|
Bitte um Unterstützung / CoolWWWSearch Hallo ich brauche Unterstützung bei meinem Trojaner Problem. Wäre super, wenn mir jemand helfen könnte. Das Problem machte sich bemerkbar, indem Suchergebnisse bei google hin und wieder auf andere Webseiten als die angeklickten führten. Antivir hat nichts gefunden. Ich habe dann gestern Spybot aktualisiert und im abgesicherten Modus laufen lassen. Das Programm hat mehrere Probleme gefunden (u.a. CoolWWWSearch) und angeblich behoben. Das Problem mit google trat aber immernoch auf. Dann habe ich heute nochmal getestet und plötzlich kein Problem mehr mit google festgestellt. Trotzdem nochmal Spybot laufen lassen (diesmal nicht im abgesicherten Modus) und schon wieder findet das Progrogramm CoolWWWSearch. Auch unter einem anderen Benutzerkonnto konnte Spybot diesen Trojaner finden. Wie werde ich das Teil bloß los? Der CWShredder findet nichts. Hier mein Highjackthis log Code: Logfile of HijackThis v1.99.1Gruß Mario |
Die Datei C:\WINDOWS\system32\crypt32o.dll bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen und das Ergebnis hier posten (mit MD5 /SHA1). MWAV (eScan) - Free Antivirus -> Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Dauer des eScan: ca. 2-3 Stunden, je nach System! |
Hallo, die Datei crypt32o.dll konnte ich nicht finden. Meinst du crypt32.dll ? Diese Datei habe ich testen lassen mit folgendem Ergebnis: Datei crypt32.dll empfangen 2008.01.02 15:28:48 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.2.10 2008.01.02 - AntiVir 7.6.0.46 2008.01.02 - Authentium 4.93.8 2008.01.02 - Avast 4.7.1098.0 2008.01.01 - AVG 7.5.0.516 2008.01.02 - BitDefender 7.2 2008.01.02 - CAT-QuickHeal 9.00 2007.12.31 - ClamAV 0.91.2 2008.01.02 - DrWeb 4.44.0.09170 2008.01.02 - eSafe 7.0.15.0 2008.01.01 - eTrust-Vet 31.3.5424 2008.01.02 - Ewido 4.0 2008.01.02 - FileAdvisor 1 2008.01.02 - Fortinet 3.14.0.0 2008.01.02 - F-Prot 4.4.2.54 2008.01.01 - F-Secure 6.70.13030.0 2008.01.02 - Ikarus T3.1.1.15 2008.01.02 - Kaspersky 7.0.0.125 2008.01.02 - McAfee 5196 2007.12.31 - Microsoft 1.3109 2008.01.02 - NOD32v2 2761 2008.01.02 - Norman 5.80.02 2008.01.02 - Panda 9.0.0.4 2008.01.01 - Prevx1 V2 2008.01.02 - Rising 20.25.22.00 2008.01.02 - Sophos 4.24.0 2008.01.02 - Sunbelt 2.2.907.0 2007.12.30 - Symantec 10 2008.01.02 - TheHacker 6.2.9.176 2008.01.01 - VBA32 3.12.2.5 2008.01.02 - VirusBuster 4.3.26:9 2008.01.02 - Webwasher-Gateway 6.6.2 2008.01.02 - weitere Informationen File size: 602624 bytes MD5: 1389f9c42873a9a408842fc192ae5f84 SHA1: 587fef9deddbe297b11b6ee8703a957218dbea81 PEiD: - Um eScan werde ich mich jetzt kümmern. |
Meinte ich nicht, lass den eScan mal durchlaufen. Nicht wundern der spuckt ziemlich viele Fehlermeldungen aus. |
Anscheinend bin ich zu blöd, escan zu benutzen... Ich gehe über einen Router ins Internet, habe deshalb die Anleitung EScan mit Router befolgt. Im abgesicherten Modus konnte ich Escan aber nicht updaten. Dann habe ich die 2. Anleitung befolgt und Escan im "normalen" Modus aktualisiert. Zurück in den abgesicherten Modus, das gleiche Profil aufgerufen, in dem ich Escan vorher aktualisiert hatte, und über Start->Ausführen mwavscan.com eingegeben. Da erhalte ich aber eine Fehlermeldung, dass mwavscan.com nicht gefunden werden konnte. Was mache ich falsch? |
Downloaden, entpacken, starten, updaten und dann in den abgesicherten Modus wechseln sollte zum Ziel führen. |
Soweit funktioniert das dann auch. Nur wie starte ich das Programm dann im abgesicherten Modus? Wenn ich die mwav.exe wieder öffne, wird Escan natürlich wieder entpackt und ich müsste es wieder updaten. Wenn´ich über Start->Ausführen->mwavscan.com gehe, kommt diese Fehlermeldung, dass mwavscan.com nicht gefunden wird. |
