TR/PWS.139264.21 in C:\\WINDOWS\system32\14889281.dll
 

Hallo

habe jetzt wie in den Forumregeln erwünscht zum einen google nach oben genanntem trojaner durchsucht, habe ccleaner, antivir und spybot mehrfach benutzt und habe das gesammte forum nach selbigem durchsucht und konnte ihn nicht finden, daher denke ich, ist es gerechtfertigt mein hijack-log zu posten. (ich kann ja verstehen das ihr nicht alle 2 tage das gleiche beantworten wollt.)

problem liegt darin, dass kein programm, das online arbeitet (ich meine damit updates von antivir oder icq etc.) zugang zum internet erhält, falls der trojaner von antivir in quarantäne versetzt ist. wenn ich ihn dann wiederherstelle funktioniert das internet normal (so wie grade im moment), wenn ich dann aber aus irgendeinem grund neustarte, funktioniert wieder nichts.
kommt mir absolut spanisch vor.
anderweitige einschränkiungen sind mir bisher nicht aufgefallen.

habe schon 2 informatikfreunde konsultiert, die mich an dieses forum verwiesen, nachdem sie auch keine bessere idee hatten.

daher hier die logfile

schonmal vielen vielen dank

mfg hurricane987

Halli hallo.

Dein System stammt aus dem Mittelalter. Das Service Pack 3 ist Pflicht! ;)
Ein ungepachtes system ist ein offenes Scheunentor für Schädlinge.
Installiere es daher bitte nachdem wir mit der Bereinigung fertig sind!

Arbeite jetzt erstmal ganz genau die AVZ Anleitung ab und hänge die zwei geforderten logs an deinen nächsten Post an.

hallo

ersteinmal vielen dank für die schnelle antwort.
habe soweit mal alles abgearbeitet, hoffe hab nix falsch gemacht.

zur frage wie es meinem pc geht:
bei jedem neustart, wenn antivir sich also wieder selbst eingeschalten hat, gabs drei trojaner-meldungen. hier die namen:
TR/Patched.Gen' in C:\WINDOWS\system32\winlogon.exe
TR/PWS.139264.21 in C:\WINDOWS\system32\14889281.dll (also wie gehabt)
TR/Patched.Gen' in C:\WINDOWS\system32\svchost.exe

desweiteren funktioniert internet etc. normal, auch sonst nix zu beanstanden.
hab die trojanermeldungen errsteinmal ignoriert um guard wieder deaktivieren zu können um die gewünschten skripte zu erstellen.

lg und vielen dank für die hilfe

grade beim anhängen gabs noch ne fehlermeldung von antivir:
TR/Patched.AA.515' in C:\WINDOWS\explorer.exe

Es gibt ein böses Problem auf deinem Rechner.

Er ist infiziert mit einem Schädling der die system Dateien und evtl. auch andere ausführbare Dateien infiziert.

Wir können eine Bereinigung versuchen nur ist das nicht wirklich sinnvoll denn der Schädling kann sich in jede beliebige ausführbare Datei schreiben und sobald du das infizierte Programmm dann startest geht der Mist wieder los.

Du solltest auf jeden Fall über eine Live CD deine Daten sichern. Diese dürfen aber in deinem Fall auf keinen Fall ausführbar sein!!! Was das bedeutet steht in der Anleitung nochmal explizit drinn.



Drucke dir diese Anleitung aus da sie dir während du mit der Live-CD arbeitest nicht zur Verfügung steht!


1. Brennen und Starten der LiveCD:

• Downloade dir dieses Archiv:
  Code:

  ---

  http://qshare.com/get/866107/MultiAVBootCD.zip.html

  ---

• Entpacke die Datei in einen eigenen Ordner. Das Passwort lautet: LiveCD2009
  
• Brenne die entpackte .iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
  
• Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und einen Auswahlbildschirm auf Italienisch anzeigen. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft ;) )

2. Datensicherung:

• Wähle im Auswahlbildschirm die zweite Option (Menu antivirus) aus.
  
• Im folgenden Auswahlbildschirm wähle den zweiten Eintrag (Avvio die GDATA) aus.
  
• Das G-Data Rettungssystem startet nun.
  
