Trojaner/Spyware die IE lahm legt

Dieses Thema im Forum "Sicherheit" wurde erstellt von Tobi47, 14. Mai 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Tobi47

    Tobi47 Byte

    Registriert seit:
    30. März 2006
    Beiträge:
    80
    Ich habe folgendes Problem: Gestern habe ich mir beim Surfen einen Trojaner eingefangen, der den Internetexplorer zum Abturz brachte, die Firewall deaktivierte und den Comuter neu starten ließ.
    Wenn ich jetzt den Rechner starte springen ständig neue Fenster mit der Bezeichnung "C:\WINNT\System32\Svchost.exe" auf. Wenn ich den Prozess "sysldr32.exe" beende, kann man den PC zumindest wieder habwegs nutzen, obwohl er auch dann im Firefox noch manchmal kurze Wartezeiten verursacht. Der Internetxplorer und die Firewall funktionieren allerdings überhaupt nicht mehr.
    Ich habe dann das Anti-Spyware Programm "RegFreeze" installiert und es hat tatsächlich 20 Bedrohungen gefunden :aua:, darunter auch das oben erwähnte große Problem.
    Mein Poblem ist jetzt, dass ich, um die Dateien löschen zu können, das Programm RegFreeze erst freischalten muss. Das funktioniert wiederum nicht, da mein IE streikt... (Meldung: "Kann keine Verbindung zum Server herstellen" obwohl ich im Internet bin und Firefox als Standardbrowser eingestellt habe)

    Nun bräuchte ich eure Hilfe. Die erste Lösung wäre ein anderes Spywareprogramm, das entweder freeware ist und/oder den IE nicht benötigt. Oder aber ich versuche den IE erst zu reparieren und lasse dann nochmal RegFreeze drüber laufen.
    Vielleicht habt ihr aber auch eine ganz andere Idee :heilig: Ich bin kein Experte... zum Glück gibt es hier welche.
    Ich bin für jede Antwort dankbar.
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    poste mal den Link zur Auswertung deines HijackThis Logfile wie hier beschrieben.


    Grüße Jasager
     
  3. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.607
    Wer hat denn RegFreeze empfohlen?
    Doch wohl nicht ein aufpoppendes Fenster?
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Denke nicht, dass ein Rogue Antispyware Programm bei zdnet zum Download angeboten würde, siehe hier.


    Edit
    oder vielleicht doch? :eek:
    klick


    Grüße Jasager
     
  5. Tobi47

    Tobi47 Byte

    Registriert seit:
    30. März 2006
    Beiträge:
    80
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    selten ein so durchseuchtes System gesehen, da gibt es wirklich nur noch neuaufsetzen.
    Hier eine Anleitung wie du dabei vorgehen solltest, achte datruaf das SP4 einzuspielen bevor du online gehst. Die entsprechenden Dienste würde ich auch noch vorher mit ntsvcfg konfigurieren.


    Grüße Jasager
     
  7. Tobi47

    Tobi47 Byte

    Registriert seit:
    30. März 2006
    Beiträge:
    80
    Hm. Da ich im Moment noch keine externe Festplatte habe, um die große Menge an Daten zu sichern, suche ich nach vorerst nach einer Notlösung. Gibt es keine Möglichkeit um zumindest den oben beschriebenen Wurm zu deaktivieren? Dann könnte ich zumindest wieder normal mit dem Computer arbeiten und mich später um den Rest kümmern. Gibt es denn kein gescheites Anti-Spyware Programm, das zumindest vorläufig seinen Dienst tut?
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also als Notlösung für einen begrenzten Zeitraum können wir noch ein wenig rumfrickeln, aber du solltest dann trotzdem recht bald Neuaufsetzen, denn nur weil man keine Symptome mehr hat, heißt das nochlange nicht, dass das System sauber ist.
    Achja, und klar sollte auch sein das du dein bisheriges Verhalten im Internet ändern mußt, denn sonst ist es nur eine Zeitfrage bis du dir wieder etwas fängst.

    1.) Lösche mal deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die dateien der letzten drei Monate abkopieren!

    2.) Besorge dir folgendes Programm, entpacke es, gehe in den abgesicherten Modus (F8 beim booten), führe die runthis.bat aus, und poste danach den Inhalt der Datei C:\smitfiles.txt

    P.S. du solltest wenn du dann neu aufsetzt keine ausführbaren Dateien auf das neue System übernehmen (exe, pif, com, scr...)


    Grüße Jasager
     
  9. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Doch! Wir wär's mit Ad-Aware und Spybot Search & Destroy?

