Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner TR/Renos.J.6 in C:\WINDOWS\system32\sshnas21(2).dll (https://www.trojaner-board.de/90327-trojaner-tr-renos-j-6-c-windows-system32-sshnas21-2-dll.html)

cosinus 04.09.2010 16:10

Das sind Überreste. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Helmlinger 04.09.2010 16:21

Hallo,
die Systemwiederherstellung habe ich gerade deaktiviert, somit alle Dateien gelöscht und anschließend wieder aktiviert. War das so korrekt. Oder sollte ich zur Sicherheit alles nochmals scannen lassen und per CCleaner mal gründlich durchfegen und dann erst die Systemwiederherstellung aktivieren?

cosinus 05.09.2010 14:22

Mach nochmal einen Durchgang mit AntiVir wenn Du die SWH reaktiviert hast, um sicherzugehen, dass auch die "giftigen" Wiederherstellungspunkte weg sind. Vorausgesetzt, Du brauchst die SWH überhaupt.

Helmlinger 05.09.2010 16:35

Hallo habe ich gemacht.
Ergebniss:

Code:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 5. September 2010  09:19

Es wird nach 2777015 Virenstämmen gesucht.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : HELMLINGER

Versionsinformationen:
BUILD.DAT      : 9.0.0.422    21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE    : 9.0.3.10    466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL    : 9.0.3.0      49409 Bytes  13.02.2009 11:04:10
LUKE.DLL      : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0      13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF  : 7.10.0.0  19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 20:49:52
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 20:49:59
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 20:50:01
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 15:33:23
VBASE005.VDF  : 7.10.6.82  2494464 Bytes  15.04.2010 18:04:47
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 07:57:22
VBASE007.VDF  : 7.10.9.165  4840960 Bytes  23.07.2010 06:20:42
VBASE008.VDF  : 7.10.9.166      2048 Bytes  23.07.2010 06:20:42
VBASE009.VDF  : 7.10.9.167      2048 Bytes  23.07.2010 06:20:42
VBASE010.VDF  : 7.10.9.168      2048 Bytes  23.07.2010 06:20:42
VBASE011.VDF  : 7.10.9.169      2048 Bytes  23.07.2010 06:20:42
VBASE012.VDF  : 7.10.9.170      2048 Bytes  23.07.2010 06:20:42
VBASE013.VDF  : 7.10.9.198    157696 Bytes  26.07.2010 17:08:10
VBASE014.VDF  : 7.10.9.255    997888 Bytes  29.07.2010 17:08:13
VBASE015.VDF  : 7.10.10.28    139264 Bytes  02.08.2010 17:08:20
VBASE016.VDF  : 7.10.10.52    127488 Bytes  03.08.2010 14:15:44
VBASE017.VDF  : 7.10.10.84    137728 Bytes  06.08.2010 14:15:37
VBASE018.VDF  : 7.10.10.107    176640 Bytes  09.08.2010 14:20:10
VBASE019.VDF  : 7.10.10.130    132608 Bytes  10.08.2010 14:20:21
VBASE020.VDF  : 7.10.10.158    131072 Bytes  12.08.2010 14:41:58
VBASE021.VDF  : 7.10.10.190    136704 Bytes  16.08.2010 16:48:04
VBASE022.VDF  : 7.10.10.217    118272 Bytes  19.08.2010 17:25:11
VBASE023.VDF  : 7.10.10.246    130048 Bytes  23.08.2010 14:09:56
VBASE024.VDF  : 7.10.11.11    144896 Bytes  25.08.2010 14:34:20
VBASE025.VDF  : 7.10.11.33    135168 Bytes  27.08.2010 15:40:06
VBASE026.VDF  : 7.10.11.52    148992 Bytes  31.08.2010 16:58:25
VBASE027.VDF  : 7.10.11.75    124928 Bytes  03.09.2010 14:54:03
VBASE028.VDF  : 7.10.11.76      2048 Bytes  03.09.2010 14:54:03
VBASE029.VDF  : 7.10.11.77      2048 Bytes  03.09.2010 14:54:04
VBASE030.VDF  : 7.10.11.78      2048 Bytes  03.09.2010 14:54:04
VBASE031.VDF  : 7.10.11.86    54784 Bytes  03.09.2010 14:00:29
Engineversion  : 8.2.4.50
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 17:09:04
AESCRIPT.DLL  : 8.1.3.44    1364346 Bytes  27.08.2010 15:40:09
AESCN.DLL      : 8.1.6.1      127347 Bytes  14.05.2010 08:05:51
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 18:40:05
AERDL.DLL      : 8.1.8.2      614772 Bytes  20.07.2010 13:59:33
AEPACK.DLL    : 8.2.3.5      471412 Bytes  07.08.2010 18:35:01
AEOFFICE.DLL  : 8.1.1.8      201081 Bytes  22.07.2010 14:14:24
AEHEUR.DLL    : 8.1.2.21    2883958 Bytes  03.09.2010 14:54:06
AEHELP.DLL    : 8.1.13.3    242038 Bytes  27.08.2010 15:40:07
AEGEN.DLL      : 8.1.3.20    397684 Bytes  27.08.2010 15:40:06
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 18:40:04
AECORE.DLL    : 8.1.16.2    192887 Bytes  20.07.2010 13:59:06
AEBB.DLL      : 8.1.1.0      53618 Bytes  23.04.2010 18:40:04
AVWINLL.DLL    : 9.0.0.3      18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL    : 9.0.3.0      44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.7      159784 Bytes  21.02.2010 20:50:12
AVREG.DLL      : 9.0.0.0      36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL    : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL  : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0      11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL    : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 5. September 2010  09:19

