Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.09.2011, 18:24   #1
peterfarge
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



Hallo Forum,

folgendes Problem: Ich benutze den Firefox. Bei einer Websuche wird der erste aufgerufene Link aus dieser Suche auf eine der folgenden Seiten (Liste unvollständig) umgeleitet:
ahomeemployment1.info, www1.12finder.de/start, g.vuwl.com

Im HijackThis Logfile ist mir die conhost.exe aufgefallen.
virustotal.com: hxxp://www.virustotal.com/file-scan/report.html?id=6dd4d02710f699dee14aa2b891f48be97ad7d5f3db2a814bec073d3fd29bbc0c-1316703030
Außerdem ist eine dwm.exe gestartet. Eine csrss.exe ist aus einem Temp Verzeichnis heraus mit hoher Priorität gestartet. Abschießen über den Explorer -> Die Dinger sind innerhalb von Sekunden wieder da. csrss.exe läßt sich gar nicht abschießen.
Über die SuFu bin ich auf diesen Thread gestoßen: http://www.trojaner-board.de/96596-c...er-wieder.html

Was ich zuletzt installiert habe? Keine Ahnung wo ich mir die Sache geholt habe. Habe letztens die Win-Freigabe wieder aktiviert und vergessen zu deaktivieren. Bin aber eigentlich immer hinter einem Router mit dem Inet verbunden. Höchstens das einer im Intranet...

Habe mit defogger.exe die Cd Emus ausgeschaltet. Der OTL Scann siehe Anhang.

Ich habe einige Zeit als C, VB, .net Programmierer gearbeitet. Ein Stichwortliste oder Schubser in die richtige Richtung würde mir weiterhelfen. Wenn ich zu hause bin werd ich mir eine Knoppix brennen und mal versuchen die Dateien von außen heraus zu entfernen.


Viele Grüße

Peter

PS: Warum sind die Möglichkeiten im Web zu verlinken bei Euch so sehr eingeschränkt?

Geändert von peterfarge (22.09.2011 um 18:42 Uhr)

Alt 22.09.2011, 18:46   #2
peterfarge
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



Oha!
Mit Sysinternals Process Explorer kann man sie abschießen. Die Dateien können jetzt auch gelöscht werden. Nun geht aber das Internet nicht mehr! Ein Blick auf die Proxy Settings des FF offenbart: 127.0.0.1:61980
Gleiches gilt für den IE und Iron (benutzt die IE Settings.) So haben sie also den Seitenzugriff umgeleitet... mal schauen ob der Mist nach einem Neustart wieder kommt. Ansonsten ist das Prob gelöst...
__________________


Geändert von peterfarge (22.09.2011 um 18:54 Uhr)

Alt 22.09.2011, 22:15   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
__________________

Alt 23.09.2011, 20:31   #4
peterfarge
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



Die Reg Keys unter HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\load mussten noch nach dem Neustart entfernt werden. Der ESET Scanner hat keine Threads gefunden. Das Malwarebytes Logfile habe ich angefügt.
Im Temporary Internet files Ordner gibt es Malware. Habe den IE aber seit Monaten nicht mehr benutzt. Habe ihn gelöscht...
Beim PUM Eintrag geht es wohl darum das Eigene Dateien nicht auf dem Desktop angezeigt werden sollen. Beim anderen Eintrag geht es wohl um irgendwelche Control Channel Einstellungen. Hab mal was mit Tweak UI gemacht...

Ich denke der Rechner ist wieder in einem halbwegs akzeptablen Zustand.
Angehängte Dateien
Dateityp: txt mbam-log-2011-09-23 (16-19-46).txt (1,3 KB, 179x aufgerufen)

Alt 23.09.2011, 20:58   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



ESET hat wirklich garnichts gefunden? Wundert mich, weil es doch sehr empfindlich ist IMHO und zumindest eine toolbargetränkte Setupdatei finden müsste

Du hast leider keinen CustomScan mit OTL gemacht, hol das bitte nach:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.09.2011, 10:19   #6
peterfarge
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



Hm, ich achte schon darauf dass meine Maschine nichtzusuppt.