    Gruß
    Nevok
     
  10. Tobi47

    Tobi47 Byte

    Registriert seit:
    30. März 2006
    Beiträge:
    80
    1. log

    14.05.2006 11:27 0 filter.drv
    14.05.2006 11:23 112.199 attrib.ini
    14.05.2006 10:33 0 hard.lck
    14.05.2006 10:33 6.144 msvcrl.dll
    14.05.2006 10:32 16.384 Perflib_Perfdata_378.dat
    13.05.2006 23:58 61.504 perfc009.dat
    13.05.2006 23:58 401.098 perfh009.dat
    13.05.2006 23:58 74.218 perfc007.dat
    13.05.2006 23:58 402.386 perfh007.dat
    13.05.2006 23:58 949.182 PerfStringBackup.INI
    13.05.2006 23:55 16.384 Perflib_Perfdata_370.dat
    13.05.2006 23:10 16.384 Perflib_Perfdata_38c.dat
    13.05.2006 19:31 16.384 Perflib_Perfdata_390.dat
    13.05.2006 19:23 16.384 Perflib_Perfdata_910.dat
    13.05.2006 19:22 1.038 amifeaaa.exe
    13.05.2006 19:22 4.001 dvudeaaa.exe
    13.05.2006 19:22 16.384 jontdfty.exe
    13.05.2006 19:21 10.752 pvtuaaaa.exe
    13.05.2006 19:21 1.038 viacaaaa.exe
    01.05.2006 16:19 16.384 Perflib_Perfdata_388.dat
    27.04.2006 13:53 16.384 Perflib_Perfdata_384.dat
    25.04.2006 19:56 16.384 Perflib_Perfdata_380.dat
    25.04.2006 14:39 34.308 BASSMOD.dll
    21.04.2006 15:22 16.384 Perflib_Perfdata_37c.dat
    21.04.2006 15:22 121.336 FNTCACHE.DAT
    19.04.2006 11:44 7.006 jupdate-1.5.0_06-b05.log
    13.03.2006 15:04 16.384 Perflib_Perfdata_344.dat
    07.03.2006 17:28 16.384 Perflib_Perfdata_360.dat
    13.02.2006 11:32 16.384 Perflib_Perfdata_34c.dat

    2. log

    14.05.2006 10:33 0 JET479E.tmp
    14.05.2006 10:33 0 JETD64.tmp

    3. log

    14.05.2006 11:22 1.642.618 WindowsUpdate.log
    14.05.2006 09:57 32.552 SchedLgU.Txt
    14.05.2006 09:57 553.726 ShellIconCache
    14.05.2006 09:30 192 winamp.ini
    13.05.2006 23:58 133.351 comsetup.log
    13.05.2006 23:58 653.831 iis5.log
    13.05.2006 23:58 4.860 imsins.log
    13.05.2006 23:58 127.216 ocgen.log
    13.05.2006 23:58 8.648 ockodak.log
    13.05.2006 23:52 4.870 imsins.BAK
    13.05.2006 23:21 4.110 ie7beta2_main.log
    13.05.2006 19:40 30.652 ntbtlog.txt
    13.05.2006 19:22 4.001 sysldr32.exe
    13.05.2006 19:21 698.522 setupapi.log
    05.05.2006 15:13 54.156 QTFont.qfn
    21.04.2006 11:59 393.022 DirectX.log
    19.04.2006 11:44 7.004 mozver.dat
    11.04.2006 14:32 40 smartvideoconverter.ini
    11.03.2006 12:45 83.769 Sti_Trace.log
    16.02.2006 14:41 835 ODBC.INI

    4. log

    14.05.2006 11:31 0 sys.txt
    14.05.2006 11:30 9.642 system.txt
    14.05.2006 11:29 333 systemtemp.txt
    14.05.2006 11:27 108.431 system32.txt
    14.05.2006 10:31 805.306.368 pagefile.sys
    11.03.2006 10:37 0 Log.txt


    Ich hoffe, das war jetzt richtig.
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    nur nochmal damit du siehst wie nötig ein Neuaufsetzen ist, hier mal die Beschreibung des ersten Trojaner, der mir aufgefallen ist:

    Quelle

    Und von dem Kaliber hast du bestimmt mehrere auf der Kiste.

    Überprüfe mal folgende Dateien hier und poste das Ergebnis:

    C:\Windows\System32\amifeaaa.exe
    C:\Windows\sysldr32.exe (falls aktiv vorher beenden)


    Aus welcher Quelle hast du jetzt eigentlich Regfreeze?

    Den zweiten Punkt auch noch abarbeiten.


