Hallo zusammen,
Seit heute habe ich das Problem, dass sich bei jedem PC-Start ein Fenster öffnet "Persönliche Einstellungen werden geladen für: shar".

Ich habe schon so ziemlich alles im Internet abgeklappert (Online-Trojaner Checker, AVG, Microsoft Spyware Finder, CCleaner, Adaware etc..) finde aber keine Lösung dazu.

Es deaktiviert mir den Antivir Guard, er lässt sich danach auch nicht wieder aktivieren er wird immer wieder deaktiviert?

Was ist das bloss? und wie werde ich das wieder los?

Kann mir bitte jemand helfen

Danke!

mawal

Da wollen wir doch mal hoffen, daß aus dem shar kein shark wird.
Du machst ein Hijackthis-Log und postest es hier.
http://www.trojaner-board.de/17493-a...ijackthis.html

Nimm als Download-Link
WinTotal - Software - HijackThis

O.k.
hier das logfile, allerdings bin ich nicht so der Computerextere ich hoffe ich habe es richtig gemacht und Ihr könnt mir helfen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:16, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\rundll32 .exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\RocketDock\RocketDock.exe
C:\HiJack\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Dcads Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\dcads_sidebar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: dcads - {6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} - C:\WINDOWS\system32\nsm18.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Tooltipizer - {C004D9F0-A742-4DC7-AFD0-BC29CE3FE04A} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\rundll32 .exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: RocketDock.lnk = C:\Programme\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DirMS_Defragmentation - Unknown owner - C:\Programme\MATCO\DirmsService.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6125 bytes


Vielen Dank!

mawal

Hallo!

Zitat:

C:\WINDOWS\rundll32.exe

ist dein Problem

Lasse diese datei bitte bei VirusTotal auswerten, und poste das Ergebnis - auch wenn nichts gefunden wurde!

___________________

Nun noch bitte eScan durchlaufenlassen, und den Bericht posten!


___________________

Öffne HijackThis, klicke auf scan, und mache vor diese Einträge ein Häckchen:

Zitat:

O2 - BHO: Dcads Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\dcads_sidebar.dll

O2 - BHO: dcads - {6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} - C:\WINDOWS\system32\nsm18.dll

O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\rundll32 .exe

nun "Fix checked" klicken, und PC neustarten.

_________________________

Das fixen und Bereinigen kannst du dir sparen.

Bei dir läuft dieses nette Würmchen und spioniert dich fleißig aus.

Setzte deinen Rechner daher umgehend neu auf! Anleitung ist in meiner Signatur verlinkt.
Ändere danach umgehend alle Zugangsdaten und Passwörter!

Hallo,
Danke an Alle! Besonders an 11boy11 für die Hilfe!! Ich habe alles nach Deiner Anleitung gemacht, leider ohne Erfolg.

Virustotal meldet das:

Datei rundll32.exe empfangen 2008.01.06 05:12:11 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

eScan findet Probleme, leider kann ich das Protokoll weder anhängen noch die Zeilen posten da es zu gross ist.

Ich glaube ich muss den PC so wie es undoreal vorschlägt platt machen..........

Welche Idiot haben da Spass dran.... Ich kapier diese blöden Hersteller von Trojaner nicht.....

Danke !!

mawal

Zitat:

Zitat von mawal

Welche Idiot haben da Spass dran.... Ich kapier diese blöden Hersteller von Trojaner nicht.....

zu allen Dingen gehören 2, Du hast Dir den Wurm installiert, kein anderer.
Und wenn Du Dein Verhalten nicht änderst, wird es wohl wieder passieren, ganz einfach.

btw: ändere alle Passwörter, nach dem Formatieren.

have fun,
Heike

@undoreal: Was micht Dich sicher, daß es sich um gerade diesen Wurm handelt?

@mawal : Hast Du wirklich
C:\WINDOWS\rundll32.exe
und nicht
C:\WINDOWS\system32\rundll32.exe gescannt?
Letzteres ist eine Systemdatei.

Auch
C:\WINDOWS\system32\nsm18.dll
würde ich bei virustotal.com überprüfen lassen.

Hallo nochmal,
mein PC ist noch nicht platt......

@ Boston
Beide Dateien die Du vorschlägst habe ich in meinem System nicht.
Wahrscheinlich habe ich sie bei einem meiner Putzläufe (Microsoft-Defender, avgas, antivir etc..) gelöscht oder so.
Ich habe die Windowssuche bemüht und finde jetzt beide Dateien nicht.

Allerdings stimmt es das ich die Datei aus dem Verzeichnis Windows/System32 onlin gescannt habe.

Danke!
mawal

Da die Dateien im HJT-Protokoll auftauchen, sollten sie auch noch vorhanden sein.
Es sei denn, Du hättest sie zwischenzeitlich gelöscht.
Guck mal, ob Du nach dieser Anleitung
Versteckte- und Systemdateien finden

C:\WINDOWS\rundll32 .exe
C:\WINDOWS\system32\dcads_sidebar.dll
C:\WINDOWS\system32\nsm18.dll

findest.

Dann lass die Dateien bei virustotal.com scannen und poste die kompletten Ergebnisse hier.

Das log ist eindeutig!

Zitat:

Setzte deinen Rechner daher umgehend neu auf! Anleitung ist in meiner Signatur verlinkt.

Ändere danach umgehend alle Zugangsdaten und Passwörter!

Cidres-security.de - Mit Sicherheit durchs Netz! - Startseite


Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Hier findest Du aktuelle Sicherheitsmeldungen.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwenung auf einem akutellem Stand!

Ich wollte Deine Kompetenz nicht in Zweifel ziehen.

Da ich gerne dazulerne: Was spricht außer der rundll32.exe und HJT-Auto-Auswertung für W32/Whipser-B?

Warum ist HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows DLL Loader im HJT-Protokoll nicht zu finden?

Warum hälst du andere, möglicherweise neue Maleware für ausgeschlossen?

Das Risiko würde ich keinem Fall eingehen wollen.

Zitat:

The backdoor component joins an IRC channel and awaits commands from a remote user. The backdoor component can be instructed to perform the following actions:

take part in a DDoS attack
log keypresses
capture data from webcam/screen
upload/download files
execute, rename, delete and copy files
send system information (hardware, filesystem, processes)
start a socks4 proxy server
redirect TCP traffic (IP spoofing)

jede Minute die dieser Rechner am Netz ist birgt ein enormes Risiko für den TO. Es kann sogar sein, dass der ursprüngliche Wurm garnicht mehr als dieser erkannt wird wenn ein VT Scan zu Rate gezogen wird. Sowieso halte ich auch von VT Ergebnissen nicht allzuviel. Habe schon zu viel gesehen was auch dort nicht erkannt wird.

Mich hat halt stutzig gemacht, daß die Registrierungseinträge von HJT-Protokoll und
Sophos-Beschreibung nicht übereinstimmen.

Ich hatte nie eine Bereinigung vorgeschlagen.

Vielmehr dachte ich, daß ein VT-Scan bei möglicher neuer Malware die Erkennung von
Antivir&Co verbessern könnte.