Hi,

nicht nötig, würde aber die Dateien versuchen alle auf *.vir umzubenennen...

chris

hat bei den datein problemlos geklappt, was soll ich mit den ordner machen ?

Hallo erstmal und "Willkommen im Club" (besonders an sacastor gerichtet! hehe).

Ich hab das Teil auch drauf. Seit dem 05.12. als ich eine "eigentlich Vertrauenswürdige Website (für Mapper)" besucht habe. Naja, jedenfalls war ich fleissig an Texturen designen ect. pp. und mein Browser war die ganze Zeit auf der Website offen (normalerweise passiert da nix -dh: ActivX pp. an). Nach einer Stunde bemerkte ich plötzlich, das sich eine Seite im Vordergrund öffnete und ich wurde auf einen Schlag "hellhörig" (denn normalerweise ist mein Browser so eingerichtet, das sich seiten nur im Hintergrun öffnen). Auf jedefall schnell reagiert, Seite weggeklickt, Sicherheitseinstellungen hoch ect. pp.

Doch da war es wohl schon so spät!

Seitdem plage ich mich mit dem gleichen Problem wie sacastor rum.

Ich gebe euch mal einen kleinen Bericht darüber, was ich schon alles (in den 4 Tagen) Versucht und auch Festgestellt habe:

Als erstes mal die Virenscanner betätigt (bei mir warns: COMODO und AntiVir). Dann noch mit AdAware auch hinterher. Die haben nicht wirklich was gefunden. Also auch gleich mal mit dem ProcessExplorer nachgeschaut, was so läuft und wo das Ding ist... nebenbei RegCleaner und CCleaner gestartet und mal alles Auffällige überprüft und entfernt. Ebenfalls die msconfig überprüft, damit sich nichts beim "Systemstart" mithochlädt.

Und irgendwann war es ja mal Zeit für nen Neustart. Letzlich haben diese Massnahmen nur mäßigen Erfolg gehabt. Denn "das Teil" ist Intelligent (Schade das der Programmierer seine Fähigkeiten so vergeudet und nicht anders einsetzt), denn dann fiel mir im Process Explorer auf, das sich gewisse "kryptisch-geschriebene" dll's (bevorzugt an die rundll32.exe) dranhängen -> demzufolge muss es eine Quelle geben, die das tut. Also rein in die Diensteverwaltung von XP und geprüft ob dort etwas unerwünschtes beim Hochfahren mitlädt. Dort wurde ich fündig (hiess, glaube ich "Network Diagnostic" oder ähnlich) und hab das Teil eleminiert. Nebenbei habe ich meine Firewall angewiesen exact jede Anfrage ins Internet zu sperren, es sei denn, ich gebe eine Ausnahme! Bin dann auch gleich in "WINDOWS/system32"-Ordner rein und alle dll's ab dem Datum 05.12.2008 gelöscht. RegCleaner und CCleaner auch nochmal abgecheckt. Doch nun kam das, was auch sacastor erleben durfte - es blieb immer eine dll-übrig. Auch wenn man im Abgesichrten Modus das Teil eleminieren wollte.

Doch nun der Hammer ist (was leider auch sacastor erleben durfte): Das Teil legt neue dll's an. Wenn man also die dll's dauert es nicht lange, das neue dll's unter anderen "kryptischen Namen" da sind und mitgeladen werden.

Gut, ok, dachte ich, dann muss ich mal janz hart an die Sache ran gehen. Ebefalls erstmal die dll's löschen und nun: die rundll32.exe eleminieren... huch... naja, nicht ganz, aber die Verknüpfungen zu rundll32.exe und sämtlichen dll's gelöscht. Neustart gemacht -> und leider zuviel gelöscht - Programme lassen sich nciht mehr starten... ich stand natürlich kurz vor dem Gau (Systemneu und son Kram). Jetzt schnell alle fragwürdigen dll's gelöscht, die mir den Mist eingebrockt haben (ups -> jetzt kann man sie entfernen hrhrhr). Und "Gott sei dank" hatte ich ja eine ZIP-Datei names exefix mit der ich die exe-Verknüpfungen wieder herstellen kann.

Tja, so, ich habe mich also gestern schon als "der Sieger" gesehen und gedacht, das Ding ist nu erledigt. Aber Pustekuchen: Es entstand tatsächlich eine neue dll und 3x dürft ihr Raten - jaaa, sie hängt sich wieder an rundll32 und anderen exe-Dateien ran. *grml* Da macht man so viel und hat es immer noch nciht geschafft (bzw. es nur geschafft das Problem einzudämmen).

