Problem mit Trojan.FakeAV.LVT

Hallo Denstar,

1. Es wäre super wenn du ein eigenes neues Thema erstellst, damit es hier für mich und dem Themen eröffnenden übersichtlich bleibt.

2. Deine fragen werde ich dir gerne beantworten sobald du ein neues Thema erstellt hast.

Danke für dein Verständins

Hallo Denstar,

ich habe deinen Beitrag mal in einen eigenen Thema verschoben, weil es sonst unübersichtlich wird.

"Der Leo" wird sich später um das Problem kümmern!:-)

So nun kann es los gehen
Danke für deine hilfe Schotti

Schritt 1

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

netsvcsmsconfigsafebootminimalsafebootnetworkactivexdrivers32%ALLUSERSPROFILE%\Application Data\*.%ALLUSERSPROFILE%\Application Data\*.exe /s%APPDATA%\*.%APPDATA%\*.exe /s%SYSTEMDRIVE%\*.exe/md5startuserinit.exeeventlog.dllscecli.dllnetlogon.dllcngaudit.dllws2ifsl.syssceclt.dllntelogon.dlllogevent.dlliaStor.sysnvstor.sysatapi.sysIdeChnDr.sysviasraid.sysAGP440.sysvaxscsi.sysnvatabus.sysviamraid.sysnvata.sysnvgts.sysiastorv.sysViPrt.syseNetHook.dllahcix86.sysKR10N.sysnvstor32.sysahcix86s.sys/md5stop%systemroot%\system32\drivers\*.sys /lockedfiles%systemroot%\System32\config\*.sav%systemroot%\*. /mp /s%systemroot%\system32\*.dll /lockedfilesCREATERESTOREPOINT

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
Bitte beide Logs Posten!

Wichtig
Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Ich werd mir ersteinmal anschauen wie es bei dir aussieht, dann sehn wir weiter ob Formatieren notwenidig ist.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox (ohne das Wort Code: ).

:OTL
PRC - C:\Windows\update.2\svchost.exe ()
PRC - C:\Windows\update.2\svchost.exe ()
PRC - C:\Windows\update.5.0\svchost.exe ()
PRC - C:\Windows\update.5.0\svchost.exe ()
PRC - C:\Windows\update.tray-8-0\svchost.exe ()
PRC - C:\Windows\update.1\svchost.exe ()
PRC - C:\Windows\systemup.exe ()
PRC - C:\Windows\l1rezerv.exe ()
PRC - C:\Windows\sysdriver32.exe ()
PRC - C:\Windows\ufa\ufa.exe (Ufasoft)
SRV - (srviecheck) -- C:\Windows\update.2\svchost.exe ()
SRV - (srvbtcclient) -- C:\Windows\update.5.0\svchost.exe ()
SRV - (srvsysdriver32) -- C:\windows\sysdriver32.exe ()
SRV - (wxpdrivers) -- C:\Windows\update.1\svchost.exe ()
O4 - HKLM..\Run: [2132224.exe] C:\Windows\Temp\2132224.exe ()
O4 - HKLM..\Run: [2297218.exe] C:\Users\lena\AppData\Local\Temp\2297218.exe ()
O4 - HKLM..\Run: [2507950.exe] C:\Windows\Temp\2507950.exe ()
O4 - HKLM..\Run: [454581-loader2.exe] C:\Windows\Temp\454581-loader2.exe ()
O4 - HKLM..\Run: [637360.exe] C:\Users\lena\AppData\Local\Temp\637360.exe ()
O4 - HKLM..\Run: [8404852.exe] C:\Windows\Temp\8404852.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-8-0\svchost.exe ()
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
[2011.07.25 20:42:53 | 000,262,999 | ---- | C] (eO2EHo Z6Y) -- C:\windows\new111.exe
[2011.07.25 20:42:23 | 000,000,000 | -H-D | C] -- C:\windows\update.5.0
[2011.07.25 20:40:21 | 000,000,000 | -H-D | C] -- C:\windows\update.2
[2011.07.25 20:36:33 | 000,000,000 | ---D | C] -- C:\windows\av_ico
[2011.07.25 20:34:53 | 000,000,000 | -H-D | C] -- C:\windows\update.1
[2011.07.25 20:34:50 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-8-0-lnk
[2011.07.25 20:34:50 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-8-0
[2011.07.25 20:40:05 | 000,904,792 | ---- | M] () -- C:\windows\geoiplist.rar
[2011.07.25 20:38:50 | 000,000,000 | ---- | M] () -- C:\windows\loader2.exe_ok
:Files
C:\Windows\update.5.0\svchost.exe
C:\Windows\update.2\svchost.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[RESETHOSTS]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen Inhalt in deiner nächsten antwort hier reinkopieren.

Hallo,

ja das sieht gut aus

Was wird den alles mit dem Laptop gemacht? Online Banking, einkäufe ect?

Der Trojaner sperrt nicht nur die Facebook Seite und deaktiviert den Antivirenschutz, sonder lädt weiter Malware nach. Von daher sollte man über Formatieren nachdenken

Hallo,

wir sind noch nicht fertig! Ich möchte mir noch was angucken.
Mach bitte folgendes:

• PPFScan.exe neu starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Auf Nachfrage Dateien überschreiben lassen.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.