| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.01.2010, 19:17
| #3 |
 |  Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? So. Nochmal mit Malwarebytes gescannt.
__________________Ein alter Log Code:
ATTFilter Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03.01.2010 18:36:46
mbam-log-2010-01-03 (18-36-39).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|Z:\|)
Durchsuchte Objekte: 329442
Laufzeit: 58 minute(s), 14 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\jsykm.exe (Trojan.Dropper) -> No action taken.
C:\Programme\Pcsx2\plugins\PadSSSPSX.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\sermcwxaon.tmp (Trojan.Dropper) -> No action taken.
Z:\Bilder\pno0001.exe (Malware.Packer.Krunchy) -> No action taken.
Z:\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\wkomr.exe (Trojan.Downloader) -> No action taken.
Nach dem scannen. Code:
ATTFilter Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.01.2010 18:44:24
mbam-log-2010-01-12 (18-44-16).txt
Scan-Methode: Vollständiger Scan (C:\|Z:\|)
Durchsuchte Objekte: 339969
Laufzeit: 1 hour(s), 0 minute(s), 17 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\.COMMgr\complmgr.exe (Trojan.Scar) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\mexowncasr.tmp (Trojan.Scar) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\rxncsemawo.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\Setup.tmp (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5TYJHJ9L\Setup[1].exe (Adware.Agent) -> No action taken.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.01.2010 18:45:15
mbam-log-2010-01-12 (18-45-15).txt
Scan-Methode: Vollständiger Scan (C:\|Z:\|)
Durchsuchte Objekte: 339969
Laufzeit: 1 hour(s), 0 minute(s), 17 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\.COMMgr\complmgr.exe (Trojan.Scar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\mexowncasr.tmp (Trojan.Scar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\rxncsemawo.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\Setup.tmp (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5TYJHJ9L\Setup[1].exe (Adware.Agent) -> Quarantined and deleted successfully.
 Außerdem ist der PC nun total lahm und meine Browser haben nun macken. Firefox funktioniert nur einige Minuten, bis er abstürzt und sich nicht neustarten lässt, Iron zeigt nach wenigen Minuten nur noch einen Punkt an, statt der Seite. Opera und Safari lassen sich nicht öffnen und es wird der IE aufgerufen und oben steht dann der Pfad und "Seite wurde nicht gefunden". Der IE konnte auch keine Seite aufrufen und es stand dass sie zur Sicherheit gesperrt wurde. Nach der Säuberung durch Malwarebytes scheinen die Browser jedenfalls wieder zu funktionieren, habe aber keine Ahnung ob sie wieder aussetzen. Sehe aber grade dass im Mwb Log steht, dass die Browser in der Registry manipuliert wurden und der Fehler behoben wurde. Hoffentlich stimmt das. EDIT: Browser läuft soweit, wollte aber ohne meinen willen 2 Mal irgendwelche Sites aufrufen die von Avast gesperrt wurden. Konnte den Link leider nicht notieren, Avast hat 2 Schädlinge gefunden: "a.exe" Win32:Rootkit-gen und "nersmwxcao.tmp" Win32:FakeAV-AFU in C\DuE\Admin.MEIN-PC\Lokale Einstellungen\Temp Was soll ich nun machen? Geändert von Deoss (12.01.2010 um 19:58 Uhr) |
| Themen zu Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? |
| antivirus, avast!, bho, bildschirm, bonjour, booten, browser, einstellungen, eraser, firefox.exe, fontcache, frage, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet browser, internet explorer, jusched.exe, liveupdate.exe, logfile, opera.exe, pdf-datei, pop-up, problem, realtek, registry, remote control, rundll, scan, sicherheit, software, system, taskmanager, win32:trojan-gen, windows, windows live messenger, windows xp |
Baum-Darstellung