Nun denn, jetzt kam endlich bei mir heute auch HiJack zum ersten mal zum Zug. Alles "Auffällige" gelöscht. Aber die Drecks-dll is immer noch da... Ok, jetzt der Tip von Chris4You mit dem Avenger -> der ist Gold wert!!! Daaaanköööö!!! Ok, Firewall meckerte bissl rum und musste ich immer wieder Zugang erlauben und auch hin und wieder "Weiter" ect. drücken, aber dann kam der Neustart. Und ich war erstaunt -> alle dll's sind wech!

Ich hoffe nur, das bleibt auch so (dann bin ich Doch noch der Sieger... hrhrhr... Drecks-Programmierer -> Ich hab Gewonnen!!!). Aber mal ernst, ich befürchte nämlich das gleiche wie sacastor, das es wieder Auftauchen wird.

Warum? -> Das beseitigen der dll's beseitigt nur die Symptome. Die Ursache bzw. Quelle des Problem's scheint verdammt gut Versteckt zu sein. Ich habe das dumpfe Gefühl, das die Sache noch nicht ausgestanden ist. Immer wieder die dll's zu löschen bringt ja insofern nichts (da ja neue dll's generiert werden) wenn wir nicht die Quelle eleminieren (auf den jeweiligen befallenen Rechner).

Und schaut mal bitte auch in eure Systemwiederherstellung rein - denn ich gehe jede Wette ein, das dort Systemwiederherstellungspunkte sind (wie bei mir), die seit dem Befall gemacht wurden und ihr selber diese aber nicht angelegt habt. Löscht diese Wiederherstellungspunkte (und legt nachdem ihr Sicher seid, nachdem das System gesäubert habt einen eigenen Wiederherstelolungspunkt an)!

Ebenfalls löscht alle Einträge bzgl. dll`s in der "System Volume Information" -> "_restoreXXXblablabla" -> "RPXXXblablabla" (Vorsicht beim Löschen: wer da zu grosszügig löscht, der macht wohlmöglich seine Verzeichnisstruktur der Partition kaputt -> schaut genau hin, wie die dll's heissen und vergleicht die Dateigrösse mit der "ehelmigen aktiven kryptischen" dll -bei mir war die 126 kb gross-).

Bzgl. HiJack This: Eleminiert auch die "Umleitung" (NameServer = XXX.XXX.XXX.X). Im schlimmsten Fall kann es sein, das ihr nach einem Neustart keinen Kontakt mehr zum Internet habt (obwohl bei mir nur meine IP zum Router drin stand, habe ichs sie Sicherheitshalber trotzdem gelöscht - nicht das sich dahinter noch nen Trick versteckt und in wirklichkeit woanders zb. in die Ukraine Daten abgehorcht werden...). In dem Fall geht ihr auf eure Netzwerkverbindungen -> LAN-Verbindung und TCP/IP Protokoll und tragt bei DNS-Server die IP eures Router's ein -bei mir 192.168.178.1-

Bzgl. Avanger achtet darauf, das ihr die dll-Namen des Script's korrekt austauscht (ergo: C:\WINDOWS\system32\yaponema.dll = name1blablub.dll / c:\windows\system32\lipewedi.dll = name1blablub.dll usw. usf.).

So, ich hoffe das ich nun wirklich, das ich gewonnen habe - die nächsten Tage werden es zeigen... aber mal was anderes: Traurig das der Programmierer seine Kraft, Kenntnisse und Fähigkeiten nciht in nützliche Projekte reinsteckt. Denn der, der das Teil geschrieben hat, der war nciht doof. Es ist Traurig, das sein Talent so vergeudet wird. Scheisse ist das! *schnief* Ehrlich! Leider hat der echt ne starke Kriminelle Ader -> denn Werbung als Tarnung, um in Wirklichkeit die Daten abzuhorchen lässt nur eines zu: an Passwörter kommen, an ein Opfer zu kommen und um Geld abzusahnen.

Naja, shit happens. Wir gewinnen eh!

Edit1: scastor - Nicht nur die Dateien löschen, schaue nach, ob sich """"Software"""" installiert hat und "deinstalliere" bzw. lösche die (notfalls zb. mit RegCleaner oder CCleaner und auch in die msconfig sowie bei den Diensten nachschauen! So hab ichs gemacht.

