Hallo alle zusammen,

komme gerade von meiner Freundin, die mich gebeten hatte, mal nach ihrem PC zu sehen, der seit neuestem nicht mehr "auf sie hört"..geschlagene 2 Stunden später war ich dann soweit, mir alles als Mail nach Hause zu schicken und hier zu posten, da ich nicht mehr weiter weiss. Ich poste euch jetzt einfach mal alle Fakten, die ich rausgefunden habe (inkl. Screenshots):

Probleme mit dem Internet (ISDN - Arcor):
Der PC versucht kontinuierlich eine Verbindung aufzubauen:

Code: Alles auswählenAufklappen

ATTFilter

Achtung!
Es wird versucht eine Verbindung zur Rufnummer: [leer] aufzubauen! Wollen
sie dies zulassen?
         

Und versucht man sich einzuwählen, indem man den Internet Explorer startet und eine Seite anwählt, dauert es knapp eine Minute oder sogar länger, bis das DFÜ-Wahlfenster erscheint.

Probleme mit dem System:
Einmal folgende Meldung beim Shutdown:

Code: Alles auswählenAufklappen

ATTFilter

Ohibok32.exe - Prozess reagiert nicht beim Shutdown. Sofort beenden?
         

Weiterhin lassen sich keine Systemfenster mehr öffnen, z.B. msconfig schliesst sich nach einer geschätzten halben Sekunde wieder, auch HijackThis macht dies, dauer konnte ich den PC damit nicht überprüfen; der Taskmanager verhält sich genauso, und auch wenn man Norton Antivirus starten will, wird der Mauszeiger zur Sanduhr und dann wieder zum normalen Zeiger, aber nichts passiert.
CWShredder hat auch nichts gefunden.

Ich habe dann mit Hilfe von jv16 und dem Security Task Manager zwei Screenshots gemacht:

Screenshot vom Security Task Manager

Screenshort der Autostart Einträge

Ergänzend zum Autostart noch 2 Einträge, die nicht aufs Bild passten:

Code: Alles auswählenAufklappen

ATTFilter

WindowsUpdate: Host32.exe
HKEY_LM\RunServices und HKEY_LM\Run
         

Was mir sofort aufgefallen ist, ist der erste Autostart Eintrag, "0utlook Express", mit der Ziffer "0" und nicht dem Buchstaben "O".

Für "QueenKarton" (besagtes Ohibok32.exe?) liefert mir Google keine eindeutigen Ergebnisse, sieht mir aber nach 'nem Trojaner (oder?) aus.

Adaware mit dem (an dem Tag) neuesten Update fand auch nur Cookies und keine Spyware etc..

So, hier noch ein paar Betriebssysteminformationen:

Windows XP
Professional
Version 2002
Service Pack 1

Laut windowsupdate.com fehlen 12 (oder 13?) Sicherheitsupdates, deren Namen ich auch hier noch gespeichert habe, falls die relevant sein sollten, kann ich die noch posten!

Ich hoffe, ihr könnt mir (und ich somit meiner Freundin) helfen!
Mit freundlichen Grüßen
Daniel

Hallo,

zuerstmal ein Lob an dich, für die genaue Fehlerbeschreibung.
Da sind einige Prozesse am laufen, di da nicht sein sollten => Malware.

Ist es möglich, daß vom infizierten PC ein Log-File erstellst und hier postest?
http://www.trojaner-board.de/51130-a...ijackthis.html

Zitat:

Zitat von Cidre

zuerstmal ein Lob an dich, für die genaue Fehlerbeschreibung.

