gefunden!
    Was soll mit der betroffenen Datei geschehen?


    C:\Windows\System32\AlfaFF.dll
    Ist das Trojanische Pferd TR/Fake.Smoke.148


    In Quarantäne verschieben
    Löschen
    Umbenennen
    Zugriff verweigern
    Ignorieren<<


    Ich hab ihm den Zugriff verweigert, jedoch erscheint seither (hauptsächlich, wenn ich Internetseiten öffne) ständig eine erneute Warnung.


    Wenn ich den Zugriff verweigert habe, ist der Trojaner trotzdem noch auf meinem System, oder?? Kann ich ihn noch irgendwie wieder herunter bekommen oder muss ich das System wirklich noch mal neu aufsetzen?
    Bitte Hilfe!! =( Wäre toll, wenn ich ihn nicht noch einmal neu aufsetzen muss, um den Trojaner loszuwerden ...


    Ahja, kenn mich zwar mit PCs halbwegs ein wenig aus, bin aber sicher kein Profi xD
    Wäre super, wenn ihr mir helfen könnt! :)


    Lucy

  • Erst mal in Quarantäne verschieben, vermutlich Fehlalarm. Bis Montag Nachmittag warten, dann Antivir updaten und nochmals hier melden. Die Datei wurde bereits mehrfach als Fehlalarm gemeldet. Ich selbst habe die DLL auch unter die Lupe genommen - sieht wirklich nicht nach Virus aus.

  • Vielen dank! :)


    Leider hab ich aber deine Antwort erst jz gesehen ... =/


    Ich hab mir nämlich selbst schon gedacht, dass es daran liegen könnte, dass mein Anitvirenprogramm nicht aktualisiert ist. Bin draufgekommen, dass ich eine ältere Version hatte, die nicht mehr von Avira unterstützt wurde oder so ...
    Also hab ich mir die neuste heruntergeladen ... nur ... offenbar hat sich mein Antivirenprogramm da von selbst (logischerweise, ich idiot, da ich es in einer neueren version runtergeladen hab -.-') kurze zeit ausgeschalten, woraufhin ich es sofort wieder einschaltete... jz ist es nur so, dass seither keine dieser Meldungen von "TR/Fake.Smoke.148" mehr gekommen sind, wo gefragt wurde, was ich damit tun sollte.
    Da ich da noch nicht wusste, dass das ws bloß ein Fehlalarm war, hatte ich Angst, dass der Virus in der Zeit, als mein AntiVirenprogramm ausgeschaltet war, auf mein System zugegriffen hat ...
    Daraufhin hab ich mit meinem Antivirenprogramm einen Scan des ganzen Systems gemacht (der Scan läuft gerade noch) und so eben sind mir 2 Funde angekündigt worden. Beide heißen "TR/Gendal.A.9199" jedoch steht daneben unter dem Titel "Objekt" bei einem "NO$GBA.EXE" und beim anderen "NO$GBA.2.6a.zip" ...
    Der Scan wurde auch unterbrochen, und ich wurde gefragt, ob ich die beiden in Quarantäne verschieben möchte ... weiß aber nicht, ob ich das tun soll, da ich Angst hab, noch irgendwas falsch zu machen.^^ =/


    Ist dieser "TR/Gendal.A.9199" auch ein Fehlalarm oder ein echter??
    Ich hoff mal nicht, aber wenn doch, kannst du mir sagen, was ich noch tun kann, um meinen PC irgendwie zu retten?^^ Wäre echt nett... :)


    Danke im Voraus!


    Lucy

  • Danach das hier tun:

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.





    Ich muss gleich arbeiten, schaue mir die Sachen morgen an.

  • Vielen Dank für deine Hilfe!! :)))


    Bin leider ein bisschen hinten, aber hier ist mal der Scan vom Virenschutzprogramm:
    File-Upload.net - AVSCAN-20110912-112555-6F05798D_02.txt


    "TR/Fake.Smoke.148" war heute seltsamerweise wieder da, bzw. im gegensatz zu gestern wurde er mir heute nach dem virenscan gemeldet. Hab ihn, wie du vorher gesagt hast, in Quarantäne verschoben, genauso wie die anderen beiden, die mir gestern angezeigt wurden.