Edit2: Tja, ich habe mir grad so die anderen Beiträge durchgelesen und stelle fest -> Das Teil wird demnächst sicher "noch gefragter" werden. Wir sind ja erstmal wohl nur die Testdummy's. Das wird ja noch lustig, wenn sich das Teil erstmal sooo richtig weiterverbreiten sollte...

ok, erstmal ne frage, wie kann ich in system volume information was sehen/löschen, ich bekomm ne fehlermeldung, wenn ich den öffnen will^^

zu dem rest, hb ich alles durch reg gecleant, blabla prozesse software (achtung beim deinstallen von dem guten, wenn ihr seinen deinstaller verwendet, vervielfältigt der sich).
Ich hab auch seine letztte instanz mittlerweile gefunden, komme allerdings nich gegen sie an (das was ich in meinem letzten post geschrieben hab bezüglich der .dll im system volume information ordner).

ideen?

Also, vielleicht mal die Einstellungen des Windows Explorer's ändern (Extras -> Ordneroptionen -> [ Ansicht ]. Hierbei sind folgende Einstellungen besonders wichtig: Hacken weg -> Geschützte Systemdateien ausblenden, Hacken setzen -> Inhalte von Systemordnern anzeigen, Punkt setzen -> Alle Dateien und Ordner anzeigen.

Tja, ich weiss mittlerweile auch nicht mehr weiter.

Ich habe gerade beim Neustarten meines Systems gemerkt (dank Process Explorer gesehen), das sich wieder eine dll (nun heist sie bei mir: nhymnl.dll = 126 kb / Exakte Grösse: 129.024 Bytes, grösse auf Datenträger: 131.072 Bytes) an die rundll32.exe ranhängen wollte. Das komische war allerdings, das sie nur ein paar Sekunden lebte und genauso schnell wieder "entladen" wurde. Andere Programme bzw. exe-Dateien sind sauber, Registry Sauber, lt. HiJack alles Sauber, keine "unerwünschter Wiederherstellungspunkt" also Sauber. Habe auch schnell mal Autostart, die Systemstart mit msconfig und in den Windows-Diensten nachgeschaut ob wieder was dazugekommen ist -> nüscht's - "sieht" sauber aus.

Für mich heisst das: Das Problem ist zwar nun Eingedämmt, aber leider immer noch nicht beseitigt (besiegt). Wie gesagt, irgendwo muss die Quelle sein. Die dll's zu beseitigen wird nicht reichen.

Ich an meiner Stelle habe alles getan, was ich kann und Register gezogen. Wenn das Teil schlimmer wird und ich nciht mehr eindämmen kann (was ich nicht hoffe), dann sehe ich "fröhlicherweise" wohl einer Neuinstallation von Windows entgegen.

Korrektur/Update: Doch, sie ist wieder da. Ich habe mir mal alle Prozesse mit ProcessExplorer genauer angeschaut. Die "kurze Zeit" hat gereicht, das sich nun die nhymnl.dll (09.12.08), eine ljJccayY.dll (05.12.08, 296 kb, Grösse: 302.592 Bytes, Datenträger: 303.104 Bytes), eine hgGwWQiI.dll (05.12.08, 32 kb, Grösse: 32.768 Bytes, Datenträger: 32.768 Bytes) dranhängen. Und jetzt nicht irgendwo (ich meine rundll32.exe ist schlimm genug) sondern sich direkt bei explorer.exe einnisten. Ironischerweise findet/listet Hijack die nicht auf. Ich frage mich, wie die das schaffen... Naaaaa Supaaaa... Dabei waren die Dinger alle entfernt. Ich kann nur nochmal betonen nicht die Symptome, sondern die Quelle zu eleminieren.

Update2: Grad einfach mal ProcessExplorer beobachtet. Plötzlich sehe ich, die AcroRd32Info.exe des AcrobatReader startet. Ratet mal was dabei war: Natürlich eine dll und zwar: ljJccayY.dll. Das waren nur wenige Sekunden und AcroRd32Info.exe war wieder weg. Daraufhin mal alle Prozesse durchgegangen. Und siehe da: ljJccayY.dll hat sich in der lsass.exe eingenistet (lsass = Geschützer Speicher, Sicherheitskontenverwaltung... na hahaha... danke M$!). Auf jedenfall steht damit fest, das man "gegen die Zeit" kämpft. Wahrscheinlich werden so Stück für Stück alle Prozesse infiltriert. Das ist, wie gegen Windmühlen kämpfen...