• Du wirst automatisch gefragt ob die Virus Signatures aktuallisiert werden sollen bestätige erst durch drücken des Si Buttons und danach mit Ok.
  
• Warte bis das Update beendet ist (100%) und schließe das Fenster durch Klicken des Chiudi Buttons.
  
• Danach kannst du das G-Data AntiVirus Fenster erstmal schließen.
  
• Öffne den File Manager (Gestione file) durch drücken des Akten Zeichens in der Taskleiste.
  
• Navigiere zu deinen Festplatten. Diese finden sich im Menü auf der Linken Seite unter Filesystem -> mnt
  
• Stecke deinen USB-Stick oder deine externe Festplatte in einen freien USB-Slot.
  
• Öffne den File Manager ein zweites mal und navigiere zu deinen USB-Stick. Dieser findet sich als letzter Eintrag im Menü des File Managers auf der Linken Seite.
  
• Nun hast du zwei Fenster geöffnet zwischen denen du per Drag&Drop bzw. Copy&Paste Daten verschieben kannst.
• Sichere deine wichtigen Dokumente. Allerdings so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben.
b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.
c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

3. Schädlingssuche:


Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird.

Starte den Rechner neu und boote wieder von der CD.

Nun solltest du als erstes mit Kaspersky scannen da dort die Wahrscheinlichkeit, dass er infizierte Dateien nicht löscht sondern desinfiziert noch am größten ist.


Kaspersky:

• Boote wieder von der CD und wähle (Avvio di kaspersky) aus.
• Danach wähle den ersten Eintrag rescue aus.
• Kasperksy09 startet. Das Update sollte automatisch starten. Wechsel in den Update Reiter und stelle sicher, dass das Update durchgeführt wird. Startet das Update nicht so starte es bitte manuell. Warte bis das Update beendet wurde und die Siganturen aktuell sind.
• Setze unter Settings -> Scan: den Haken bei All Archives.
• Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
• Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
• Ist der Scan beendet rufe das log auf und speichere es.
• Schreibe dir außerdem wie immer alle Funde auf ein Blatt Papier ab!!

F-Secure:

• Boote wieder von der CD und mache mit F-Secure weiter (Avvio di F-Secure).
• F-Secure updatet sich von alleine. Klicke dich durch die Dialoge und starte den Scan.
• Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
• Nachdem der Scan beendet ist starte den Rechner neu.

G-DATA:

• Starte G-Data.
• Starte nun die Schädlingssuche.
• Anfallende Log/Bericht Dateien speichere unbedingt!!
• Schreibe dir außerdem die Funde ab!!
• Nachdem G-Data durch ist starte den Rechner neu.

DrWeb:

• Boote wieder von der CD und wähle (Avvio di DrWeb) aus.
• Danach wähle den ersten Eintrag DrWeb-LiveCD aus.
• Klicke im Hauptfenster unbedingt den grünen Button (Update Bases)!
• Danach starte den Scan durch drücken des Start Buttons.
• Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
• Nachdem der Scan beendet ist starte den Rechner neu.

Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst.
Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten.


Wie du siehst ist das alles äußerst unsicher da es durchaus sein kann, dass die AntiViren Scanner dir einfach die infizierten Dateien löschen. Wenn das dann system Dateien sind zerschießt du dir damit den Rechner.

Stelle dich also unbedingt darauf ein, dass der Rechner nach der Prozedur evtl. nicht mehr startfähig ist!
Das heisst: Sicher wie oben beschrieben, und zwar nur so! alle wichtigen Dokumente, Bilder usw. die Dateien dürfen nicht ausführbar sein!
Und suche schonmal deine Windows CD bzw. deine Recovery Disk heraus. Die wirst du brauchen falls was schief geht und wir den Rechner neuaufsetzen müssen.

Hi, ich greife diesen Thread hier auf, weil ich auch diesen Virus habe und der sich bei mir in der Datei c:\windows\system32\196987421.dll versteckt.
Nachdem ich ihn aber mit Antivir gelöscht habe, funktioniert meine Internetverbindung nicht mehr.
CCleaner habe ich drüber laufen lassen.
Kann auch gut sein dass sich da über die Zeit noch anderer unerwünschter Müll angehäuft hat.

Wäre echt lieb, wenn mir jemand helfen könnte.