Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"

SirDregan

Hallo zusammen!

Hier eine Anleitung, was zu tun ist, wenn sich der Trojaner Cimuz-BD auf dem System befindet!

Symptome:

• Virenscanner findet z.B. "rsvp32_2.dll", "ipv6monl.dll" oder andere DLLs im windows\system32 Ordner, kann diese aber nicht entfernen.
• Windows Explorer bringt beim öffnen "Can't load library from memory" und stürzt gelegentlich ab
• Mozilla Firefox funktioniert nicht mehr und man ist gezwungen, IE zu nutzen.
• (selten) Internet Explorer bringt die Messagebox "Suchseite kann nicht geöffnet werden". Internet funktioniert nicht, weder über url, noch über die IPS. Externe IPs lassen sich anpingen, jedoch lassen sich keine Namen auflösen.

Problemlösung:
Als erstes: Internetverbindung kappen!
Der Trojaner späht Benutzernamen, Passwörter etc. aus.

1. Als erstes sollten die dlls gelöscht werden, die der Virenscanner findet. Da es geschützte Windowsdateien sind, braucht ihr einen Unlocker dazu. (zu finden z.B. hier: Software - Unlocker)
Nachdem ihr die Datein gelöscht habt, wird das Internet zu 95% nicht mehr funktionieren. Aber - keine Panik!

2. Der Trojaner erstellt zwei Logdateien im Windows\system32\-Verzeichnis.
Die erste heisst "info.txt" und enthält euren Hostnamen mit Domain, IP Adresse, Land, die ComputerID und die Windowsversion.
Die zweite Date ist schon interessanter: Sie heisst "form.txt" und beinhaltet ein Menge Informationen:
Datum/Uhrzeit,URL,Benutzername,Passwort und fast jede Eingabe, die im Internet Explorer getätigt wurde. Diese Datei am besten ausdrucken, von einem sicheren PC aus ALLE Logindaten (ebay,onlinebanking etc.) ändern und später nachprüfen, ob auf den aufgelisteten Seiten irgend etwas auffälliges passiert ist.

3. Registry Einträge löschen.
Das aktuellste Update von Spybot findet die Registry Einträge selbstständig und erkennt auch, dass es dieser Trojaner ist.
Die, die ich bis jetzt identifiziert habe liegen unter:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\ControlPanel\load und heissen net_insll, ino und info_sze

4. Internet Explorer fixen.
Mit dem Tool LSPFix lässt sich der Internet Explorer wieder nutzen. Danach sollten als Präventivmaßnahme die Browser Helper Objects (BHO) deaktiviert werden. Dies lässt sich im Internet Explorer unter dem Menüpunkt Extras/Internetoptionen, dem Reiter Erweitert einstellen.
Entfernt hier die Haken für "Browsererweiterungen von Drittanbietern aktivieren", "Installation bei Bedarf aktivieren (andere)" und "Installation bei Bedarf aktivieren (Internet Explorer)"

5. Windows Explorer fixen.
Am schnellsten lässt sich der Explorer wieder fixen, in dem ihr auf Start/Ausführen geht und dort "rundll32.exe setupapi ,InsallHinfSection DefaultInstall 132 %windir%\inf\ie.inf" eintippt und mit Enter bestätigt. Hat bei zwei PCs von mir wunderbar funktioniert. Nicht sehr elegant, aber effektiv

Das wärs soweit.
Bitte ergänzt den Beitrag falls ihr wisst:

• woher der Trojaner kommt, wie die originale Exe heisst oder ob er auch über Websiten kommen kann
• welche zusätzlichen Registryeinträge, dlls, txt- oder Exedateien er anlegt
• wohin die Daten der beiden txt Datein geschickt werden

Viele Grüße
Bastard Operator
SirDregan