Update3: 10 Minuten später atitray.exe auch befallen (in der Zeit wo ich "Update2" geschrieben habe). loool - sogar ProcessExplorer selber... loool

also erstmal: des geht so weit, dass jede einzelnle .dll sich an ALLE prozesse hängt ^^

wie gesagt, ich hab es jetz nurnoch alle paar zig minuten mit einer dll im system volume bla zu tun, die ich auch wenn ich ein anderes OS starte (in dem fall BartPE) löschen kann. kommt aber nach n paar reboots wieder (unter neuem namen natürlich).

wo in drei teufels namen, hat der gute seine quelle...

ich werd einfach nur feiern, wenn mir jemand sagt wies geht^^

Ich finds eigentlich nur Traurig, das der Programmierer von diesem Misst sein Talent total Vergeutet. Der hätte nen Wahnsinns-Potenzial vernünftige Dinge zu schreiben... aber neee, der muss son Misst Programmieren. Also: Ich sehe es also eher Sportlich - wer gewinnt: Wir oder der der den Dreck geschrieben hat. Und für den Notfall sind meine Daten eh alle schon lange als Backup vorhanden.

So, aber mal ernst. Ich bin einem anderen Lösungsansatz vorrangegangen: Und zwar folgende Gedankenschritte. Die dll's werden scheinbar immer wieder nach einem bestimmten Schema neu erstellt. Zuerst wird eine dll mit dem heutigen Datum "generiert". Die wiederum "erweckt" andere "versteckte Scripte od. Programme" zum Leben, welche wiederrum neue dll's erstellen, die sich wiederum an "exe-Dateien" hängen. Aufgefallen ist mir dabei, das zuerst eine dll mit aktuellen Datum und Erstellungszeit erstellt wird. Die anderen dll's sind erhalten scheinbar das Datum und die Erstellungszeit der "ersten Infiltration". Das ist mir nämlich Vorhin beim Vergleichen der dll's aufgefallen. Ich gehe davon aus, das der Programmierer in diesem Punkt nicht aufgepasst hat (er hätte besser ein "Zufalldatum" wählen sollen. Ergo ergiebt sich daraus, das die Quelle (der netten dll`s) zwangsläufig ebenfalls das Datum der ersten Erstellungzeit tragen. Das gibt uns wiederum die Möglichkeit an die Hand, alles zu Durchsuchen mit dem Datum des ersten Befalls (bei mir der 05.12.2008).

Das habe ich getan. Damit Dummys angelegt werden und alles unschädlich gemacht wird, habe ich dann den Avenger benutzt und Haufenweise Pfade inkl. Dateinamen eingetragen (natürlich habe ich mir jede einzelne Datei und jeden einzelnen Pfad vorher angeschaut, damit ich keine Systemrelevante Daten lösche).

Als ich fertig war, Avenger ausführen lassen und am besten nach Löschung der Dateien (aber vor Beendigung von Avanger -Reboot-), gleich auch die Pfade per Hand gelöscht.

So, System läuft ja, wie du siehst (sonst könnte ich nicht schreiben) und Jetzt werde ich abwarten und schauen was passiert...

PS: Ich weiss, ist ne Sauarbeit, aber vielleicht klappts ja. Men lernt gleich etwas und ist immernoch besser, als ein ganzes System völlig neu aufzusetzen (und vorher Backup von Daten zu machen -wo man nur Hoffen kann, das man nichts wieder reinschleppt!!!-).

Ach ja, noch PS: So verrückt es klingt - versuche mal die Dateien im System-Volume mit Hilfe des Avenger zu löschen (zb. C:\System Volume Information\_restore{blablabla}\RP174\dateiblablub.horror). Wie gesagt -> sei Vorsichtig dabei - sehr, sehr Vorsichtig!!!

So, erfreuliche Nachrichten: Wenn man meine "zwar eine Harte, Brutale und auch tw. ne manuelle Methode" anwendet (die Kombi - Avanger, Dateidatum insbesondere) wird man das Teil los!

Nun ist nen Tag vergangen und mehrere Neustart's und mein System ist immernoch sauber.

Ich hoffe, lieber sacastor, das hilt dir und auch anderen dieses Teil los zu werden (wenn eure Scanner das Teil nciht finden und erlegen können).