Welches PackProgramm nutzt Du? Rechtsklick auf die Datei mwav.exe und "entpacken nach" o.ä. (je nach Programm) wählen. Dann weißt Du wo das Programm liegt. |
Hallo, ich habe heute nochmal Zeit gefunden, mich um das Problem zu kümmern. Ich habe escan manuell in einen Ordner entpackt und konnte da auch die mwavscan.com finden. Jetzt habe ich aber das Problem, dass beim klicken auf aktualisieren eine Fehlermeldung kommt: Download abgebrochen. Mit google habe ich alte Foreneinträge gefunden, in denen zu lesen ist, dass die Virensignaturen mit denen von Kaspersky identisch sind. Kann man die auch irgendwie manuell downloaden und in den entsprechenden Ordner entpacken? Damit könnte ich ausschließen, dass es sich um ein Serverproblem bei escan handelt. |
Kann auch durchaus sein, das Du Dir die eScan nun am besten mal neu runterladen musst. Kompatibel sind die Signaturen leider nicht. |
Jetzt verstehe ich die Welt nicht mehr... Ich habe das Programm nochmal neu heruntergeladen und wie eben entpackt. Die mwavscan.com ist jetzt wieder verschwunden. Dafür gibt es eine mexe.com, mit der ich das Programm normal starten und auch updaten kann. Jetzt läuft der Scan im abgesicherten Modus. Es ist auch schon was gefunden worden :( |
Zitat:
|
So, escan ist fertig und hat folgendes ausgespuckt: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Agent.bi, schon mal blöd. Als nächstes: Combofix Download ComboFix von hier oder hier auf Deinen Desktop. Mache einen Doppelklick auf combofix.exe Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
Hallo hier das log file von Combofix: Code: ComboFix 08-01-07.5 - Mario 2008-01-07 16:51:17.1 - NTFSx86Code: Logfile of HijackThis v1.99.1 |
1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. Zitat:
3. Speichere im Notepad als CFScript.txt auf dem Dektop. 4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Ein neues HijackThis log. |
Es wurde nichtnach einem Neustart gefragt, habe trotzdem Windows neu gestartet und dann das Hijackthislog erstellt. Combofix: Code: ComboFix 08-01-07.5 - Mario 2008-01-07 17:45:12.2 - NTFSx86Code: Logfile of HijackThis v1.99.1 |
Das Log sieht für gut aus. Clone Cd solltest Du besser vom Rechner entfernen, könnte z.B. ein mögliches Einfallstor gewesen sein. Stelle Antir ein, wie hier beschrieben, Update die Siganturen und führe einen Systemscan aus. Vorher aber noch den Ordner C:\Combofix löschen. Falls dort noch etwas gefunden wird, das Log hier posten! |
Super, ich hatte schon Angst, ich müsste das System neu aufsetzen. Vielen Dank für die Unterstützung! Ich habe CloneCD und CloneDVD deinstalliert (die habe ich sowieso nie wirklich gebraucht). Aber wo genau ist denn beschrieben, wie ich Antivir einstellen soll? Gruß Mario |
Glatt den Link vergessen. Link |
Antivir hat etwas gefunden: Code: |
Das Log ist fast Ok. Wenn Du BlazeDVD 7 Professional kennst und die Herkunft kennst und Ok ist, kannst Du die Dateien wiederherstellen. Für das andere: 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. [QUOTE] File:: C:\WINDOWS\system32\AppCert\prx97w.dll 3. Speichere im Notepad als CFScript.txt auf dem Dektop. 4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt |
Hallo Der Antivir Guard hat sich jetzt zweimal wegen dieser 'C:\WINDOWS\system32\AppCert\prx97w.dll' gemeldet. Combofix hat gemeldet, dass der Löschvorgang falsch programmiert oder fehlerhaft sei: Code: ComboFix 08-01-07.5 - Mario 2008-01-08 17:23:11.3 - NTFSx86Code: Logfile of HijackThis v1.99.1 |
