C:\Windows\system32\sshnas21.dll -- Trojaner
 

Hallo zusammen,

Benutze Windows XP mit SP3

Mein Problem äußerte sich in 2 Erscheinungen. Erstens wurden in meinem Browser (Firefox) Links umgeleitet. Dies passierte, wenn ich Google-Suchergebnisse mit STRG+Klick auf Link in einem neuen Tab geöffnet habe.
Zweitens hatte ich einen mir unbekannten Prozeß bhobmh.exe im Windows-Ordner. Wenn ich diesen Prozeß beendet habe kam er wieder, also habe ich ihn gelöscht. Ein Antivir-Scan und Spybot Search&Destroy fand nix. Am nächsten Tag hatte ich plötzlich 2 Prozesse die jeweils 50% CPU-Last hatten. Wenn ich einen Prozeß beendet habe, wurde ein weiterer gekapert. Das waren normale Prozesse wie Babylon. Ich konnte den Rechner nicht runterfahren, hab ihn also mittels Hardwareschalter ausgemacht.

Habe den Rechner dann mit Desinfec't gescannt. Leider ging nur Antivir.
Ergebnis:
Hab dann beides gelöscht und unter Windows die Load.exe ausgeführt.
Hier nun die Logfiles.

In Malwarebytes habe ich alles reparieren lassen. Doch was ist mit den Gmer und OTL Ergebnissen. Wie soll ich damit verfahren und kann ich mit defogger auf enable schalten.

Vielen Dank schon mal im Voraus für Eure Hilfe.
mfg
Alex

Hallo und :hallo:

Sieht aus als wäre Malwarebytes nicht ganz so aktuell gewesen. Mach mal bitte ein Update mit Malwarebytes und starte dann nochmal einen Vollscan.

Dank dir für deinen Hinweis.
Hab Malwarebytes jetzt nochmal laufen lassen, hat aber nix mehr gefunden.
Zum Zeitpunkt als ich den Scann mit den Funden hab laufen lassen, war die DB-Version aber aktuell.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

okay werd ich morgen machen. Dank dir für die Hilfe.

Was ist mit den Logfiles von OTL und Gmer? Muss ich da irgendwas fixen?

Nein da muss noch nichts gefixt werden. Ich brauch erstmal das Log von CF.

Habs doch noch schnell gemacht. Erst den CCleander laufen lassen und dann Cofi.
Da nen Windows-Neustart gemacht wurde, war natürlich auch Antivir und Spybot Search&Destroy wieder da. hab dann beides deaktiviert während cofi lief. Vielleicht sollte man beides aus dem Autostart rausnehmen. Stand aber nicht in der Anleitung.

schönen Gruß
Alex

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hab ComboFix erst noch aktualisieren lassen.

Für die 2 Zeilen unter File bin ich verantwortlich. Hab den Job (Task) angelegt und msheart als Programm zum ausführen benutzt. Ne kleine Rumspielerei.

Den Job hat er jetzt wohl gelöscht, ist aber nicht so schlimm.

Ok, sah merkwürdig aus, deswegen hab ich das gefixt.

Lad mal diese Datei runter => File-Upload.net - geoosm.zip
Und entpack sie nach c:\geoosm - die Dateien müssen direkt in diesem Ordner so liegen:

c:\geoosm\sfcfiles.dll
c:\geoosm\appmgmts.dll


Danach müssen wir nochmal mit CF ran:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

so fertig. Log im Anhang.

Hatten die beiden dll's ne falsche Größe?

Die hatten die falsche Prüfsumme, deswegen glaubte ich an eine Manipulation dieser beiden Dateien. Machen Schädlinge mittlerweile :balla:
Aber ich hab die beiden Dateien mit Exemplaren aus meiner Windows-Installation ersetzt, die sind definitiv sauber.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

ich mach jetzt gerad die Scans.

Aber wohl 2 probleme. Als gestern zum ersten Mal cofi.exe lief, machte das Programm nen Neustart. danach kam auch ne Fehlermeldung, die ich aber nicht sehen konnte. Jetzt hab ich sie gesehen.