    Die anderen Logfiles werde ich noch heute oder spätestens morgen hochladen, weil ich leider nicht so viel Zeit hab. :/
    Werd mich aber gleich daran setzen. :)


    LG :)


    Lucy

  • Erst mal die schlechten Nachrichten... Deine Festplatte hat eine Macke. Windows meldet defekte Sektoren (Hardwarefehler):

    Code
    11.9.2011 16:15 Uhr 55s 
    Record #212058
    Computername->Lucy-PC
    disk:
    Error
    Fehlerhafter Block bei Gerät \Device\Harddisk0\DR0.


    Die LOGs sehen sonst gut aus.
    Einmal bitte melden, wenn du hier online bist.
    Das hier ist höchstwahrscheinlich ein Fehlscan:

    Zitat

    C:\Acer\Preload\Autorun\DRV\Finger\System32\AlfaFF.dll
    [FUND] Ist das Trojanische Pferd TR/Fake.Smoke.148

  • Meine Festplatte hat ne Macke?? =/
    Okay ... ich kenn mich da nicht so aus, weißt du, in wie weit das meinen Computer beeinträchtigt? Ich mein, er funktioniert ja noch.^^


    Ein Fehlscan ... bedeutet das, dass ich keine Viren oder so oben hab? ^^ Oder hat der Scan nicht ganz funktioniert?


    LG


    Lucy

  • Du hast defekte Sektoren auf der Festplatte, das heißt:

    • Einige Bereiche deine Festplatte können nicht mehr korrekt Daten abspeichern. Das kann sich mit der Zeit verschlimmern und du verlierst Daten oder dein Rechner produziert Fehler.

    _________________________

    Fehlscan = die Datei ist mit großer Sicherheit kein Virus.


    Jetzt zu dem Fehlscan, mache folgendes:

    • PPFSCAN.EXE starten
    • AntiVir Control Center starten
    • Im Control Center auf Verwaltung klicken
    • Quarantäne anklicken
    • Mit der Rechten Maustaste auf die Datei mit der Quelle C:\Acer\Preload\Autorun\DRV\Finger\System32\AlfaFF.dll klicken.
    • Objekt wiederherstellen wählen.
    • Den Guard von AntiVir deaktivieren.
    • Im PPFScanner in das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
    Code
    SEND_MESSAGE->92.252.121.160
    ->81
    ->Hallo, der Client will was!
    SLEEP->24000
    SEND_FILE->92.252.121.160
    ->81
    ->C:\Acer\Preload\Autorun\DRV\Finger\System32\AlfaFF.dll
    SLEEP->240000
    END->


    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Wenn deine Firewall sich meldet, erlaube dem Scanner den Netzwerkzugriff
    • Nachdem sich der Scanner beendet hat, GUARD von AntiVir wieder einschalten.
    • Ich melde mich dann sofort wieder.
  • Okay, hab alles gemacht, was du gesagt hast. :)
    thx!


    Oh, jaah, okay, das wäre echt blöd, wenn die Festplatte nen größeren Schaden bekommt... =/


    LG


    Lucy

  • Bei der DLL handelt es sich nicht um einen Virus. AntiVir updaten lassen, danach dürfte er die Datei nicht mehr anmeckern.

    Um die Festplatte kümmern wir uns morgen.

  • Wegen der Festplatte mache folgendes:

    • Computer
    • Rechtsklick auf Laufwerk(e)
    • Eigenschaften
    • Registrierkarte Tools
    • Jetzt prüfen
    • Dateisystemfehler... und Fehlerhafte Sektoren... mit Häkchen versehen
    • Starten
    • Auf Nachfrage Prüfung planen lassen
    • rebooten

    _______________________

    Danach:

    • Von hier GSmartControl herunterladen und installieren: BerliOS Download - The Open Source Mediator
    • GSmartControl starten
    • Im Programm doppelt auf die Festplatte(n) klicken
    • Registrierkarte Attributes aufrufen
    • Mit Save As die Logs der Festplatte(n) abspeichern
    • Log-Datei(n) hochladen und Downloadlinks hier posten.


  • Sry, dass ich mich erst jz wieder melde, aber hatte jz nie Zeit. =/
    Dafür aber dieses We wieder :)
    Ich hab genau gemacht, was du gesagt hast, bin aber nur bis zu dem Punkt "GSmartControl starten" gekommen - denn das Programm ließ sich nicht starten.
    Da beim Link 2 Downloadmöglichkeiten gegeben sind ... könnte es vllt sein, dass ich das Falsche runtergeladen habe? Welches soll ich denn nehmen, das 1. oder das 2.?


    LG


    Lucy

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!