Anleitung Killbox: Lade dir folgendes Tool herunter -> KILLBOX -Starte dann das Programm -klick auf die Option -> "delete on reboot" -kopiere diesen Text unter -> "Full Path of File to delete" Zitat:
http://scr.softonic.com/s2/46000/46370/0_killbox.gif |
Nach dem Neustart hat sich wieder Antivir gemeldet: Erst Code: In der Datei 'C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WAGFU78E\prx97w[1].dll'Code: In der Datei 'C:\WINDOWS\system32\AppCert\prx97w.dll'Ich habe mir diesen AppCert Ordner mal angesehen. Da befinden sich vier Dateien: filter.drv options.dat wnl32.dll wsil32.dll Google findet zumindest bei den letzten beiden Dateien Hinweise auf Trojaner. |
- Lade ATF- The Cleaner - Doppelklicke die ATF-CLeaner.exe um das Programm zu starten - Unter Main, wähle alle - Klicke den Empty selected Button - Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle - Drücke den Empty Selected Button Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt - Wenn Du Opera benutzt, klicke Opera und wähle alle - Drücke den Empty Selected Button Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt - Klicke Exit im Main Menü um das Programm zu schließen Führe Killbox für den Ordner wieder aus. |
Hat leider nichts gebracht. Nach dem Neustart ist der Ordner noch da und nach ein paar Sekunden kommen wieder die Antivir-Meldungen wegen der prx97w.dll :mad: |
Ok, GMER - Rootkit Detection * Lade Gmer von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries http://img464.imageshack.us/img464/9996/gmerzj1.jpg * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden. |
Und das kam dabei raus: Code: GMER 1.0.13.12551 - http://www.gmer.net |
Ok, das ist in Ordnung und gut so. MWAV (eScan) - Free Antivirus -> Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Dauer des eScan: ca. 2-3 Stunden, je nach System! |
Das hab ich doch schonmal gemacht.? Na dann auf ein neues... |
Zitat:
Edit :Poste mal bitte das Killbox Log C:\!KillBox\Logs\kb.log |
Jetzt läuft escan schon. Ich poste dann beide logs, wenn escan fertig ist. |
So, hier das escan log: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Code: Pocket Killbox version 2.0.0.881 |
Bitte lasse Dr. Web CureIt wie hier angegeben laufen. Poste dann das Log Zitat:
|
Hallo, folgendes hat Dr.Web gefunden (hab ich aus der CSV-Datei): Code: wlconfig.exe c:\programme\wlan monitor Modifikation von BackDoor.Generic.396 Verschoben.Das CureIt log ist 12MB groß, soll ich das wirklich posten? |
12MB :eek: Das lassen wir dann mal. Aber diese Datei C:\System Volume Information\_restore{E5B31A70-D00A-4340-8860-1C029CB37891}\RP323\A0015396.exe Bitte bei VirusTotal - Free Online Virus and Malware Scan prüfen und auswerten lassen. |
Die Seite ist aber extrem langsam heute. Die Überprüfung hat 14 Minuten gedauert... Der Ordner C:\System Volume Information existiert garnicht. Die Datei A0015396.exe wurde von Dr.Web in ein Quarantäne Verzeichnis verschoben. Sie scheint zum WLAN Monitor von meinem Arcor Router zu gehören, hat zumindest das gleiche Arcor Icon und wenn ich mit dem Zeiger über die Datei gehe, erscheinen Informationen wie Beschreibung: WLAN Monitor Firma: AccSys GmbH Ich habe die Datei bei VirusTotal hochgeladen mit folgendem Ergebnis: Code: Datei A0015396.exe empfangen 2008.01.09 16:40:59 (CET) |
Und das kam bei der anderen Datei raus: Code: Datei A0014248.exe empfangen 2008.01.09 16:56:13 (CET) |
Gut :) Den bekommen wir weg. Wir brauchen ein neues, größeres Filelist Über ein filelisting mit diesem script:Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Da ist sie: http://rapidshare.de/files/38253072/listing.txt.html |