Und zwar meldet der Update-Prozess von Starmoney, dass er das Profilverzeichnis nicht finden kann (ist aber da). hab das jetzt noch nicht weiter getestet, aber das war vor dem cofi-Scan noch nicht.


Das 2. betrifft nicht diese Geschichte und war eigene Dummheit. Sorry ;-)

so erstmal fertig. Im Anhang die logs. Es gab leichte Probleme beim gmer-Scann.

Also zusätzlich zum geposteten Problem mit Starmoney, hab ich noch folgendes Problem, welches vorher nicht auftrat.

Mit msconfig.exe hatte ich Antivir und TeaTimer im Autostart deaktiviert. Wenn ich auf übernehmen klicke, dann erhalte ich die Meldung:

Mache dann neustart und die Änderungen sind übernommen. Ich bin allerdings Administrator oder sollte sich da was geändert haben.

Dann gab es bei Gmer eine Fehlermeldung. ich weis nun nicht ob Gmer schon fertig war oder dann auch abgebrochen hat.

Fehlermeldung:
Hab dann die Fehlermeldung weggeklickt und wollte den Logfile speichern, als weitere Fehlermeldungen auspoppten. deren Inhalt war Schreibverlust und irgendwelche nicht gefundenen Treiber.

Hängt das damit zusammen, dass ich Antivir aus dem Startmenü rausgenommen habe? Muss ich den Gmer-Scan nchmal ausführen?

AntiVir lässt sich AFAIK so nicht deaktivieren, weil der Dienst besonders geschützt ist. Deaktivierung geht mE nur über das Regenschirmsymbol unten bei der Uhrzeit.

Die Logs sehen soweit ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Soooo, die Scanns sind abgeschlossen, hab alles erstmal unter Quarantäne gestellt.

Während das Update für SASW ausgeführt wurde, kam ne Meldung das was gefunden wurde. Da waren dann 3 Fenster offen, man konnte aber klicken was man wollte, es ging nix. Hab den Prozeß dann abgeschossen und den Scan gestartet.

Beim SASW ist eigentlich nur das Ding im Cache vom Firefox was, der Rest ist meiner Meinung nach sauber.

Erstaunlich ist ja auch das Malwarebytes auf einmal noch was im SVI-Ordner findet.

Die StarMoney-Fehlermeldung kommt immer noch. Ne Idee?
Außerdem kommt bei jedem Neustart die Meldung, dass was an der Systemkonfiguration geändert wurde, aber das hängt sicherlich mit Einträgen von den Scannprogrammen zusammen.

Das sind Überreste in der Systemwiederherstellung, deaktivier die mal.
Wegen Starmoney, ich kenn dieses Tool nicht, kannst Du es nicht mal neu installieren bzw. das Setup ausführen um eine Reparaturinstallation zu machen?

Soll ich Malwarebytes nochmal laufen lassen oder was ist jetzt die Aufgabe?

Was sagst du zum SASW log?

Die Sytemwiederherstellung hat interessanterweise schon jemand beendet. ich nicht.

Wo hab ich was von Malwarebytes geschrieben? :balla:

nee, hast du nicht. Aber auch nicht wie ich jetzt weiter vorgehen sollte.

Doch hab ich wohl :D
SWH deaktivieren (dass es deaktiviert schon war kann ich ja nicht bei Dir sehen) und Starmoney mal reparieren durch eine erneute Installation bzw. Reparaturinstallation. Sag nicht Du hast das überlesen ;)

Nee, hab ich nicht. Aber ich wollte das dann erst machen, wenn ich sicher bin das der Rechner wieder sauber ist.
StarMoney ist ne Finanzoftware und verwaltet meine Konten und so. Hab vom Profilordner auch nen Backup, welches ich bei Problemen verwenden kann.

Wollte wie gesagt erstmal die Viren-/Malwaresuche abschließen.

Ist da noch was zu tun (SASW-Log?)?

Wir wären erstmal durch oder sind noch andere Funde aufgetaucht?

Nur das Teil im Firefox-Cache. Die anderen Sachen im SASW-Log würde ich wieder aus der Quarantäne rausnehmen, da das sichere Sachen sind.
Und die BootSafe Geschichte aus der Anleitung hab ich nicht gemacht, da man ja erst die Auswertung des Logs abwarten soll.

