VIRUS TB/ - SpywareStrike

Dieses Thema im Forum "Sicherheit" wurde erstellt von ineedhelp!!!, 15. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ineedhelp!!!

    ineedhelp!!! Byte

    Registriert seit:
    15. Januar 2006
    Beiträge:
    18
    hallo zusammen,

    ich bin am verzweifeln, mein pc hat nen trojaner den spywarestrike draufgeladen hat. ich hab mich in anderen foren etwas eingelesen aber ich beherrsche nunmal das 1x1 der pc welt nicht großartig.
    kann mir jemand in verständlichen laien deutsch erklären damit ich diesen blöden trojaner runter bekomme.??
    ich zähl auf euch

    sandra:bitte: :bitte:
     
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Folgende Dateien werden von der Malware automatisch installiert:

    Installer: ss_setup.exe (2553 KB)
    MD5: 232aa1a52c70fa4d5c7ad1d09b18b4d4
    %ProgramFiles%\spywarestike\uninst.exe (35 KB)
    MD5: 1084efccdec44d0b86d1be7398262a0d
    %ProgramFiles%\spywarestike\spywarestike.url (1 KB)

    %ProgramFiles%\spywarestike\spywarestike.exe (1376 KB)
    MD5: bdc731bde32534d216af1eab8efa8b3f
    %ProgramFiles%\spywarestike\signatures.ref (994 KB)

    %ProgramFiles%\spywarestike\msvcr71.dll* (348 KB)

    %ProgramFiles%\spywarestike\msvcp71.dll* (499 KB)

    %ProgramFiles%\spywarestike\lang\english.ini (size may vary)

    %ProgramFiles%\spywarestike\quarantine\

    c:\documents and settings\(user name)\start menu\spywarestike 2.5.lnk (1 KB)

    c:\documents and settings\(user name)\start menu\programs\spywarestike\uninstall spywarestike 2.5.lnk (1 KB)

    c:\documents and settings\(user name)\start menu\programs\spywarestike\spywarestike 2.5.lnk (1 KB)

    c:\documents and settings\(user name)\start menu\programs\spywarestike\spywarestike 2.5 website.lnk (1 KB)

    c:\documents and settings\(user name)\desktop\spywarestike.lnk (1 KB)

    c:\documents and settings\(user name)\application data\microsoft\internet explorer\quick launch\spywarestike 2.5.lnk (1 KB)

    The following registry keys are created:

    HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "SpywareStrike"="C:\Program Files\SpywareStrike\SpywareStrike.exe /h"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Uninstall\SpywareStrike

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \App Paths\SpywareStrike
    "default"="C:\Program Files\SpywareStrike\SpywareStrike.exe"

    HKEY_CLASSES_ROOT\Interface\{66F0AC1C-DED5-4965-9E31-39788DF1B264}

    HKEY_CLASSES_ROOT\Interface\{849E056A-D67A-431E-9370-2275F26D39B5}

    HKEY_CLASSES_ROOT\Interface\{8B7AFBFD-631C-45BA-9145-F059EB58DD73}

    HKEY_CLASSES_ROOT\Interface\{AFEB8519-0B8B-4023-8C15-FFB17D5225F9}

    HKEY_CLASSES_ROOT\Interface\{BA9CC151-4581-438E-94AF-4C703201B7CA}

    HKEY_CLASSES_ROOT\Interface\{BC74C336-FF2C-40C9-AD4E-3772C208406B}

    HKEY_CLASSES_ROOT\Interface\{BDF00F24-A571-4392-95EC-04FDFF82A82C}

    HKEY_CLASSES_ROOT\Interface\{C4E953E6-770E-4F59-A5E3-43E9F0D682E2}

    HKEY_CLASSES_ROOT\Interface\{E0105E7C-D0C4-4DEA-AA21-B02F2960ECAF}

    HKEY_CLASSES_ROOT\Interface\{ED39CB7C-1BF6-429B-A275-F183B4A3EFCB}

    HKEY_CLASSES_ROOT\Interface\{F23AA637-31D5-4526-
    B5C6-9FF89E16202C}

    HKEY_CLASSES_ROOT\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}

    HKEY_LOCAL_MACHINE\SOFTWARE\Licenses

    HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike

    HKEY_CLASSES_ROOT\AppID\SpywareStrike.EXE
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ist nicht ganz einfach, vorallem weil meine Lieblingsseite mit den jeweiligen Anleitungen zu den Tools gerade offline ist.
    Erstelle mal ein HijackThis log wie hier beschrieben und poste den Link.
    Außerdem besorgst du dir folgendes Tool, entpackst es, gehst in den abgesicherten Modus (F8 beim booten drücken) und führst die runthis.bat aus, danach postest du den Inhalt der Datei C:\smitfiles.txt.

    Und mache mal einen Onlinescan bei Panda und berichte was gefunden wird.

    Edit:
    Bin ich langsam :D
    Normalerweise wird auch eine Datei namens C:\Windows\System32\netwrap.dll
    erstellt.


    Grüße Jasager
     
  5. ineedhelp!!!

    ineedhelp!!! Byte

    Registriert seit:
    15. Januar 2006
    Beiträge:
    18
  6. ineedhelp!!!

    ineedhelp!!! Byte

    Registriert seit:
    15. Januar 2006
    Beiträge:
    18
    hi jasager,

    halte mich für blöd aber ich versteh diesen satz nicht
    *schäm*

    HiLfE
     
  7. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Wenn der PC hochfährt (=bootet), drückst du immer wieder die Taste F8, bis er (der PC :D ) dir anbietet, unter anterem im abgesicherten Modus zu starten. Das wählst du dann aus.