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '34023' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgalry.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Launchy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hardcopy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD6
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD7
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
    [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <Diana und Jan>
Beginne mit der Suche in 'E:\' <EXTERNE>
Beginne mit der Suche in 'F:\' <Backup>


Ende des Suchlaufs: Sonntag, 5. September 2010  15:25
Benötigte Zeit:  6:05:47 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  19888 Verzeichnisse wurden überprüft
 1127718 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 1127717 Dateien ohne Befall
  4914 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise
  34023 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Alles i.O. aus meiner Sicht. Was denkst du?

Wie verfahre ich nun mit den ausgeführten Programmen aus der LOAD.exe? Muss ich da noch was beachten, oder kann ich die alle vom Desktop schmeißen.

Kannst du mir noch nen Tipp geben, außer BRAIN.exe, wie ich mein ANTIVIR dauerhaft unterstützen kann. Gebe auch gerne Geld dafür aus.

Danke und schönen Sonntag noch!
Helmlinger

cosinus 05.09.2010 17:38

Zitat:

Alles i.O. aus meiner Sicht. Was denkst du?
Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.



Zitat:

Wie verfahre ich nun mit den ausgeführten Programmen aus der LOAD.exe? Muss ich da noch was beachten, oder kann ich die alle vom Desktop schmeißen.
kannst Du alles löschen wenn es Dich stört.

Zitat:

Kannst du mir noch nen Tipp geben, außer BRAIN.exe, wie ich mein ANTIVIR dauerhaft unterstützen kann. Gebe auch gerne Geld dafür aus.
Auf Software allein kannst Du Dich nicht verlassen, es gibt auch keine Sicherheit in bunten Pappschachteln. Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Helmlinger 05.09.2010 21:10

Super, werde Morgen die restlichen Arbeiten machen.

Ich bedanke mich vielmals für deine Hilfe!

Schönen Abend noch.

Gruß Jan

Helmlinger 06.09.2010 18:40

So habe alles nach deinen Vorschlägen gemacht. Hoffe ich habe ne weile Ruhe.


Ist es sinnvoll malewarebytes anzuschaffen und die Kiste regelmäßig zu sannen?

Danke!!

cosinus 06.09.2010 19:45

Zitat:

Ist es sinnvoll malewarebytes anzuschaffen und die Kiste regelmäßig zu sannen?
Die freie Version reicht....
Denk lieber an regelmäßige backups und an die anderen Punkte des Konzeptes!

Helmlinger 07.09.2010 05:16

:daumenhoc
Danke werde versuchen in Zukunft vorsichtiger zu sein!

cosinus 07.09.2010 07:58

Für (potentiell) "gefährlichere" bzw. sensiblere Sachen kannst Du Dir auch eine VM einrichten bzw. das Tool Sandboxie benutzen. Oder einfach ein Ubuntu oder eine andere Distro Deiner Wahl parallel installieren und glücklich sein :)

Helmlinger 08.09.2010 06:26

Hallo cosinus,
tut mir leid. Aber ich verstehe leider nur Bahnhof :confused: Kannst du detaillierter erklären was du meinst?

Danke

cosinus 08.09.2010 12:33

Was genau verstehst Du nicht?

Helmlinger 09.09.2010 07:22

Zitat:

Zitat von cosinus (Beitrag 564993)
Für (potentiell) "gefährlichere" bzw. sensiblere Sachen kannst Du Dir auch eine VM einrichten bzw. das Tool Sandboxie benutzen. Oder einfach ein Ubuntu oder eine andere Distro Deiner Wahl parallel installieren und glücklich sein :)


Die Fachausdrücke und Abkürzungen verstehe ich nicht.
Gruß

cosinus 09.09.2010 12:57

VM = Virtuelle Maschine, lässt sich mit VMWare oder Virtual PC von M$ einrichten
Sandboxie = Programm, um andere Appikationen in einer sicheren Sandbox laufen zu lassen
Ubuntu = die populärste Linux-Distribution lt. DistroWatch.com: Put the fun back into computing. Use Linux, BSD.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131