Es hat sich ja so einiges im C:\-Verzeichnis angehäuft.

Die cofi-Ordner, Qoobox, cmdcons (ist wohl von der Wiederherstellungskonsole, kann ich die auch wieder deinstallieren, ist die auch für das grüne Icon des IE auf meinem Desktop verantwortlich?) und den ERDNT-Sicherungsordner unter Windows.
Kann ich die alle löschen? Gibts da noch mehr was ich übersehen habe?

Könntest du noch ne Empfehlung abgeben, welche Sicherheitssoftwaare ch laufen lassen soll. Denn alle gleichzeitig ist ja keine gute Idee, denke ich?

Wie groß ist denn die Wahrscheinlichkeit, dass der Rechner wirklich sauber ist?

Und nochmal ganz herzlich Dank für deine Unterstützung und Hilfe.

cmdcons lassen, Qoobox und cofi können weg, aber warum, was stört dich daran? Das sind nackte Ordner...

Du meinst Malwarebytes und SASW? Eigentlich stören die nicht. Aber kann deinstalliert werden.

Was erwartest Du jetzt, eine Formel die die Prozentzahl anzeigt? :D

na Qoobox nicht, da sind noch 2 Ordner und einie txt-Files und ein Ordner enthält noch die enthaltenen und umbenannten Dateien mit Schädlingen.


So meinte ich es nicht. Bisher nutze ich AntiVir und spybot Search&Destroy, aber beide haben mich in diesem Fall nicht wirklich überzeugt. Daher meine Frage was du empfehlen würdest bzw. selber nutzt als Viren bzw. Malwarescanner.

Mindestens. Nee nich wirklich. Nur irgendwas zur Beruhigung ;-)

Weiterhin kommt bei jedem Neustart die Meldung, dass etwas an der Systemkonfiguration geändert wurde. Wie kann das sein? Ich hab nix geändert.

Achso und was ist mit der defogger Geschichte? Muss ich das wieder auf enable stellen?

AntiVir un Spybot können runter wenn die nichts davon gefällt.
defogger kannste wieder rückgängig machen.
Die Meldung beim Systemstart bitte präzisieren, vllt nen screenshot posten.

aber was würdest du alternativ benutzen bzw was benutzt du?
okay, mach ich
Das mit dem Systemstart hab ich geklärt. Der stand auf benutzerdefiniert, hab ihn dann mal auf Normalen Systemstart gesetzt und dann meine Anpassungen gemacht. Dann kam die Meldung nicht mehr, obwohl er jetzt wieder auf Benutzerdefiniert steht.

bin gerad nen bischen sensibilisiert, wenn mein Lüfter anspringt. Ich hatte seit gestern 2 mal den Fall, dass der Prozeß system (Benutzer SYSTEM, Speicher 224 K) sich 50% CPU genommen hat.

Habe dann jeweils einmal Picasa (Filmerstellung) und einmal den Firefox (youtube-Video) beendet. Dann beruhigte sich der Prozeß wieder. Beim erneuten ausführen des gleichen Szenarios passierte es nicht.

Kann mich auch nicht erinnern, dass so etwas früher passiert ist. Muss ich mir da Sorgen machen?

Ich benutze keinen Virenscanner im Hintergrund weil der mich stört. Was für Dich gut ist musst Du selber sehen, einfach nur nen Virenscanner installieren und gut geht nicht, Du musst mit dem Virenscanner auch umgehen können.

da ist wohl was dran. Deswegen dachte ich ja du kannst mir was empfehlen, mit ner tollen Seite, die erklärt was man wie einstellen sollte.

Mit dem system Prozess dass scheint dich ja nicht zu stören. Es trat gerade schon wieder auf, aber das ist wohl eher ne Windows interne Geschichte, ob wohl die meines Erachtens vorher so nicht da war.

Ich Dank dir nochmal für deine Hilfe und geopferte Zeit und denke das wir (du) den Thread dann schließen kannst.

schönen Gruß
Alex

Wenn ich Dir was empfehlen soll - Sicherheit aus bunten Pappschachteln gibt es nicht!
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?