Kampf mit dem Trojaner...

Hallo zusammen,

ich habe mir zu Beginn der Woche mindestens einen Trojaner eingefangen, den AntiVir auch gleich erkannt hat. Nachdem ich nach Abschalten der Systemwiederherstellung im abgesicherten Modus die entsprechenden Dateien gelöscht hatte, war kurzzeitig Ruhe, aber dann ging's wieder von vorne los. Seit gestern funktionieren nun Google und Yahoo nicht mehr, bei ersterem lädt keine Suche, bei zweiterem kann ich noch nicht einmal die Seite öffnen.

Ich habe also heute Vormittag das Problem mit Hijackthis angegangen, aber irgendwie ist es nur schlimmer geworden. Jetzt sind die betroffenen Dateien "gelockt": AntiVir sagt, es könne die Dateien nicht löschen, da ich über keine Administratoren-Rechte verfügen würde, was nicht stimmt. Auch im abgesicherten Zustand besteht das Problem. AntiVir meint darüber hinaus, dass beim Neustart des PCs die infizierten Dateien gelöscht würden. Das passiert nicht, AntiVir klingelt die ganze Zeit und meldet immer den gleichen Trojaner (TR/Crypt.XPACK.Gen übrigens), alle paar Sekunden.

Vielleicht kann mir eine/r von Euch weiterhelfen, dafür wäre ich sehr dankbar.

Die Hijackthis-Logfile habe ich angehängt.

Grüße
Alex

 

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

 

Falls du das nicht kennst/brauchst, fixen

Fixen

 

auf virustotal oder jotti überprüfen lassen

Code:

O4 - HKLM\..\Run: [BMd77d55cf] Rundll32.exe "C:\WINDOWS\system32\rmyhttai.dll",s
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\20467\bvre32.exe

bekannt?

Code:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bwl.uni-muenchen.de
O17 - HKLM\Software\..\Telephony: DomainName = bwl.uni-muenchen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bwl.uni-muenchen.de

fixen:

Code:

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWxleA\command.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)

btw: SP3 ist erhältlich und IE7
im Board Sicherheit ist eine Anleitung zum Thema Schädlingsbefall



@silvester: mit anleitungen herumschmeissen kann jeder

 

@all: Herzlichen Dank für die schnellen Antworten, da werd ich mich gleich mal drüber her machen!!

 

Hallo nochmal,

leider haben die Anleitungen mein Problem noch nicht gelöst. Der Trojaner ist nach dem Fixen aller angegebenen Items im abgesicherten Modus immer noch da.

Woran könnte das liegen?

Vielen Dank
Alex

 

Systemwiederherstellung deaktiviert?

Rootkit auch noch auf dem Pc?

 

schon die Anleitung durchgearbeitet?
Was kam für ein Ergebnis bei den beiden Einträgen auf virustotal bzw jotti

 

Hallo, ich hab das aktuelle Logfile angehängt plus eine Analyse von virustotal zu der von Antivir gemeldeten Datei. Die beiden zur Überprüfung von Dir empfohlenen Einträge wurden beim Fixen gelöscht.

Was meinst Du mit "Rootkit auch noch auf dem PC"?

Danke
Alex

 

Mit Rootkit meint Simon11444 ein Tool, das Malware verbergen kann.

Du hast wahrscheinlich einen fiesen Trojaner mit Rootkitfunktion auf der Kiste, der immer wieder neue Dateien generiert.
Vermutlich ist das von ihm
O4 - HKLM\..\Run: [d44e6653] rundll32.exe "C:\WINDOWS\system32\ymeynfui.dll",b
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWxleA\command.exe (file missing)

C:\WINDOWS\cdmweb\ucwwjoyecm.exe ist Adware.

Hast du vielleicht einen vermeintlichen Codec auf einer Webseite installieren müssen, um Inhalte sehen zu können? Es kann auch sein, das der IE das Zeug aufgrund mangelhafter Sicherheitseinstellungen ohne Rückfrage installiert hat.
Veraltete Java- und Acrobat Versionen sind auch Einfallstore. Damit muss man nur auf eine Seite geraten, die mit Exploits zum Ausnutzen von Sicherheitslücken gespickt ist.

An dieser Stelle rate zum Neuaufsetzen.

 

Danke, deoroller. Hm, das sind aber gar keine guten Nachrichten... . Ich habe gerade noch mal AntiVir drüber laufen lassen, es geht letztlich immer um die gleiche Datei, ljJCtuTJ.dll.

Hat sonst noch jemand eine Idee, wie ich das Ding los werden könnte, ohne das ganze System niederzubügeln?

 

Du kannst mal den PC mit dem Avira AntiVir Rescue System booten und den Dreck löschen lassen. http://www.avira.de/de/support/support_downloads.html
Möglicherweise gibt es dann beim Windows Start Fehlermeldungen, dass Dateien fehlen, und deren Autostartverknüpfungen müssen dann noch entfernt werden.
Solange dein Windows aber eine Onlineverbindung nutzen kann, können immer wieder neue Schädlinge nachgeladen werden.
Mit Knoppix kann man online gehen, ohne dass das passiert.

 

Ja, ich weiß nicht was niederbügeln heißt, aber mein Wörterbuch kennt das Wort, also ich würde neu aufsetzen, (falls niederbügeln nicht klappt )

 

Für Niederbügeln kannste auch plattmachen sagen!

Ansonsten führt wohl kein Weg daran vorbei, deorollers Rat endlich zu folgen!

 

Hallo,
ich hoffe, ich bin hier richtig (bin zum ersten Mal in einem Forum und weiß nicht so recht, wie man sich hier bewegt)
Habe ein Problem mit dem Trojaner TR/Crypt.XPACK.Gen , den Antivir gestern mehrmals gemeldet hat. Habe die Datei in Quarantäne verschoben und bekomme beim Klick auf den Link zu näheren Infos erst die Seite im Internet; dann die Meldung:
avnotify.exe: Fehler in der Anwendung
Die Anweisung in: 0x03f2ab50 verweist auf Speicher in 0x000000000.
Der Vorgang "written" konnte nicht auf dem Speicher durchgeführt werden.
Klicken Sie auf "OK", um das Programm zu beenden.

Hat der Trojaner schon mein Antivir manipuliert? Wie werde ich ihn wieder los ohne "Format C"? Danke für eure Hilfe.
Hier das Hijack Logfile:

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------

 

Diese Einträge kannst du fixen:

Code:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://avira.cleverbridge.com/30/?s...notifier=42_de
O2 - BHO: PrxcnBHO Class - {7D9E713D-0388-4384-BDD8-2A42EB1C4F04} - C:\Programme\freenet\PrxcnBrsrCtrl.dll (file missing)

cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.
Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN
Geht dir ab und zu eine DLL-Datei flöten, weil sie infiziert ist, oder wieso hast du NPDocBox.dll installiert?

Code:

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Dann erstelle bitte das nächste mal ein eigenes Thema für neue Anfragen.
HijackThis-Logs bitte auch in Zukunft im Anhang als Textdatei hoch laden.

 

@all: Vielen Dank noch mal für die Hilfe. Ich bin die beiden Trojaner (es hatte sich noch ein zweiter "versteckt") erstmal los, werde wohl aber trotzdem das System neu aufsetzen.