Trojaner-Board - conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? (https://www.trojaner-board.de/103601-conhost-exe-dwm-exe-gen-variant-kazy-38270-werbebot.html)

peterfarge

22.09.2011 17:24

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?

Hallo Forum,

folgendes Problem: Ich benutze den Firefox. Bei einer Websuche wird der erste aufgerufene Link aus dieser Suche auf eine der folgenden Seiten (Liste unvollständig) umgeleitet:
ahomeemployment1.info, www1.12finder.de/start, g.vuwl.com

Im HijackThis Logfile ist mir die conhost.exe aufgefallen.
virustotal.com: hxxp://www.virustotal.com/file-scan/report.html?id=6dd4d02710f699dee14aa2b891f48be97ad7d5f3db2a814bec073d3fd29bbc0c-1316703030
Außerdem ist eine dwm.exe gestartet. Eine csrss.exe ist aus einem Temp Verzeichnis heraus mit hoher Priorität gestartet. Abschießen über den Explorer -> Die Dinger sind innerhalb von Sekunden wieder da. csrss.exe läßt sich gar nicht abschießen.
Über die SuFu bin ich auf diesen Thread gestoßen: http://www.trojaner-board.de/96596-c...er-wieder.html

Was ich zuletzt installiert habe? Keine Ahnung wo ich mir die Sache geholt habe. Habe letztens die Win-Freigabe wieder aktiviert und vergessen zu deaktivieren. Bin aber eigentlich immer hinter einem Router mit dem Inet verbunden. Höchstens das einer im Intranet...

Habe mit defogger.exe die Cd Emus ausgeschaltet. Der OTL Scann siehe Anhang.

Ich habe einige Zeit als C, VB, .net Programmierer gearbeitet. Ein Stichwortliste oder Schubser in die richtige Richtung würde mir weiterhelfen. Wenn ich zu hause bin werd ich mir eine Knoppix brennen und mal versuchen die Dateien von außen heraus zu entfernen.

Viele Grüße

Peter

PS: Warum sind die Möglichkeiten im Web zu verlinken bei Euch so sehr eingeschränkt?

peterfarge

22.09.2011 17:46

Oha!
Mit Sysinternals Process Explorer kann man sie abschießen. Die Dateien können jetzt auch gelöscht werden. Nun geht aber das Internet nicht mehr! Ein Blick auf die Proxy Settings des FF offenbart: 127.0.0.1:61980
Gleiches gilt für den IE und Iron (benutzt die IE Settings.) So haben sie also den Seitenzugriff umgeleitet... mal schauen ob der Mist nach einem Neustart wieder kommt. Ansonsten ist das Prob gelöst...

cosinus

22.09.2011 21:15

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

peterfarge

23.09.2011 19:31

Die Reg Keys unter HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\load mussten noch nach dem Neustart entfernt werden. Der ESET Scanner hat keine Threads gefunden. Das Malwarebytes Logfile habe ich angefügt.
Im Temporary Internet files Ordner gibt es Malware. Habe den IE aber seit Monaten nicht mehr benutzt. Habe ihn gelöscht...
Beim PUM Eintrag geht es wohl darum das Eigene Dateien nicht auf dem Desktop angezeigt werden sollen. Beim anderen Eintrag geht es wohl um irgendwelche Control Channel Einstellungen. Hab mal was mit Tweak UI gemacht...

Ich denke der Rechner ist wieder in einem halbwegs akzeptablen Zustand.

cosinus

23.09.2011 19:58

ESET hat wirklich garnichts gefunden? Wundert mich, weil es doch sehr empfindlich ist IMHO und zumindest eine toolbargetränkte Setupdatei finden müsste :blabla:

Du hast leider keinen CustomScan mit OTL gemacht, hol das bitte nach:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

peterfarge

24.09.2011 09:19

Hm, ich achte schon darauf dass meine Maschine nichtzusuppt.

cosinus

24.09.2011 12:05

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

O4 - HKLM..\Run: []  File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2011.04.29 14:46:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

[2011.09.23 21:22:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Babylon

[2011.09.23 21:22:24 | 000,000,000 | ---D | C] -- C:\Program Files\Babylon

[2011.09.23 21:22:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Babylon

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

peterfarge

25.09.2011 11:07

Der Sinn Deines letzten OTL "Skriptes" war einige Sachen zu fixen. Ich habe es mal laufen gelassen. Das meine individuelle hosts Datei durch die std Datei ersetzt wurde empfinde ich jetzt nicht als Fortschritt*g* Hab sie aus dem Backup Ordner zurück kopiert. Ansonsten Danke :)

cosinus

26.09.2011 10:26

Die hosts setzt ich normalerweise immer zurück, weil viele Schädlinge die hosts manipulieren. Musst du dann auch slebst mal checken ob alle Einträge darin noch so richtig und gewollt sind.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Alle Zeitangaben in WEZ +1. Es ist jetzt 07:46 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19