Was man nicht alles für die Freundin tut

Ich würde ja gerne HijackThis zu Rate ziehen, hatte es auch schon von der genannten Adresse geladen, ABER:

Am Anfang kommt eine Art Hinweis, dieses nette Dialogfenster mit dem gelben Ausrufezeichen glaube ich, in dem irgendetwas drinsteht. Dieses Fenster verschwindet aber auch nach einer halben Sekunde wieder, kaum hat mans gesehen, ist es schon wieder weg. Ich habe dann mal 'nen Screenshot von gemacht und in Paint begutachtet, aber ich glaub es war nicht relevant und hatte nichts mit Problemen zu tun, unten im Fenster war ein "OK" Button, der sich so schnell leider aber nicht drücken ließ.

MfG
Daniel

Edit: Gerade gesehen, dass auf der HJT-Seite 'nen Tipp dazu steht, einfach umbenennen, der steht da aber noch nicht lange . Ich werde dementsprechend versuchen, so schnell wie möglich ein Log zu erstellen!

Zitat:

Am Anfang kommt eine Art Hinweis, dieses nette Dialogfenster mit dem gelben Ausrufezeichen glaube ich, in dem irgendetwas drinsteht.

Schau dir das auch mal an, könnte eventuell zutreffen:
http://support.microsoft.com/default...d=kb;de;192461

Starte mal im abgesicherten Modus, dann sollten sich HJT + msconfig ausführen lassen.

Andreas

Das sieht leider gar nicht gut aus - mehrere Backdoor-Prozesse laufen (u.a. Backdoor.Rbot). Sag deiner Freundin, sie soll mit dem System nicht mehr ins Internet gehen, denn dann haben unbekannte User über die aktiven Backdoors Kontrolle über das System (man kann es vereinfacht als Fernsteuerung bezeichnen).

Am sinnvollsten wäre es, wenn du ihr das System neu aufsetzen würdest, ohne aber zu vergessen, unmittelbar danach bestimmte Absicherungsmaßnahmen zu treffen: http://www.ntsvcfg.de


PS: auch von meiner Seite ein Lob für die ausführliche Problembeschreibung!

Edit, wichtig! Etwaige Dialer auf dem System müssten aber zuvor gesichert werden, also nicht gleich formatieren. Warum HijackThis sich nicht starten lässt: Es wird wahrscheinlich von einem Backdoor daran gehindert. Eine Lösung dazu folgt gleich.

Hier HijackThis - umbenannt in pruefung.com, verpackt als pruefung.zip. Damit sollte sich HijackThis ausführen lassen:
http://www.trojaner-board.de/51130-a...mlpruefung.zip

MH tja, erstmal vielen vielen Dank für eure Hilfe !!

Der Onkel meiner Freundin war zwischenzeitlich da und hat "irgendwas" (Zitat Ende) gelöscht (na wenn das mal nicht ein Fehler war). Nun soll angeblich alles wieder funktionieren, sowohl Norton als auch die anderen Systemprogramme, und auch diese Fehlermeldung des Programms, das der Security Task Manager als "QueenKarton" identifizierte, erscheint nicht mehr.

Klasse, ich habe jetzt mehrere Stunden am Tag an meinem PC gesessen, abends bis in die Nacht, mich durch dutzende zum Teil englisch sprachige Seiten und Foren gekämpft und alles studiert und mir einen genauen "Plan" zurechtgelegt, da kommt da der Onkel her und löscht irgendeine Datei (nicht per Software, sondern per Hand) und fertig ist's! Verdrehte Welt!

Aber nochmals DANKE für eure Mithilfe, ich werds alles anwenden, falls der PC mal 'nen Rückfall erleiden sollte!

MfG
Daniel

Mach bitte auf jeden Fall ein HJT-Log und poste es rein. Wenn sich auf dem Rechner aktive Trojaner befunden haben und deine Freundin mit dem Admin-Konto im Netz war, kann sich auf dem Rechner alles mögliche befinden, er ist nicht mehr vertrauenswürdig und eine Neuinstallation das einzig wirklich Sichere, selbst wenn der Onkel ein Experte auf dem Gebiet ist.
Wenn du noch ein wenig Lektüre brauchst:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/