    EDIT:
    @Jasager
    Mann, bist du lahm...:totlach:

    :wegmuss:
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    brauchst dich nicht schämen, gibt keine böde Fragen, wenn du den Computer neu startest, mußt du während er hochfährt F8 drücken, und dann in einem Textmenü "Computer im abgesicherten Modus starten" wählen.
    Noch was zu deinem HijackThis log, das ist sehr ungewöhnlich, hattest du mal ein anderes System installiert o.ä.?
    Edit
    stimmt :D Aber ich grübele auch immer noch über dem HijackThis Log, sowas habe ich bisher noch nicht gesehen.


    Grüße Jasager
     
  9. ineedhelp!!!

    ineedhelp!!! Byte

    Registriert seit:
    15. Januar 2006
    Beiträge:
    18
    ok die f8 geschichte hab ich (hoffentlich) kapiert :)

    wg. dem betriebssystem, gute frage. der rechner gehört meinem bruder...
    kann ich dir gar nicht beantworten...

    ist das so wichtig?
    kann man schon feststellen wo der fehler liegt?

    oder muss/soll ich die anderen beschrieben sachen (f8 dingsbums ;)) auch noch amchen?
     
  10. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    sieht übel aus.. sind noch mehr Infektionen außer dem SpywareStrike..

    Laufender Prozess. (nvctrl.exe)
    Trojan.StartPage.adh

    Dann kommt noch der "sp.html" dazu auch hier lesen:
    http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\icjul.dll/sp.html#60128

    Bevor du anfängst zu fixen und zu löschen beschaffe dir noch dieses Reparatur-Tool um die Winsock zu reparieren:

    Winsock reparieren:
    http://www.spychecker.com/program/lspfix.html

    oder...
    WinsockFix.exe
    http://www.tacktech.com/display.cfm?ttid=257
     
  11. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Das geht mir auch so.. :confused:
    hast du eine Erklärung für die ganzen "file missing's"
     
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @Wolfgang77
    Die nvctrl.exe gehört zum normalen Infektionsbild von Spywarestriker
    Warum die Winsock reparieren? Die ist doch intakt (kein verdächtiger O10 Eintrag)
    Ob das spfix Tool hier funktioniert bin ich mir nicht sicher, einen Versuch ist es wert. Vielleicht auch noch mal mit CWShredder, aber dazu später.
    Hast du eine Idee zu den komischen O23 Einträgen?

    Edit
    Nein, keine Ahnung, auch das die normalen systemprozesse als O23 Einträge gestartet werden/wurden ist mir vollkommen neu. Und die "File missing" Einträge sind mir auch nicht klar, wenn die Dateien nicht da wären, würde das System nicht mehr funktionieren, seltsam das alles.


    Grüße Jasager
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @ineedhelp!!!
    Ja, auf jeden Fall noch das mit dem F8 machen, und danach die C:\smitfiles.txt posten.


    Grüße Jasager
     
  14. ineedhelp!!!

    ineedhelp!!! Byte

    Registriert seit:
    15. Januar 2006
    Beiträge:
    18
    also ich hab es bis gerade eben probiert in den abgesicherten modus zu rutschen, geht nicht.
    ich bekomme keine verbindung

    ist das so "zwingend" notwendig?
    bin mittlerweile ziemlich angefressen...

    was wär der nächste schritt?
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    dann lass mal das Tool im normalen Modus laufen, dann erkennt es wenigstens, kann aber wahrscheinlich nicht entfernen.


    Grüße Jasager
     
  16. ineedhelp!!!

    ineedhelp!!! Byte

    Registriert seit:
    15. Januar 2006
    Beiträge:
    18
    soll ich alle laufwerke durchchecken lassen?
    ist doch so was ähnliches wie AntiVir?
    das hab ich schon heute mal durchgelassen, hat aber nichts gefunden...
     
  17. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    was ist denn aus dem Smitrem Programm geworden, hast du es jetzt im normalen modus ausgeführt?
    Ja lass mal alle (Festplattenlaufwerke) checken (Ich nehme mal an du meinst den Panda Onlinescan), und ja der hat andere Erkennungsmechanismen wie AntiVir und ist was deine Infektion angeht auch sehr zuverläßig.


    Grüße Jasager
     
  18. ineedhelp!!!

    ineedhelp!!! Byte

    Registriert seit:
    15. Januar 2006
    Beiträge:
    18
    all files have been extracted kommt dabei raus, muss ich irgendwas beachten? anderen pfad eingeben oder sonstirgendwas, weil richtig "werkeln" tut er nicht, ich drück auf run...bat und fertig ist er schon...


    ich lass gerade noch nebenher eTrust Antivirus durchlaufen, ist denk ich mal ähnlich dem Panda, oder?
     
  19. ineedhelp!!!

    ineedhelp!!! Byte

    Registriert seit:
    15. Januar 2006
    Beiträge:
    18
    hallo zusammen,

    ich habe am sonntag abend noch smitRem gestartet und seit dem ist dieses rote aufblinkende kreuz samt spyware verschwunden, kann das sein das es WEG ist? trau dem frieden nicht ganz...
    auch kam sonst nach dem start von smitRem keine weitere meldung oder feld mehr ...
    ganz komische angelegenheit, ich werd noch mal den viren scan drüberlaufen lassen und morgen mal hier wieder reinschauen, freu mich auf antworten

    beste grüße sandra
     
  20. kasimir27

    kasimir27 Guest

    na dann , guckst du und machst du : http://www.zdnet.de/enterprise/os/0,39023494,39125778,00.htm

    und lass die Finger von Java und ICQ , sehr schädlich die beiden.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen