Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   C:\Windows\system32\sshnas21.dll -- Trojaner (https://www.trojaner-board.de/92109-c-windows-system32-sshnas21-dll-trojaner.html)

geoosm 22.10.2010 14:09

C:\Windows\system32\sshnas21.dll -- Trojaner
 
Hallo zusammen,

Benutze Windows XP mit SP3

Mein Problem äußerte sich in 2 Erscheinungen. Erstens wurden in meinem Browser (Firefox) Links umgeleitet. Dies passierte, wenn ich Google-Suchergebnisse mit STRG+Klick auf Link in einem neuen Tab geöffnet habe.
Zweitens hatte ich einen mir unbekannten Prozeß bhobmh.exe im Windows-Ordner. Wenn ich diesen Prozeß beendet habe kam er wieder, also habe ich ihn gelöscht. Ein Antivir-Scan und Spybot Search&Destroy fand nix. Am nächsten Tag hatte ich plötzlich 2 Prozesse die jeweils 50% CPU-Last hatten. Wenn ich einen Prozeß beendet habe, wurde ein weiterer gekapert. Das waren normale Prozesse wie Babylon. Ich konnte den Rechner nicht runterfahren, hab ihn also mittels Hardwareschalter ausgemacht.

Habe den Rechner dann mit Desinfec't gescannt. Leider ging nur Antivir.
Ergebnis:
Code:

/media/sda2/System Volume Information/_restore{665B3943-02C5-4CF8-B1B6-60BBD5935A18}/RP44/A0030374.exe
 last modified on  Date: 2006-12-08  Time: 10:34:08,  Size: 21597 bytes
 ALERT: TR/Renaz.21597 ; trojan ; Is the Trojan horse TR/Renaz.21597

/media/sda2/WINDOWS/system32/sshnas21.dll
 last modified on  Date: 2010-10-13  Time: 15:30:48,  Size: 245760 bytes
 ALERT: TR/Crypt.EPACK.Gen2 ; trojan ; Is the Trojan horse TR/Crypt.EPACK.Gen2

Hab dann beides gelöscht und unter Windows die Load.exe ausgeführt.
Hier nun die Logfiles.

In Malwarebytes habe ich alles reparieren lassen. Doch was ist mit den Gmer und OTL Ergebnissen. Wie soll ich damit verfahren und kann ich mit defogger auf enable schalten.

Vielen Dank schon mal im Voraus für Eure Hilfe.
mfg
Alex

cosinus 23.10.2010 20:22

Hallo und :hallo:

Zitat:

Datenbank Version: 4895
Sieht aus als wäre Malwarebytes nicht ganz so aktuell gewesen. Mach mal bitte ein Update mit Malwarebytes und starte dann nochmal einen Vollscan.

geoosm 23.10.2010 23:35

Dank dir für deinen Hinweis.
Hab Malwarebytes jetzt nochmal laufen lassen, hat aber nix mehr gefunden.
Zum Zeitpunkt als ich den Scann mit den Funden hab laufen lassen, war die DB-Version aber aktuell.

cosinus 23.10.2010 23:47

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

geoosm 23.10.2010 23:58

okay werd ich morgen machen. Dank dir für die Hilfe.

Was ist mit den Logfiles von OTL und Gmer? Muss ich da irgendwas fixen?

cosinus 24.10.2010 00:01

Nein da muss noch nichts gefixt werden. Ich brauch erstmal das Log von CF.

geoosm 24.10.2010 00:52

Habs doch noch schnell gemacht. Erst den CCleander laufen lassen und dann Cofi.
Da nen Windows-Neustart gemacht wurde, war natürlich auch Antivir und Spybot Search&Destroy wieder da. hab dann beides deaktiviert während cofi lief. Vielleicht sollte man beides aus dem Autostart rausnehmen. Stand aber nicht in der Anleitung.

schönen Gruß
Alex

cosinus 24.10.2010 13:25

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Filelook::
c:\windows\system32\sfcfiles.dll
c:\windows\system32\appmgmts.dll

File::
c:\windows\Tasks\Low Battery Alarm Program.job
c:\windows\system32\mshearts.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

geoosm 24.10.2010 15:14

Hab ComboFix erst noch aktualisieren lassen.

Für die 2 Zeilen unter File bin ich verantwortlich. Hab den Job (Task) angelegt und msheart als Programm zum ausführen benutzt. Ne kleine Rumspielerei.

Den Job hat er jetzt wohl gelöscht, ist aber nicht so schlimm.

cosinus 24.10.2010 15:32

Ok, sah merkwürdig aus, deswegen hab ich das gefixt.

Lad mal diese Datei runter => File-Upload.net - geoosm.zip
Und entpack sie nach c:\geoosm - die Dateien müssen direkt in diesem Ordner so liegen:

c:\geoosm\sfcfiles.dll
c:\geoosm\appmgmts.dll



Danach müssen wir nochmal mit CF ran:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

FCopy::
c:\geoosm\sfcfiles.dll | c:\windows\system32\sfcfiles.dll
c:\geoosm\appmgmts.dll | c:\windows\system32\appmgmts.dll

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

geoosm 24.10.2010 16:28

so fertig. Log im Anhang.

Hatten die beiden dll's ne falsche Größe?

cosinus 24.10.2010 19:37

Die hatten die falsche Prüfsumme, deswegen glaubte ich an eine Manipulation dieser beiden Dateien. Machen Schädlinge mittlerweile :balla:
Aber ich hab die beiden Dateien mit Exemplaren aus meiner Windows-Installation ersetzt, die sind definitiv sauber.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

geoosm 24.10.2010 20:47

ich mach jetzt gerad die Scans.

Aber wohl 2 probleme. Als gestern zum ersten Mal cofi.exe lief, machte das Programm nen Neustart. danach kam auch ne Fehlermeldung, die ich aber nicht sehen konnte. Jetzt hab ich sie gesehen.

Und zwar meldet der Update-Prozess von Starmoney, dass er das Profilverzeichnis nicht finden kann (ist aber da). hab das jetzt noch nicht weiter getestet, aber das war vor dem cofi-Scan noch nicht.


Das 2. betrifft nicht diese Geschichte und war eigene Dummheit. Sorry ;-)

geoosm 25.10.2010 00:24

so erstmal fertig. Im Anhang die logs. Es gab leichte Probleme beim gmer-Scann.

Also zusätzlich zum geposteten Problem mit Starmoney, hab ich noch folgendes Problem, welches vorher nicht auftrat.

Mit msconfig.exe hatte ich Antivir und TeaTimer im Autostart deaktiviert. Wenn ich auf übernehmen klicke, dann erhalte ich die Meldung:

Code:

Es wurde ein zugriffsverweigerungsfehler, beim Versuch einen Dienst zu ändern, zurückgegeben.
Sie können sich als Administrator anmelden, um diese Änderungen durchzuführen.

Mache dann neustart und die Änderungen sind übernommen. Ich bin allerdings Administrator oder sollte sich da was geändert haben.

Dann gab es bei Gmer eine Fehlermeldung. ich weis nun nicht ob Gmer schon fertig war oder dann auch abgebrochen hat.

Fehlermeldung:
Code:

The application module.
C:\Programme\Avira\Antivir Desktop\ccwkrlib.dll

Cannot be found or has been modified or destroyed. The AVWSC.exe cannot be startet.
Please check your installation.

Hab dann die Fehlermeldung weggeklickt und wollte den Logfile speichern, als weitere Fehlermeldungen auspoppten. deren Inhalt war Schreibverlust und irgendwelche nicht gefundenen Treiber.

Hängt das damit zusammen, dass ich Antivir aus dem Startmenü rausgenommen habe? Muss ich den Gmer-Scan nchmal ausführen?

cosinus 25.10.2010 09:57

AntiVir lässt sich AFAIK so nicht deaktivieren, weil der Dienst besonders geschützt ist. Deaktivierung geht mE nur über das Regenschirmsymbol unten bei der Uhrzeit.

Die Logs sehen soweit ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19