Dein Rechner war schon mal infiziert? ich frage wegen 05.01.2006 13:46 1.379 c:\smitfiles.txt 29.06.2007 09:38 581.632 C:\WINDOWS\gmer.exe (die gmer taucht später noch mal auf) was war es damals? Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
C:\Windows\windt32.dll C:\WINDOWS C:\bases_x C:\mwav C:\!KillBox C:\QooBox C:\c9ea8c921710dc36fcac C:\WINDOWS\system32\Uninstall.ico C:\WINDOWS\system32\Help.ico C:\WINDOWS\system32\pavas.ico Die Programme C:\Programme\SlySoft C:\Programme\eDonkey2000 C:\Programme\Shareaza sind zumindest zu überdenken. Die Slysoft Produkte hast Du ja schon gelöscht, diesen Ordner kannst Du also auch schon mal löschen. |
[QUOTE=BataAlexander;315040]Folgende Datei/en Ordner löschen (wenn nicht auffindbar, dies bitte posten) C:\WINDOWS [\QUOTE] ??? Ich soll den ganzen Windows Ordner löschen?? Der Rechner war schonmal infiziert, ich kann dir aber leider nicht mehr sagen, was das Problem war. |
Bis auf den Windows Ordner habe ich alles gelöscht, ohne Probleme. Die drei Programme sind jetzt auch deinstalliert und die Ordner gelöscht. Die Untersuchung der vier Dateien bei VirusTotal läuft noch. |
Hier die Ergebnisse von VirusTotal: zotzw.dat: Code: Datei zotzw.dat empfangen 2008.01.10 18:05:22 (CET)Code: Datei 3Gsauron.INI empfangen 2008.01.10 18:09:50 (CET)Code: Datei dhgtb.dat empfangen 2008.01.10 18:19:20 (CET)Code: Datei oirmx.txt empfangen 2008.01.10 18:26:07 (CET) |
Zitat:
Sry Lösche die dhgtb.dat zotzw.dat Dann führe nochmal einen Scan mit Avira aus. |
Antivir ist durch und hat bis auf zwei Warnungen nichts gefunden: Code: |
Hallo Mario. Sorry, habe selber riesiges Problem und bin zu doof in diesem Forum eine Frage zu erstellen. Die FAQ bringt mich auch nicht weiter. Da steht etwas von "Thema erstellen" Button betätigen. Woooooo ist denn der ? Angemeldet und registriert bin ich. Suche jetzt schon 45 Minuten. Hoffe du kannst mir weiterhelfen. |
Schau dir mal folgendes Bild an: http://rapidshare.de/files/38264360/NeuesThema.jpg.html |
Ich glaube, ich schilder mein Problem lieber nicht, wenn ich schon zu blöde bin, den Button zu finden ;-) Habe überall gesucht, ohne ein Hauptthema zu wählen. Danke für deine Hilfe, kann dann jetzt an mein eigentliches Problem gehen :-) |
Zitat:
Die Antivir Meldungen sind ok und normal. Seit sehe ich Dein System im Moment als sauber.:aplaus: Ohne Deine aktive Teilnahme wär das nicht möglich gewesen.:daumenhoc |
Der Ordner ist nicht gelöscht. Da sind auch noch Dateien drin. Darf ich den manuell löschen? Komplett wie er ist? Vielen Dank auf jeden Fall für deine Hilfe. Aus dem ganzen Kauderwelsch werde ich nämlich überhaupt nicht schlau. Ich hätte den PC niemal alleine sauber gekriegt. |
Versuche den Ordner manuell zu löschen! Dann den Papierkorb leeren! |
Hallo, ich muss mich nochmal melden. Der Ordner lässt sich nicht löschen. Es erscheint eine Fehlermeldung, dass die Datei hb13a.dll nicht gelöscht werden kann, Zugriff verweigert. Stellen sie sicher, dass die Datei nicht benutzt wird. Ich hab mal alle Dateien bei VirusTotal gechecked: Code: Datei hb13a.dll empfangen 2008.01.12 11:26:58 (CET)Code: Datei filter.drv empfangen 2008.01.12 11:37:12 (CET)Code: Datei options.dat empfangen 2008.01.12 11:44:22 (CET)Code: Datei wnl32.dll empfangen 2008.01.12 11:50:52 (CET)Code: Datei wsil32.dll empfangen 2008.01.12 11:56:31 (CET) |
In Dem Thread, lagen die Probleme aber auch imho etwas anders. Dennoch ist vor der Verwendung jeden "Tools" zu bedenken, dass sie Probleme mit sich bringen können. Imho hatten wir den Ordner eigentlich schon hier gelöscht, seh aber im später geposteten Log grad, dass das wohl nicht passiert ist. |
Dann versuche ich den Ordner mal mit der KillBox zu löschen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board