Alt 24.09.2011, 13:05   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.29 14:46:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011.09.23 21:22:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Babylon
[2011.09.23 21:22:24 | 000,000,000 | ---D | C] -- C:\Program Files\Babylon
[2011.09.23 21:22:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Babylon
:Commands
[emptytemp]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.09.2011, 12:07   #8
peterfarge
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



Der Sinn Deines letzten OTL "Skriptes" war einige Sachen zu fixen. Ich habe es mal laufen gelassen. Das meine individuelle hosts Datei durch die std Datei ersetzt wurde empfinde ich jetzt nicht als Fortschritt*g* Hab sie aus dem Backup Ordner zurück kopiert. Ansonsten Danke

Alt 26.09.2011, 11:26   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Standard

conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?



Die hosts setzt ich normalerweise immer zurück, weil viele Schädlinge die hosts manipulieren. Musst du dann auch slebst mal checken ob alle Einträge darin noch so richtig und gewollt sind.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?
adobe, antivir, avira, bho, browser, excel, explorer, format, helper, hijack, hijackthis, hijackthis logfile, host.exe, logfile, monitor, mozilla, otl scan, problem, realtek, registry, scan, sekunden, server, services.exe, software, temp, usb, warum, werbebot



Ähnliche Themen: conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?


  1. Gen:Variant.Kazy.707123 als repair.exe unter c:\programdata\
    Plagegeister aller Art und deren Bekämpfung - 12.08.2015 (17)
  2. Virus Gen:Variant.Kazy.631108 und Weiterleitung auf Myfilestore und adultfriendfinder
    Log-Analyse und Auswertung - 10.07.2015 (27)
  3. Virus:Gen:Variant.Kazy.631108 und weiterleitung auf Myfilestore etc..
    Mülltonne - 19.06.2015 (0)
  4. Virus "Gen:Variant.Kazy.418613 (Engine A)
    Plagegeister aller Art und deren Bekämpfung - 08.12.2014 (9)
  5. [3x Conhost?] Ständig laufen 3 Conhost.exe -Anwendungen
    Log-Analyse und Auswertung - 17.06.2014 (7)
  6. Virus Gen Variant Kazy 96431
    Log-Analyse und Auswertung - 11.07.2013 (1)
  7. Virus Gen:Variant.Symmi.10389 und Gen:Variant.Graftor.Elzob.23242 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.02.2013 (29)
  8. Gen:Variant.Kazy.116595: Reicht Entfernung von MFC71FRAW.dll?
    Log-Analyse und Auswertung - 01.01.2013 (2)
  9. Gen:Variant.Kazy.88735 (B) ; TR/Kazy.88735.3 ; Artemis!F1ED8568AD5F ; TROJ_GEN.RCBH1IM
    Log-Analyse und Auswertung - 01.11.2012 (1)
  10. Mehrere Viren - kazy.mekml1, kazy.20967, crypt.zpack.gen,... Win Vista
    Plagegeister aller Art und deren Bekämpfung - 25.10.2011 (3)
  11. Trojan.Generic.xxx, Exploit.JS.Pdf.AK, Gen:Variant.Kazy.154, Trojanerbefall
    Plagegeister aller Art und deren Bekämpfung - 30.05.2011 (22)
  12. variant.kazy hat meinen PC überfallen - otl+extra, mbam und hjt vorhanden + 2 Bilder
    Log-Analyse und Auswertung - 20.05.2011 (1)
  13. Explorer.exe funkt nicht richtig (variant.kazy Virus) mit Logfiles
    Log-Analyse und Auswertung - 19.05.2011 (2)
  14. Trojaner "Gen:Variant.Kazy.22655" nach öffnen Scr Datei ??
    Log-Analyse und Auswertung - 12.05.2011 (1)
  15. csrss.exe , dwm.exe , conhost.exe
    Log-Analyse und Auswertung - 05.05.2011 (2)
  16. Wohl Virus Gen:Variant.Kazy.9072, einige Webseiten nicht erreichbar, MBM nicht aktualisierbar
    Log-Analyse und Auswertung - 27.01.2011 (9)
  17. Befall von Trojan.Generic.kdv.55894 und GEn:Variant.Kazy.2385.taskeng.exe
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (1)

Zum Thema conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? - Hallo Forum, folgendes Problem: Ich benutze den Firefox. Bei einer Websuche wird der erste aufgerufene Link aus dieser Suche auf eine der folgenden Seiten (Liste unvollständig) umgeleitet: ahomeemployment1.info, www1.12finder.de/start, g.vuwl.com - conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot?...
Archiv
Du betrachtest: conhost.exe, dwm.exe, Gen:Variant.Kazy.38270, Werbebot? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.