    Grüße Jasager
     
  12. Tobi47

    Tobi47 Byte

    Registriert seit:
    30. März 2006
    Beiträge:
    80
    Dankeschön :o


    smitRem © log file
    version 2.8

    by noahdfear


    Microsoft Windows 2000 [Version 5.00.2195]

    Running from
    C:\Dokumente und Einstellungen\max\Desktop\smitRem

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Pre-run SharedTask Export

    (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
    Copyright(C) 2006 BleepingComputer.com

    Registry Pseudo-Format Mode (Not a valid reg file):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key


    PSGuard.com key not present!


    checking for WinHound.com key


    WinHound.com key not present!

    spyaxe uninstaller NOT present
    Winhound uninstaller NOT present
    SpywareStrike uninstaller NOT present

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~

    perfcii.ini
    logfiles


    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~

    sites.ini


    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~




    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
    Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
    Killing PID 424 'explorer.exe'
    Killing PID 424 'explorer.exe'
    Error 0x5 : Zugriff verweigert


    Starting registry repairs

    Registry repairs complete

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    SharedTask Export after registry fix

    (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
    Copyright(C) 2006 BleepingComputer.com

    Registry Pseudo-Format Mode (Not a valid reg file):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Deleting files

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Remaining Post-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~


    ~~~ Wininet.dll ~~~

    CLEAN! :)
     
  13. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Eher: findet sonst nichts mehr.
     
  14. Tobi47

    Tobi47 Byte

    Registriert seit:
    30. März 2006
    Beiträge:
    80
    Ich habe einfach über Google nach einem passenden Programm gesucht... hab ich aber schon wieder deinstalliert.


    Mal was ganz anderes: Mein Internetprovider ist "teacherADSL", ein spezielles Angebot für Lehrer. Das ist irgendein spezielles Netzwerk. In einer Mail des Providers hieß es einmal, dass ein Rechner im Netzwerk ständig Trojaner einspeist und dass man sich nur mit einer Firewall schützen könne.
    Eine Besonderheit ist, dass bei allen Usern die selbe IP angezeigt wird. (Wenn ich mich nur auskennen würde, könnte ich es auch annehmbar erklären ;)) Jedenfalls meinte ein Kollege von mir, dass man damit sogut wie unhackbar ist. Keine Ahnung ob das stimmt... was meinst du dazu?
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Ja, aber das Tool sucht ja auch nur nach Smitfraudinfektionen, das dort noch ein haufen anderer Kram drauf ist, steht ausser Frage.


    Grüße Jasager
     
  16. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    totaler Blödsinn.
    und du bist sowas von gehackt, gehackter geht es nicht. Ich hoffe übrigens das du keinerlei Schülerdaten auf dem PC hast, denn die darfst du alle als öffentlich voraussetzen.

    Überprüfe mal noch die oben genannten Dateien.
    Außerdem kannst du mal noch einen Onlinescan bei Kaspersky machen, und posten was gefunden wurde.


    Grüße Jasager
     
  17. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    *lol*
    Unsinn.

    Noch größerer Unsinn.

    Deshalb hat mir das
    auch sauer aufgestoßen.

    EDIT:
    ich halt' mich jetzt mal hier 'raus..:D
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    übrigens bezieht sich das clean noch nicht mal auf das Log, sondern nur auf die überprüfte wininet.dll. Denn früher wurden diese bei Smitfraudinfektionen infiziert, falls dieses der Fall war tauschte das Tool sie gegen die im dllcache oder die in den Service Pack Files aus.
    Exkurs Ende.
    Aber du hast schon Recht, der Smilie mit dem Clean könnte einen falschen Eindruck hinterlassen.


    Grüße Jasager
     
  19. Tobi47

    Tobi47 Byte

    Registriert seit:
    30. März 2006
    Beiträge:
    80
    Gut möglich. Wie gesagt, ist das auch nicht meine persönliche Meinung. Ich verstehe davon nichts.


    amifeaaa: überall "no virus found" außer bei Panda "suspicious file"

    sysldr:

    Heuristic/Malware.Crypted.PSM
    (Suspicious) - DNAScan
    Trojan.DownLoader.9496
    Downloader.Small.cpo
    Trojan-Downloader.Win32.Harnig.bl
    Trojan-Downloader.Win32.Small.cpo
    Win32/Locksky.BH
     
  20. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    dann werden wir jetzt erstmal etwas resoluter, besorge dir killbox und lösche damit follgende Dateien on reboot:

    C:\Windows\System32\hard.lck
    C:\Windows\System32\msvcrl.dll
    C:\Windows\System32\amifeaaa.exe
    C:\Windows\System32\dvudeaaa.exe
    C:\Windows\System32\jontdfty.exe
    C:\Windows\System32\pvtuaaaa.exe
    C:\Windows\System32\viacaaaa.exe
    C:\Windows\sysldr32.exe



    Außerdem noch den Report von dem Onlinescan posten.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen